Vragen van het lid Ephraim (Groep Van Haga) aan de Minister van Onderwijs, Cultuur en Wetenschap over de inbreuk op de privacy van Nederlandse studenten door Amerikaanse techbedrijven (ingezonden 20 oktober 2022).

Antwoord van Minister Dijkgraaf (Onderwijs, Cultuur en Wetenschap) (ontvangen 25 november 2022). Zie ook Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 644.

Vraag 1

Kent u de alarmerende nieuwsberichten van de NOS («Driekwart Nederlandse studentendata opgeslagen bij Amerikaanse techbedrijven»1), Scienceguide2 en KNAW3 waaruit blijkt dat nu 3/4 van de gegevens van Nederlandse studenten in handen is van datacentra van commerciële Amerikaanse Tech bedrijven ten opzichte van 25% in 2015?

Antwoord 1

Ja.

Vraag 2

Erkent u dat de onafhankelijkheid en integriteit van universiteiten sterk in het geding is nu de gegevens grotendeels in handen zijn van Amerikaanse «tech bedrijven» als Amazon, Microsoft en Google en dat dit een ongewenste situatie is die onderzocht en gestopt dient te worden?

Antwoord 2

De onafhankelijkheid en integriteit van universiteiten is niet (per definitie) in het geding door het gebruik van clouddiensten. Het gebruik van zulke diensten is sterk groeiend vanwege de voordelen die het biedt. Instellingen moeten zich tegelijkertijd bewust zijn van de risico’s en van de afhankelijkheden die door zulke overeenkomsten kunnen ontstaan.

Ik vind dat de keuze voor leveranciers onderdeel is van de autonomie die universiteiten hebben. Bij elke afspraak tot commerciële dienstverlening bestaat een zekere afhankelijkheid. Deze is niet inherent beperkend voor de vrije keuze van universiteiten, en ondermijnt niet inherent de wetenschappelijke integriteit. Dergelijke risico’s moeten onderdeel zijn van de afweging van de instelling voordat en terwijl de dienst wordt afgenomen.

Verder is het belangrijk om open source alternatieven te verkennen, op nationaal en Europees niveau. Mijn voorganger heeft dit ook eerder in Brussel aangekaart bij de Europese Commissie en hen verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen4. Tegelijkertijd bevordert SURF het onderzoeken van mogelijke alternatieven. SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Zo is SURF actief in de European Open Science cloud van de EU en lid van GAIA-X. Daarnaast draait bijvoorbeeld SURFdrive, voor het opslaan en delen van data, op daar onderliggende Europese open software zoals ownCloud. SURF is continu met leden in gesprek over deze kwesties.

In mijn kamerbrief van 14 juli 2022, over het verhogen van digitale veiligheid in onderwijs en onderzoek5, ga ik dieper in op hoe wij de sector bij hun digitale veiligheid ondersteunen, ondanks het feit dat zij daar zelf verantwoordelijk voor zijn. Zo faciliteren wij Data Protection Impact Assessments (DPIA’s), op producten die in het onderwijs veel gebruikt worden. Daarmee geeft het kabinet uitvoering aan de motie van de leden Kwint en Van Meenen.6 Door de DPIA’s kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten. De DPIA’s, waarbij de instellingen worden ondersteund door SURF, sluiten aan op het advies van de Autoriteit Persoonsgegevens (AP).

Een eerder uitgevoerde DPIA van Microsoft maakte ook duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal maatregelen neemt om de risico’s te mitigeren. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. In algemene zin is het beheersen van risico’s ook een essentieel onderdeel in de Nederlandse Cybersecuritystrategie (NLCS) 2022–2028 die recent is gepubliceerd.7

Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL.

Vraag 3

Ziet u ook de ernst van de gevaren in van het afstandsonderwijs dat halsoverkop in Coronatijd moest worden ingevoerd en kunt u deze in kaart brengen alsmede eventuele oplossingen?

Antwoord 3

Gedurende de lockdown was fysiek onderwijs zeer beperkt mogelijk. Om de studievoortgang van studenten te bewaken, zijn onderwijsinstellingen destijds tijdelijk overgestapt naar voornamelijk afstandsonderwijs. Volledig afstandsonderwijs kent nadelen, maar daardoor konden studenten gedurende de lockdown wel blijven studeren. Daarnaast is het bekend dat afstandsonderwijs risico’s met zich kan meebrengen rondom privacy en digitale veiligheid. Het is daarbij wel belangrijk om te noemen dat er vele soorten van afstandsonderwijs mogelijk zijn en dat zij ook een eigen risicoprofiel kennen. De risico’s moeten worden afgewogen, waarbij de voordelen kunnen opwegen tegen de nadelen.

Hoger onderwijsinstellingen werken aan de privacybescherming naar aanleiding van het advies van de AP. Daarin krijgen onderwijsinstellingen ondersteuning van SURF, bijvoorbeeld met betrekking tot DPIA’s. Eind juni 2022 publiceerde SURF het nieuwe «SURF audit toetsingskader Privacy 2022» waarmee een pilot wordt gestart bij de bij SURF aangesloten onderwijsinstellingen. Het toetsingskader zal door het hoger onderwijs worden gebruikt voor gegevensbeschermingsbeleid in overeenstemming met privacyregelgeving. De verwachting van SURF is dat het nieuwe toetsingskader inzicht zal geven in het privacy volwassenheidsniveau van het hoger onderwijs. Eind 2022 worden de resultaten van de pilot door SURF bekendgemaakt.

Vraag 4

Wat is er aan concrete maatregelen genomen sinds hoogleraren en internetexperts al jaren geleden waarschuwden voor het gevaar van dat data van studenten konden worden misbruikt voor commerciële en politieke doeleinden?

Antwoord 4

Door instellingen worden DPIA’s uitgevoerd om risico’s scherp te krijgen en te kunnen mitigeren. Daarnaast worden contractonderhandelingen met grote leveranciers in het onderwijs centraal gevoerd.8 Zo kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten en kunnen alle instellingen gebruikmaken van dezelfde contractvoorwaarden. We sluiten daarmee aan op het advies van de AP. In de Kamerbrief over het verhogen van digitale veiligheid in onderwijs en onderzoek van 14 juli jl. ga ik ook in op de genomen maatregelen9. Het risico dat statelijke actoren toegang krijgen tot gegevens van instellingen wordt door het kabinet tegengegaan met de aanpak Kennisveiligheid en de aanpak Tegengaan Statelijke Dreigingen.1011

Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL. SURF, koepels en marktpartijen trekken gezamenlijk op in de uitvoering en er wordt continu bekeken of er waarborgen kunnen worden verbeterd.

Vraag 5

Denkt u ook niet dat zolang de veiligheid van studentengegevens niet gegarandeerd kan worden, digitaal onderwijs beperkt dient plaats te vinden, mede in acht genomen dat digitaal onderwijs niet automatisch leidt tot beter onderwijs12?

Antwoord 5

Door de instellingen en de koepels wordt hard gewerkt aan het verhogen van de digitale weerbaarheid naar een niveau dat aantoonbaar veiligheid biedt en de continuïteit en kwaliteit van onderwijs en onderzoek waarborgt. Daarbij is 100 procent veiligheid moeilijk te garanderen. Om dit zo goed als mogelijk te bewerkstelligen worden gemeenschappelijke uitgangspunten voor de hele onderwijs en -onderzoeksector gehanteerd. Ook worden sectorspecifieke afspraken gemaakt, omdat de risico’s en de mate van volwassenheid tussen sectoren kunnen verschillen. In de Kamerbrief Verhogen digitale veiligheid onderwijs en onderzoek van 14 juli jl. heb ik uiteengezet welke maatregelen de instellingen hebben genomen en verder gaan nemen om de cyberweerbaarheid van hun instelling te verhogen.13 Het gaat hierbij om maatregelen ten aanzien van vergroten van bewustzijn, borgen van risicomanagement en kennis-en informatiedeling.

Het is de verantwoordelijkheid van scholen en instellingen om goed onderwijs te bieden en de risico’s die digitaal onderwijs met zich meebrengen in ogenschouw te nemen. Digitalisering kan helpen de onderwijskwaliteit te verbeteren, mits scholen en instellingen vanuit hun eigen onderwijskundige visie passende en doordachte keuzes maken. Wanneer instellingen ervoor kiezen om digitale hulpmiddelen in te zetten in hun onderwijs, dan zijn zij verantwoordelijk voor een zorgvuldige en weloverwogen omgang met persoonsgegevens, conform de AVG. Het is dan ook van groot belang dat gegevens van studenten en leerlingen veilig en verantwoord verwerkt worden door scholen en instellingen.

Vraag 6

Bestaan er plannen om universiteiten eigen programma’s en datacentra te laten ontwikkelen, zoals de Universiteit van Osnabrück het programma BigBlueButton heeft ontwikkeld14?

Antwoord 6

Nee, deze plannen zijn er niet. Wel helpt SURF om mogelijke Europese alternatieven te bevorderen of onderzoeken. SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Zo is SURF actief in de European Open Science Cloud van de EU en lid van GAIA-X. Daarnaast draait bijvoorbeeld SURFdrive, voor het opslaan en delen van data, op daar onderliggende Europese open software zoals ownCloud. SURF gaat continu met leden in gesprek over alternatieven om zo onder andere vendor lock-in tegen te gaan.

Overigens wordt BigBlueButton ook door Nederlandse onderwijsinstellingen ingezet. SURF biedt met Filesender een dienst voor het veilig en versleuteld online versturen van bestanden, via Nederlandse servers. Filesender is open source en SURF draagt actief bij aan de ontwikkeling hiervan. Andere voorbeelden van programma’s die in eigen beheer zijn ontwikkeld en vervolgens aan instellingen worden aangeboden zijn SURFconext, eduVPN, eduroam en SURFdrive.

Vraag 7

Kunt u deze vragen op tijd beantwoorden voor het begrotingsdebat in week 47?

Antwoord 7

Helaas is dit niet gelukt.


X Noot
1

nos.nl, d.d. 17 oktober 2022; «Driekwart Nederlandse studentendata opgeslagen bij Amerikaanse techbedrijven» (nos.nl).

X Noot
2

Science Guide, d.d. 5 oktober 2022: Afstandsonderwijs levert hoger onderwijs uit aan Amerikaanse tech-reuzen; https://www.scienceguide.nl/2022/10/afstandsonderwijs-levert-hoger-onderwijs-uit-aan-amerikaanse-tech-reuzen/.

X Noot
3

knaw.nl, d.d. 5 juli 2022: Langetermijnvisie nodig voor omgang met effecten van pandemie op wetenschap; https://www.knaw.nl/nieuws/langetermijnvisie-nodig-voor-omgang-met-effecten-van-pandemie-op-wetenschap.

X Noot
4

Kamerstuk 21 501-34, nr. 370

X Noot
5

Kamerbrief Verhogen Digitale veiligheid onderwijs en onderzoek. 14 juli 2022.

X Noot
6

Kamerstuk 32 034, nr. 34.

X Noot
7

Nederlandse cybersecuritystrategie (NLCS) 2022–2028. Ambities en acties voor een digitaal veilige samenleving.

X Noot
8

Kamerstuk 32 034, nr. 34.

X Noot
9

Kamerbrief Verhogen Digitale veiligheid onderwijs en onderzoek. 14 juli 2022.

X Noot
10

Kamerstuk 31 288, nr. 894.

X Noot
11

Kamerstuk 30 821, nr. 125

X Noot
12

rathenau.nl, d.d. 24 november 2021: Voorbij privacy en veiligheid in het onderwijs; Voorbij privacy en veiligheid in het onderwijs | Rathenau Instituut.

X Noot
14

YouTube BigBlueButton, 2 augustus 2021; BigBlueButton Overview for Students (viewers) – YouTube.

Naar boven