Ministerie weet niet hoeveel Nederlandse studentgegevens in Amerikaanse cloud staan
Het ministerie van Onderwijs weet niet hoeveel Nederlandse studentgegevens er bij Amerikaanse cloudproviders staan. Wel zegt het kabinet zich in te zetten om concurrentie voor Amerikaanse cloudproviders te stimuleren. Dat laat staatssecretaris Van Huffelen van Digitalisering weten. Ze reageerde op Kamervragen van het CDA over berichtgeving dat driekwart van alle leergegevens van Nederlandse studenten nu bij Microsoft of Amazon is ondergebracht.
CDA-Kamerleden Bontenbal en Van der Molen wilden onder andere weten of dit percentage klopt, maar dat kan Van Huffelen niet zeggen. "Eigen gegevens over het cloudgebruik door universiteiten zijn niet bekend bij het ministerie van OCW. Instellingen zijn zelf eigenaar van data en ‘verwerkingsverantwoordelijke’ zoals bedoeld in de Algemene verordening gegevensbescherming (AVG). Ze zijn dan ook vrij en zelf verantwoordelijk voor het vormgeven en aangaan van samenwerkingen op het gebied van ict en het gebruik van cloud."
Bontenbal en Van der Molen hadden de staatssecretaris ook gevraagd naar "serieuze alternatieven" voor Amerikaanse cloudproviders. "Het kabinet zet zich er op in om door middel van verschillende initiatieven concurrentie op de markt voor clouddiensten te stimuleren. Door meer concurrentie kunnen alternatieve aanbieders van clouddiensten, waaronder Europese aanbieders, inspelen op de vraag vanuit onderwijsinstellingen en de Rijksoverheid", reageert de staatssecretaris.
Volgens Van Huffelen zijn onder andere de IPCEI Cloud Infrastructure and Services en het GAIA-X project initiatieven die hier aan bij dragen. Verder noemt ze het Europees certificatieschema voor clouddiensten. Naar verwachting zal dit schema medio dit jaar worden opgeleverd. Na de implementatie hiervan zullen cloudproviders binnen twee jaar aan de vereiste securitymaatregelen moeten voldoen.
Eigen cloudoplossingen
De CDA-Kamerleden hadden ook gevraagd of Van Huffelen bereid is om te onderzoeken of de Rijksoverheid samen met onderwijsinstellingen initiatieven kan opstarten of ondersteunen die zien op het ontwikkelingen van eigen cloudoplossingen. De staatssecretaris stelt dat onderwijsorganisatie SURF een mix van eigen clouddiensten en aanbod van marktpartijen biedt. Daarnaast voert de organisatie ook onderzoek uit.
"De minister van OCW heeft in 2021 heeft de Europese Commissie verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen. Vooralsnog heeft dit in EU-verband niet tot concrete vervolgacties op onderwijsgebied geleid. Nederland zal hiervoor aandacht blijven vragen. Ook zal Nederland een gezonde(re) marktwerking, publieke waarden en onderwijskwaliteit blijven agenderen in het Europese debat", besluit Van Huffelen haar antwoord.
Met andere woorden:
We vertrouwen erop dat de markt dit voor ons regelt, in plaats van dat we per wet afdwingen dat de data in Nederland of Europa gestald moet worden bij een "europese" provider.
Iets wat de staatssecretaris/minoister/kabinet zou kunnen doen, als ze echt willen.
Het is nu wel duidelijk dat de staatssecretaris en de minister geen aandacht hebben voor de veiilgheidsriisco's van de studenten.
Het is iemand anders zijn probleem. (Dat van de studenten)
Meeste datacenters staan toch onder water tegen de tijd dat het opgestart wordt... (nee, ik geloof niet in klimaatverandering, wel in een steeds langzamer draaiende planeet aarde en periodieke sunspots op de zon).
Na het aansluiten van locaties op 2x10Gbps surfnet denk ik wel dat die een goede OCEAN kunnen bouwen, die ook nog eens minder graaibaar is voor de mensen uit Murrica.
Zonder iets aan getallen te noemen, is dat de enige correcte conclusie.
Voor de Inspectie Overheidsinformatie en Erfgoed misschien aanleiding te onderzoeken of gegevens verwerkt in het kader van de Archiefwet überhaupt buiten het domein / reikwijdte van de bestuurlijk verantwoordelijken mogen worden bewaard en beschikbaar gehouden? Voldoen de contracten die de instellingen hebben gesloten wel aan de Archiefwettelijke voorwaarden? Kunnen de zorgdragers wel garanderen dat ze door het gebruik maken van clouddiensten wel kunnen voldoen aan hun verplichting tot vernietiging op basis van de Archiefwet en de AVG?
Voor de Autoriteit Persoonsgegevens (AP) kan het interessant zijn wanneer een verwerkingsverantwoordelijke de persoonsgegevens niet kan vernietigen. Vernietigen is een archiefproces van teniet doen of wissen van data en documenten zonder dat zij weer kunnen worden gereconstrueerd. Dat betekent dus eigenlijk ook het vernietigen van data uit de backups van de cloudleveranciers. Niet kunnen vernietigen van persoonsgegevens wanneer de doelbinding is vervallen is op grond van de AVG een onrechtmatige verwerking, wat in de volksmond ook wel een datalek wordt genoemd. Is door de verwerkingsverantwoordelijke ook te melden aan de AP. Ook op conversies en migraties bij de cloudleverancier is de Archiefwet en wanneer het gaat om persoonsgegevens de AVG van toepassing. Ook hier de vraag of de verantwoordelijken daarover afspraken gemaakt hebben. En zo niet dan kan de verwerkingsverantwoordelijke ook op dat terrein datalekken melden.
Er lopen zoveel "IT deskundigen" rond die nog net weten waar de aan en uit knop van de monitor zit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
