Privacyhoogleraar Bart Jacobs: ‘Overstap van universiteit naar clouddiensten Microsoft is illegaal’
Foto: Rafa Garcés, Creative Commons
Vanaf volgend jaar gaat iedereen op de campus ‘in de cloud’ werken via een Office365-account van Microsoft. Het moet samenwerken en thuiswerken nog makkelijker maken. Maar volgens privacy-expert Bart Jacobs gaat het project in tegen Europese wetgeving, na een recente uitspraak van Europese rechters. ‘In feite is het illegaal.’
Het is een routine die je als student of medewerker van de universiteit bijna elke dag volgt als je aan het werk gaat. Met je U- of s-nummer inloggen op een computer op de campus, of vanuit thuis via VPN. De mails en bestanden waar je vervolgens toegang toe hebt bevinden zich ook fysiek op de campus, op een van de servers in de ISC-gebouwen.
Maar dat gaat binnenkort veranderen. Vanaf februari 2021 stapt de universiteit langzaam over op Office365 (onder de nieuwe naam Microsoft365) en werken we niet meer op lokale systemen maar in de cloud, op computers van Microsoft. Het moet daarmee makkelijker worden om bijvoorbeeld documenten te delen met anderen op de campus en elkaars agenda’s in te zien. Ook maakt het dan niet meer uit waar je bent – op de campus of op een congres in Canada – overal ziet je bureaublad er hetzelfde uit als je inlogt. De Radboud Universiteit trekt volgend jaar zo’n 6 miljoen euro uit voor ICT-projecten waaronder Office365.
Slechte onderhandelingspositie
Een efficiënter ICT-systeem klinkt prachtig en efficiënt, maar er zijn nogal wat bezwaren tegen de invoering van een clouddienst. Dat zegt hoogleraar Digital security Bart Jacobs van iHub, de Interdisciplinairy hub for security, privacy and data governance op de Radboud Universiteit. Jacobs staat nationaal en internationaal hoog aangeschreven als privacy-expert en is onder andere lid van de landelijke commissie die momenteel de Wet op inlichtingen- en veiligheidsdiensten evalueert.
‘Ten eerste maak je je als universiteit volledig afhankelijk van een Amerikaanse softwaregigant’, legt hij uit aan de telefoon. ‘Je komt nooit meer van Microsoft af, en dat geeft de universiteit in de toekomst een slechte onderhandelingspositie als er dingen aangepast moeten worden.’
Illegaal
Een belangrijker probleem is nog, vervolgt hij, dat het gebruik van een Amerikaanse clouddienst indruist tegen Europese privacywetgeving. ‘Er is momenteel geen juridische grondslag meer voor de invoering hiervan. Het is dus in feite illegaal.’
Dat zit zo. Privacyregels in de Verenigde Staten zijn een stuk minder streng dan in de Europese Unie. Zo kunnen Amerikaanse veiligheidsdiensten als de NSA veel makkelijker een kijkje nemen in digitale gegevens van burgers dan in Europa het geval is, onder andere dankzij de zogeheten Cloud Act en de anti-terrorismewet Patriot Act. Je moet dan denken aan de inhoud van Gmail- of Facebook-accounts, en bestandsuitwisselingsdiensten als DropBox. Maar dus ook aan documenten in de cloud zoals binnen Office365.
Om de privacy van Europese burgers toch te waarborgen hebben de EU en VS in 2016 een afspraak gemaakt, het “Privacy Shield”-verdrag. Maar dit verdrag voldoet niet aan Europese privacywetgeving, oordeelden rechters van het Europese Hof van justitie afgelopen juli. Die zaak was aangespannen door de Oostenrijkse privacy-activist Max Schrems, die een paar jaar eerder een voorganger van Privacy Shield al met succes had aangevochten.
Bom
Die uitspraak legt daarmee ook een bom onder het Office365-project op de Radboud Universiteit, zegt Jacobs. ‘De privacy van gebruikers is straks onvoldoende gewaarborgd. Amerikaanse veiligheidsdiensten kunnen in principe gegevens opvragen bij Microsoft. Dat bedrijf slaat ze bovendien onversleuteld op. Ik vermoed dat als een student of medewerker naar de rechter in Nederland stapt, hij zal winnen en de universiteit moet stoppen met Office365 omdat een juridische basis ontbreekt. Dat speelt niet alleen bij ons, maar overal in Europa.’
De rector sprak zich eerder publiekelijk stevig uit over de invloed van Amerikaanse techbedrijven
Er is nog een derde reden dat Jacobs de invoering van Microsoft365 opmerkelijk vindt. ‘Eind vorig jaar uitten de rectoren van alle universiteiten in de Volkskrant gezamenlijk nog hun zorgen over de grote rol van techbedrijven op universiteiten.’ In een opiniestuk schreven ze dat de “De snelle digitalisering van het Nederlandse hoger onderwijs betekent dat we in toenemende mate afhankelijk zijn van de Googles en Microsofts van deze wereld.” Dat bedreigt publieke waarden zoals academische autonomie, vrezen de universiteitsbestuurders.
Om dit proces een halt toe te roepen, of in ieder geval goed te evalueren, riep universiteitsvereniging VSNU een speciale werkgroep “publieke waarden onderwijs” in het leven. Jacobs is lid van deze commissie, die begin volgend jaar advies uitbrengt. Hoe dat advies er precies uit komt te zien, kan en mag Jacobs op dit moment nog niet zeggen. ‘Maar je kunt je als universiteit natuurlijk wel afvragen of het niet goed is om hierop te wachten. Zeker als je eigen rector zich publiekelijk zo stevig uitgelaten heeft over de macht en invloed van Amerikaanse techbedrijven.’
Koen schreef op 14 december 2020 om 15:15
Echt vreemd van de universiteit om zich zo afhankelijk te maken van een externe partij voor de gehéle ICT-infrastructuur. Saillant detail: zowel Office365 als Google hadden vandaag flinke problemen met hun cloud-applicaties, zie: https://allestoringen.nl/storing/office-365/nieuws/354408-storing-bij-office-365/ en https://allestoringen.nl/storing/office-365/nieuws/354408-storing-bij-office-365/
Concreet zou dit bij de RU betekenen dat men in zo’n geval als vandaag niet kan werken.
Karolus schreef op 16 december 2020 om 16:58
Die afhankelijkheid in beschikbaarheid heb je ook in eigen on premise of Europese cloud oplossingen. Hoe vaak gebeurt het niet dat het netwerk “plat” ligt, waardoor je geen tentamens kunt maken?
Omwille van het credo “effectief samenwerken” houden de techleveranciers ons voor dat alle diensten met elkaar gekoppeld moeten worden. e-mail, document processing, chats, videobellen, alles in één tool. Daarmee creëer je zoals Bart al schreef een enorme afhankelijkheid van deze leverancier en ben je feitelijk overgeleverd aan de vendor in kwestie, waar je moeilijk vanaf komt.
Het maakt het nog erger als de leverancier in kwestie zich ook niet houdt aan open standaarden. Daarnaast maak je je ook kwetsbaar als je vervolgens ook al je security oplossingen bij diezelfde leverancier neerlegt, lees Microsoft E5 licenties, extra goedkoop voor universiteiten!
Maar gezien al deze bekende problemen, waarom dan over naar een MS Office365 of Google Suite? De bekende quotes: “Het lijkt goedkoop, je hebt geen eigen ICT beheerders meer nodig, het is beter beschikbaar en veiliger dan eigen oplossingen”
Maar universiteiten zijn geen Kentucky Fried Chicken. We zijn onderzoeks- en onderwijsinstellingen die moeten innoveren, onderzoeken, studenten moeten leren hoe het leven en de maatschappij eruit zien over 5-10 jaar. We zouden een veel diverser technologisch landschap moeten hebben bij de universiteiten, om zo onafhankelijk, flexibel en innovatief te blijven.
Hoe kom je af van zo’n leverancier? Het begint bij een bestuur en een CIO met lef en een lange termijn visie. Als simpeler voorbeeld: Een Student Informatie Systemen. Ooit een migratie meegemaakt? Kost 5 – 10 jaar voordat alles over is, alle systemen goed en veilig gekoppeld zijn en de docenten daar goed mee kunnen werken. En de deur moet in die periode gewoon open blijven.