Antwoord 1

Ja.

Antwoord 2

De onafhankelijkheid en integriteit van universiteiten is niet (per definitie) in het geding door het gebruik van clouddiensten. Het gebruik van zulke diensten is sterk groeiend vanwege de voordelen die het biedt. Instellingen moeten zich tegelijkertijd bewust zijn van de risico’s en van de afhankelijkheden die door zulke overeenkomsten kunnen ontstaan.

Ik vind dat de keuze voor leveranciers onderdeel is van de autonomie die universiteiten hebben. Bij elke afspraak tot commerciële dienstverlening bestaat een zekere afhankelijkheid. Deze is niet inherent beperkend voor de vrije keuze van universiteiten, en ondermijnt niet inherent de wetenschappelijke integriteit. Dergelijke risico’s moeten onderdeel zijn van de afweging van de instelling voordat en terwijl de dienst wordt afgenomen.

Verder is het belangrijk om open source alternatieven te verkennen, op nationaal en Europees niveau. Mijn voorganger heeft dit ook eerder in Brussel aangekaart bij de Europese Commissie en hen verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen4. Tegelijkertijd bevordert SURF het onderzoeken van mogelijke alternatieven. SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Zo is SURF actief in de European Open Science cloud van de EU en lid van GAIA-X. Daarnaast draait bijvoorbeeld SURFdrive, voor het opslaan en delen van data, op daar onderliggende Europese open software zoals ownCloud. SURF is continu met leden in gesprek over deze kwesties.

In mijn kamerbrief van 14 juli 2022, over het verhogen van digitale veiligheid in onderwijs en onderzoek5, ga ik dieper in op hoe wij de sector bij hun digitale veiligheid ondersteunen, ondanks het feit dat zij daar zelf verantwoordelijk voor zijn. Zo faciliteren wij Data Protection Impact Assessments (DPIA’s), op producten die in het onderwijs veel gebruikt worden. Daarmee geeft het kabinet uitvoering aan de motie van de leden Kwint en Van Meenen.6 Door de DPIA’s kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten. De DPIA’s, waarbij de instellingen worden ondersteund door SURF, sluiten aan op het advies van de Autoriteit Persoonsgegevens (AP).

Een eerder uitgevoerde DPIA van Microsoft maakte ook duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal maatregelen neemt om de risico’s te mitigeren. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. In algemene zin is het beheersen van risico’s ook een essentieel onderdeel in de Nederlandse Cybersecuritystrategie (NLCS) 2022–2028 die recent is gepubliceerd.7

Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL.

Antwoord 3

Gedurende de lockdown was fysiek onderwijs zeer beperkt mogelijk. Om de studievoortgang van studenten te bewaken, zijn onderwijsinstellingen destijds tijdelijk overgestapt naar voornamelijk afstandsonderwijs. Volledig afstandsonderwijs kent nadelen, maar daardoor konden studenten gedurende de lockdown wel blijven studeren. Daarnaast is het bekend dat afstandsonderwijs risico’s met zich kan meebrengen rondom privacy en digitale veiligheid. Het is daarbij wel belangrijk om te noemen dat er vele soorten van afstandsonderwijs mogelijk zijn en dat zij ook een eigen risicoprofiel kennen. De risico’s moeten worden afgewogen, waarbij de voordelen kunnen opwegen tegen de nadelen.

Hoger onderwijsinstellingen werken aan de privacybescherming naar aanleiding van het advies van de AP. Daarin krijgen onderwijsinstellingen ondersteuning van SURF, bijvoorbeeld met betrekking tot DPIA’s. Eind juni 2022 publiceerde SURF het nieuwe «SURF audit toetsingskader Privacy 2022» waarmee een pilot wordt gestart bij de bij SURF aangesloten onderwijsinstellingen. Het toetsingskader zal door het hoger onderwijs worden gebruikt voor gegevensbeschermingsbeleid in overeenstemming met privacyregelgeving. De verwachting van SURF is dat het nieuwe toetsingskader inzicht zal geven in het privacy volwassenheidsniveau van het hoger onderwijs. Eind 2022 worden de resultaten van de pilot door SURF bekendgemaakt.

Antwoord 4

Door instellingen worden DPIA’s uitgevoerd om risico’s scherp te krijgen en te kunnen mitigeren. Daarnaast worden contractonderhandelingen met grote leveranciers in het onderwijs centraal gevoerd.8 Zo kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten en kunnen alle instellingen gebruikmaken van dezelfde contractvoorwaarden. We sluiten daarmee aan op het advies van de AP. In de Kamerbrief over het verhogen van digitale veiligheid in onderwijs en onderzoek van 14 juli jl. ga ik ook in op de genomen maatregelen9. Het risico dat statelijke actoren toegang krijgen tot gegevens van instellingen wordt door het kabinet tegengegaan met de aanpak Kennisveiligheid en de aanpak Tegengaan Statelijke Dreigingen.10^, 11

Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL. SURF, koepels en marktpartijen trekken gezamenlijk op in de uitvoering en er wordt continu bekeken of er waarborgen kunnen worden verbeterd.

Antwoord 5

Door de instellingen en de koepels wordt hard gewerkt aan het verhogen van de digitale weerbaarheid naar een niveau dat aantoonbaar veiligheid biedt en de continuïteit en kwaliteit van onderwijs en onderzoek waarborgt. Daarbij is 100 procent veiligheid moeilijk te garanderen. Om dit zo goed als mogelijk te bewerkstelligen worden gemeenschappelijke uitgangspunten voor de hele onderwijs en -onderzoeksector gehanteerd. Ook worden sectorspecifieke afspraken gemaakt, omdat de risico’s en de mate van volwassenheid tussen sectoren kunnen verschillen. In de Kamerbrief Verhogen digitale veiligheid onderwijs en onderzoek van 14 juli jl. heb ik uiteengezet welke maatregelen de instellingen hebben genomen en verder gaan nemen om de cyberweerbaarheid van hun instelling te verhogen.13 Het gaat hierbij om maatregelen ten aanzien van vergroten van bewustzijn, borgen van risicomanagement en kennis-en informatiedeling.

Het is de verantwoordelijkheid van scholen en instellingen om goed onderwijs te bieden en de risico’s die digitaal onderwijs met zich meebrengen in ogenschouw te nemen. Digitalisering kan helpen de onderwijskwaliteit te verbeteren, mits scholen en instellingen vanuit hun eigen onderwijskundige visie passende en doordachte keuzes maken. Wanneer instellingen ervoor kiezen om digitale hulpmiddelen in te zetten in hun onderwijs, dan zijn zij verantwoordelijk voor een zorgvuldige en weloverwogen omgang met persoonsgegevens, conform de AVG. Het is dan ook van groot belang dat gegevens van studenten en leerlingen veilig en verantwoord verwerkt worden door scholen en instellingen.

Antwoord 6

Nee, deze plannen zijn er niet. Wel helpt SURF om mogelijke Europese alternatieven te bevorderen of onderzoeken. SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Zo is SURF actief in de European Open Science Cloud van de EU en lid van GAIA-X. Daarnaast draait bijvoorbeeld SURFdrive, voor het opslaan en delen van data, op daar onderliggende Europese open software zoals ownCloud. SURF gaat continu met leden in gesprek over alternatieven om zo onder andere vendor lock-in tegen te gaan.

Overigens wordt BigBlueButton ook door Nederlandse onderwijsinstellingen ingezet. SURF biedt met Filesender een dienst voor het veilig en versleuteld online versturen van bestanden, via Nederlandse servers. Filesender is open source en SURF draagt actief bij aan de ontwikkeling hiervan. Andere voorbeelden van programma’s die in eigen beheer zijn ontwikkeld en vervolgens aan instellingen worden aangeboden zijn SURFconext, eduVPN, eduroam en SURFdrive.

Antwoord 7

Helaas is dit niet gelukt.