Van veel Nederlandse studenten staan de persoons- en studiegegevens opgeslagen in datacentra van Amerikaanse techbedrijven. Volgens het kabinet zijn er maatregelen genomen om lekken te voorkomen.
Volgens een recente studie staat zou driekwart van de persoonsgegevens van Nederlandse studenten in clouds van Amerikaanse bedrijven als Microsoft en Amazon staan. Daar is in principe weinig mis mee, stelt staatssecretaris Digitalisering Alexandra van Huffelen in haar antwoord op Kamervragen van het CDA. Ze ziet het eigenlijk niet als haar verantwoordelijkheid, want universiteiten en hogescholen moeten de data zelf beheren volgens de privacywet (AVG).
Maar experts waarschuwen voor de risico’s van cloudopslag. De techbedrijven die erachter zitten, opereren onder de wetgeving van de VS. Zo hebben Amerikaanse opsporingsdiensten relatief gemakkelijk toegang tot de gegevens en kunnen die ook worden verkocht aan adverteerders.
Risicobeoordeling
Nederlandse universiteiten en hogescholen werken samen bij het beoordelen van de veiligheid van softwareproducten en clouds. Deze toetsing, de Data Protection Impact Assessment, wordt in die gevallen gecoördineerd door SURF, de ict-vereniging voor onderwijs- en onderzoek.
Een eerder uitgevoerd assessment van software- en cloud-pakket Microsoft 365 zou duidelijk hebben gemaakt dat er geen grote risico’s zijn. Dat pakket werd afgelopen november in Duitsland onveilig genoemd door de privacy-autoriteit. Maar volgens onderwijsminister Dijkgraaf zijn er in Nederland “aanvullende afspraken” gemaakt, schreef hij in december.
Voor Google ligt dat anders, meldt Van Huffelen nu. Vooral aan de manier waarop het bedrijf omgaat met metadata zouden gevaren kleven. Er zijn volgens haar nu afspraken gemaakt om de privacy-risico’s te verkleinen.
Jurre Laven, die bij SURF over de beoordelingen van softwareaanbieders gaat, stelt dat Amerikaanse aanbieders zich hier hebben te houden aan de Europese privacywetgeving. “De producten en aanbieders worden periodiek getoetst op de manier waarop ze met de gegevens omgaan. Als blijkt dat ze niet voldoen aan wetgeving dan gaan we daarover in gesprek en proberen we tot goede aanpassingen te komen.” Zo heeft een bedrijf als Zoom aanpassingen gemaakt omdat er hoge risico’s werden geconstateerd.
Alternatieven
Toch wil het kabinet met meer Europese aanbieders gaan werken. Er komt bijvoorbeeld een Europese cloud, genaamd IPCEI. SURF onderschrijft het belang van dergelijke initiatieven ter ondersteuning van de autonomie van onderwijs en onderzoek.