Staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) geeft antwoord op vragen over het artikel 'Studentgegevens ondanks kritiek massaal in de Amerikaanse cloud gezet'. De Tweede Kamerleden Bontenbal en Van der Molen (beiden CDA) hebben deze vragen gesteld.
Vragen van de leden Bontenbal en Van der Molen (beiden CDA) aan de staatssecretaris van Koninkrijksrelaties en Digitalisering over het artikel ‘Studentgegevens ondanks kritiek massaal in de Amerikaanse cloud gezet’. 1. Bent u bekend met het bericht ‘Studentgegevens ondanks kritiek massaal in de Amerikaanse cloud gezet’?
Ja.
2. Kunt u bevestigen dat op dit moment 75% van alle Nederlandse studentgegevens opgeslagen staat bij (Amerikaanse) big techcloudaanbieders? In hoeverre geldt dit ook voor onderzoeksgegevens en digitale lessystemen?
Eigen gegevens over het cloudgebruik door universiteiten zijn niet bekend bij het ministerie van OCW. Instellingen zijn zelf eigenaar van data en ‘verwerkingsverantwoordelijke’ zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG). Ze zijn dan ook vrij en zelf verantwoordelijk voor het vormgeven en aangaan van samenwerkingen op het gebied van ICT en het gebruik van cloud. Uiteraard moeten die samenwerkingen in lijn zijn met de AVG, waarin ook bepalingen over het delen van data met derde landen zijn opgenomen.
De Autoriteit Persoonsgegevens (AP) ziet toe op de zorgvuldige omgang met persoonsgegevens in het onderwijs. Om het onderwerp public cloudgebruik verder op te pakken willen wij, in lijn met het Rijksbreed cloudbeleid 2022, sessies organiseren om het onderwerp verder uit te dragen. Hierbij willen wij graag maatschappelijk relevante organisaties, waaronder kennisinstellingen, uitnodigen. Daarnaast gaan we dit onderwerp verder oppakken in het kader van de Werkagenda Waardengedreven Digitalisering. In de Kamerbrief van 14 juli 2022, over het verhogen van digitale veiligheid in onderwijs en onderzoek (1), wordt door de minister van OCW ook ingegaan op hoe de sector daarbij wordt ondersteund, bijvoorbeeld door het faciliteren van Data Protection Impact Assessments (DPIA’s), op producten die in het onderwijs veel gebruikt worden. Daarmee geeft het kabinet uitvoering aan de motie van de leden Kwint en Van Meenen (2).
Door de DPIA’s kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten. De DPIA’s, waarbij de instellingen worden ondersteund door SURF en SIVON, sluiten aan op het advies van de AP. Verder is op 11 mei 2022 het ‘Referentiekader privacy en ethiek voor studiedata’ voor verantwoord gebruik van studiedata gepubliceerd door Versnellingsplan ICT (3). Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de onderwijs koepelorganisaties Universiteiten van Nederland (UNL) en de Vereniging Hogescholen (VH).
3. Deelt u de mening dat deze situatie het risico op privacyschending, spionage en een verlies van strategische autonomie met zich meebrengt?
Het kabinet ziet de genoemde risico’s, en heeft daartoe reeds verschillende stappen gezet. Deze worden hierna kort uiteen gezet. Voor wat betreft privacy worden er Data Protection Impact Assessments (DPIA’s) uitgevoerd en worden contractonderhandelingen met grote leveranciers in het onderwijs centraal gevoerd (4). Daarmee kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten en kunnen alle instellingen gebruikmaken van dezelfde contractvoorwaarden. Hiermee wordt aangesloten op het advies van de AP.
Verder is op 11 mei 2022 het ‘Referentiekader privacy en ethiek voor studiedata’ voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL. SURF, koepels en marktpartijen trekken gezamenlijk op in de uitvoering en er wordt continu bekeken of er waarborgen kunnen worden verbeterd. Voor wat betreft spionage weten we dat kennisinstellingen doelwit zijn van spionageactiviteiten. Een aantal staten voert een offensief programma tegen Nederlandse belangen en probeert onder andere aan unieke Nederlandse kennis (bijvoorbeeld onderzoeksgegevens) en technologieën te komen. Daarbij is in een aantal, veelal autoritaire staten, een nauwe verwevenheid tussen het bedrijfsleven en de overheid (5)(6). Deze risico´s adresseert het kabinet met de aanpak Kennisveiligheid en de aanpak Tegengaan Statelijke Dreigingen (7)(8). In de Nederlandse gedragscode wetenschappelijke integriteit is opgenomen dat kennisinstellingen een zorgplicht hebben voor een werkomgeving waarin goed onderzoek gewaarborgd wordt.
Databeheer wordt daarin expliciet genoemd. In de Nationale Leidraad Kennisveiligheid is ook een hoofdstuk over digitale beschermingsmaatregelen en cyberveiligheid opgenomen. Zo worden instellingen die met sensitieve onderzoeksdata of resultaten werken gewezen op het nemen van maatregelen op het gebied van rubricering, autorisatie en de implementatie van specifieke organisatorische en technologische maatregelen om mogelijke aanvallen te detecteren en te monitoren om zodoende de risico’s beter te borgen. Voor strategische autonomie heeft het kabinet op 8 november jl. de kabinetsbrede visie op de open strategische autonomie van de EU naar de Kamer gestuurd (9). Het kabinet werkt verder onder coördinatie van EZK aan een nadere invulling van de digitale autonomie van de digitale economie en infrastructuur. Deze invulling is naar verwachting in de loop van 2023 gereed.
4. Welke afspraken maken Nederlandse (hoger)onderwijsinstellingen met techbedrijven bij het aangaan van contracten over bijvoorbeeld (economische) veiligheid en privacy? In hoeverre is hier überhaupt ruimte voor in de onderhandeling?
Onderwijsinstellingen zijn, conform de AVG, verantwoordelijk voor de omgang met persoonsgegevens en worden geacht hier zorgvuldig invulling aan te geven. Wanneer een instelling gebruik maakt van een product of dienst waarbij persoonsgegevens worden verwerkt moeten zij met de betreffende leverancier een verwerkersovereenkomst afsluiten waarin wordt vastgelegd welke persoonsgegevens voor welke doeleinden mogen worden verwerkt en onder welke voorwaarden dat gebeurt. Om de veiligheid van gegevensverwerkingen te waarborgen en te voorkomen dat een verwerking inbreuk maakt op de AVG, moet de verwerkingsverantwoordelijke de aan de verwerking inherente risico’s beoordelen en op grond van een objectieve en zo concreet mogelijke risicobeoordeling passende technische en organisatorische maatregelen nemen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd. Als een verwerking toch een hoog risico blijft inhouden dan is voorafgaand aan de verwerking een DPIA verplicht, zodat op basis daarvan maatregelen kunnen worden genomen om die risico’s te voorkomen of te reduceren. Zo maakte een eerder uitgevoerd assessment van Microsoft duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal maatregelen neemt om de risico’s te mitigeren. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. Met leveranciers van producten die veel gebruikt worden in het onderwijs, worden deze contracten centraal uitonderhandeld door SURF en worden dan ook afspraken gemaakt over veiligheid en privacy (10). Deze contracten gelden dan voor de hele sector zodat niet iedere instelling zelf deze onderhandelingen hoeft te doen en alle instellingen ook onder dezelfde voorwaarden producten kunnen gebruiken. Tevens is het omgaan met kennis uit gevoelige kennisdomeinen expliciet opgenomen in de Nationale Leidraad Kennisveiligheid.
5. In hoeverre kunt u centrale kaders bieden aan onderwijsinstellingen die zien op het waarborgen van privacy, online veiligheid en strategische onafhankelijkheid in de samenwerking met cloudbedrijven? Ziet u hier voor uzelf een rol weggelegd?
In de antwoorden op vraag 2, 3 en 4 heb ik uiteengezet hoe het kabinet, en de minister van OCW in het bijzonder, hiermee omgaan. In de kamerbrief over het verhogen digitale veiligheid onderwijs en onderzoek van 14 juli 2022 gaat de minister dieper in op de stappen die gezamenlijk worden gezet (11).
6. Welke serieuze alternatieven zijn er voor onderwijsinstellingen, maar ook voor de Rijksoverheid, voor het gebruik van cloudoplossingen van Amerikaanse techbedrijven?
Het kabinet zet zich er op in om door middel van verschillende initiatieven concurrentie op de markt voor clouddiensten te stimuleren. Door meer concurrentie kunnen alternatieve aanbieders van clouddiensten, waaronder Europese aanbieders, inspelen op de vraag vanuit onderwijsinstellingen en de Rijksoverheid. Initiatieven die hieraan bijdragen zijn onder andere de DMA en de Dataverordening, de IPCEI Cloud Infrastructure and Services en het GAIA-X project. Voorts wordt momenteel in het kader van de Cyberbeveiligingsverordening (Cyber Security Act) een Europees certificatieschema ontwikkeld voor de clouddiensten.
De cyberbeveiligingsverordening is een Europese verordening, die een Europees kader introduceert op het gebied van cyberbeveiligingscertificering. De cyberbeveiligingsverordening maakt het mogelijk om op Europees niveau cyberbeveiligingscertificeringsregelingen (in de praktijk ook wel aangeduid als ‘certificatieschema’s’) vast te stellen voor categorieën van ICT-producten, - diensten en -processen. In opdracht van de Europese Commissie wordt thans een cyberbeveiligingscertificeringsregeling voor de clouddiensten (de zgn. Europese Cloud certificering schema) met cyberbeveiligingsvoorschriften ontwikkeld. Naar verwachting zal dit schema medio 2023 worden opgeleverd. Na de implementatie hiervan zullen de cloudaanbieders binnen twee jaar moeten voldoen aan de vereiste security maatregelen.
7. Wat is de status van de voorbereiding van de investeringsvoorstellen in het kader van de IPCEI Cloud?
De Nederlandse investeringsvoorstellen voor IPCEI Cloud zijn op 4 april jl. bij de Europese Commissie ingediend. Het verplichte goedkeuringsproces voor de voorstellen neemt door de omvang en complexiteit van deze IPCEI meer tijd in beslag dan eerder aangenomen door alle betrokken partijen. De huidige verwachting is dat dit proces begin 2023 zal worden afgerond, waarna de Tweede Kamer geïnformeerd kan worden over de investeringsvoorstellen die voor subsidie in aanmerking komen.
8. Bent u bereid om te onderzoeken of de Rijksoverheid samen met onderwijsinstellingen initiatieven kan opstarten of ondersteunen die zien op het ontwikkelingen van eigen cloudoplossingen? Op welke manier zou u kunnen aanhaken bij Europese initiatieven?
SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Dit betreft Nederlandse, Europese en Amerikaanse aanbieders, grote en kleinere leveranciers. Verder heeft SURF eigen clouddiensten, op eigen rekensystemen van SURF, waaronder de Nationale Supercomputer Snellius. Met SURFdrive, Research Drive en SURFfilesender, kunnen bestanden worden opgeslagen en verstuurd. Ook voert SURF projecten uit waarin verkenningen plaatsvinden binnen diverse toepassingsgebieden waarin wordt gekeken naar open source alternatieven, zoals voor een samenwerkingsomgeving - zoals officeapplicaties -, een leeromgeving, enquête tools en grafische software. De verkenningen moeten antwoord geven op vragen over de gebruiksvriendelijkheid, de toepasbaarheid binnen een bestaande organisatie, support en ondersteuning, beheer, security, privacy, mogelijkheden om te koppelen met andere onderwijssystemen en een duurzame en gezonde governance als het gaat om de betrouwbaarheid van de software en de community daaromheen. De minister van OCW heeft in 2021 heeft de Europese Commissie verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen. (12). Vooralsnog heeft dit in EU-verband niet tot concrete vervolgacties op onderwijsgebied geleid (13). Nederland zal hiervoor aandacht blijven vragen. Ook zal Nederland een gezonde(re) marktwerking, publieke waarden en onderwijskwaliteit blijven agenderen in het Europese debat.
1 Kamerbrief ‘Verhogen digitale onderwijs en onderzoek’| 14-7-2022.
2) Kamerstuk 32 034, nr. 34.
3) Versnellingsplan ICT. Referentiekader privacy en ethiek voor studiedata.
4) Kamerstuk 32 034, nr. 34.
5) Kamerstukken II 2020/2021, 30821, nr. 125
6) Kamerstukken II 2020/2021, 29924, nr. 212 en 30977, nr.
7) Kamerstukken II 2020/2021, 31288, nr. 894.
8) Kamerstukken II 2020/21, 30821, nr. 125
9) ‘Kamerbrief over open strategische autonomie’ | 8-11-2022
10) Zie ook https://www.surf.nl/compliancy voor meer informatie over hoe leden via SURF gezamenlijk afspraken maken met ICT- en contentleveranciers over de levering en afname van producten en diensten.
11) Kamerbrief Verhogen Digitale veiligheid onderwijs en onderzoek. 14 juli 2022.
12) Kamerstukken II 2021/22, 21501-34, nr. 370
13) Wel lopen er bredere projecten, zoals een van oorsprong Frans-Duits initiatief, GAIA-X dat een data- en cloudinfrastructuur wil gaan ontwikkelen waarbij Europese waarden als data-soevereiniteit geborgd worden en IPCEI-CIS, Important Project of Common European Interest Cloud Infrastructuur en Services. Doel is een Europese cloudinfrastructuur met - diensten op te zetten die moeten bijdragen aan cyberveiligheid, interoperabiliteit en duurzame toepassingen.
