image

Ministerie weet niet hoeveel Nederlandse studentgegevens in Amerikaanse cloud staan

maandag 9 januari 2023, 13:58 door Redactie, 13 reacties

Het ministerie van Onderwijs weet niet hoeveel Nederlandse studentgegevens er bij Amerikaanse cloudproviders staan. Wel zegt het kabinet zich in te zetten om concurrentie voor Amerikaanse cloudproviders te stimuleren. Dat laat staatssecretaris Van Huffelen van Digitalisering weten. Ze reageerde op Kamervragen van het CDA over berichtgeving dat driekwart van alle leergegevens van Nederlandse studenten nu bij Microsoft of Amazon is ondergebracht.

CDA-Kamerleden Bontenbal en Van der Molen wilden onder andere weten of dit percentage klopt, maar dat kan Van Huffelen niet zeggen. "Eigen gegevens over het cloudgebruik door universiteiten zijn niet bekend bij het ministerie van OCW. Instellingen zijn zelf eigenaar van data en ‘verwerkingsverantwoordelijke’ zoals bedoeld in de Algemene verordening gegevensbescherming (AVG). Ze zijn dan ook vrij en zelf verantwoordelijk voor het vormgeven en aangaan van samenwerkingen op het gebied van ict en het gebruik van cloud."

Bontenbal en Van der Molen hadden de staatssecretaris ook gevraagd naar "serieuze alternatieven" voor Amerikaanse cloudproviders. "Het kabinet zet zich er op in om door middel van verschillende initiatieven concurrentie op de markt voor clouddiensten te stimuleren. Door meer concurrentie kunnen alternatieve aanbieders van clouddiensten, waaronder Europese aanbieders, inspelen op de vraag vanuit onderwijsinstellingen en de Rijksoverheid", reageert de staatssecretaris.

Volgens Van Huffelen zijn onder andere de IPCEI Cloud Infrastructure and Services en het GAIA-X project initiatieven die hier aan bij dragen. Verder noemt ze het Europees certificatieschema voor clouddiensten. Naar verwachting zal dit schema medio dit jaar worden opgeleverd. Na de implementatie hiervan zullen cloudproviders binnen twee jaar aan de vereiste securitymaatregelen moeten voldoen.

Eigen cloudoplossingen

De CDA-Kamerleden hadden ook gevraagd of Van Huffelen bereid is om te onderzoeken of de Rijksoverheid samen met onderwijsinstellingen initiatieven kan opstarten of ondersteunen die zien op het ontwikkelingen van eigen cloudoplossingen. De staatssecretaris stelt dat onderwijsorganisatie SURF een mix van eigen clouddiensten en aanbod van marktpartijen biedt. Daarnaast voert de organisatie ook onderzoek uit.

"De minister van OCW heeft in 2021 heeft de Europese Commissie verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen. Vooralsnog heeft dit in EU-verband niet tot concrete vervolgacties op onderwijsgebied geleid. Nederland zal hiervoor aandacht blijven vragen. Ook zal Nederland een gezonde(re) marktwerking, publieke waarden en onderwijskwaliteit blijven agenderen in het Europese debat", besluit Van Huffelen haar antwoord.

Reacties (13)
09-01-2023, 14:16 door Anoniem
Yeah right....en geen woord over het rijkscloud beleid wat de Belastingdienst en Toeslagen gaan gebruiken. Die gaan onze gegevens indezelfde cloud plaatsen. Om nog maar niet spreken over de Amerikaanse CLoud-Act en de impact daarvan...
09-01-2023, 14:32 door Anoniem
Bontenbal en Van der Molen hadden de staatssecretaris ook gevraagd naar "serieuze alternatieven" voor Amerikaanse cloudproviders. "Het kabinet zet zich er op in om door middel van verschillende initiatieven concurrentie op de markt voor clouddiensten te stimuleren. Door meer concurrentie kunnen alternatieve aanbieders van clouddiensten, waaronder Europese aanbieders, inspelen op de vraag vanuit onderwijsinstellingen en de Rijksoverheid", reageert de staatssecretaris.

Met andere woorden:
We vertrouwen erop dat de markt dit voor ons regelt, in plaats van dat we per wet afdwingen dat de data in Nederland of Europa gestald moet worden bij een "europese" provider.
Iets wat de staatssecretaris/minoister/kabinet zou kunnen doen, als ze echt willen.

Het is nu wel duidelijk dat de staatssecretaris en de minister geen aandacht hebben voor de veiilgheidsriisco's van de studenten.
Het is iemand anders zijn probleem. (Dat van de studenten)
09-01-2023, 14:51 door Anoniem
Nou, wordt het dan niet eens tijd dat diegenen die het in die cloud gestopte hebben een boete te geven, het privacy shield was al ver voor die tijd als onvoldoende beoordeeld?
09-01-2023, 14:52 door Anoniem
Allemaal.
09-01-2023, 15:36 door Anoniem
zo iets als boter op de hoofd....
09-01-2023, 15:49 door Anoniem
Logisch. Dat is ook niet de verantwoordelijkheid van het ministerie, maar van de instellingen. Geen nieuws dus.
09-01-2023, 15:53 door Anoniem
Misschien moet je het dan geen CLOUD meer noemen maar OCEAN...
Meeste datacenters staan toch onder water tegen de tijd dat het opgestart wordt... (nee, ik geloof niet in klimaatverandering, wel in een steeds langzamer draaiende planeet aarde en periodieke sunspots op de zon).

Na het aansluiten van locaties op 2x10Gbps surfnet denk ik wel dat die een goede OCEAN kunnen bouwen, die ook nog eens minder graaibaar is voor de mensen uit Murrica.
09-01-2023, 15:59 door Anoniem
Tja, wat weten ze wel daar.
09-01-2023, 16:59 door Anoniem
Hoeveel? Eh... Teveel?
Zonder iets aan getallen te noemen, is dat de enige correcte conclusie.
09-01-2023, 17:18 door Anoniem
Ik deed een STAP opleiding. Het begon met typeform om je in te schrijven bij de opleiding. Om een diploma te krijgen, moest je al je gegevens uploaden naar een of andere gegevensverwerker, weet niet eens meer welke maar wel dat ik het belachelijk vond dat je daar niet eerder over werd geinfomeerd.
09-01-2023, 23:16 door Anoniem
Ze zijn niet alleen verwerkingsverantwoordelijke volgens de AVG maar ook zorgdrager (bestuurlijk verantwoordelijke) op basis van de overheidsinformatiewet die onder de noemer Archiefwet 1995 door het leven gaat.

Voor de Inspectie Overheidsinformatie en Erfgoed misschien aanleiding te onderzoeken of gegevens verwerkt in het kader van de Archiefwet überhaupt buiten het domein / reikwijdte van de bestuurlijk verantwoordelijken mogen worden bewaard en beschikbaar gehouden? Voldoen de contracten die de instellingen hebben gesloten wel aan de Archiefwettelijke voorwaarden? Kunnen de zorgdragers wel garanderen dat ze door het gebruik maken van clouddiensten wel kunnen voldoen aan hun verplichting tot vernietiging op basis van de Archiefwet en de AVG?

Voor de Autoriteit Persoonsgegevens (AP) kan het interessant zijn wanneer een verwerkingsverantwoordelijke de persoonsgegevens niet kan vernietigen. Vernietigen is een archiefproces van teniet doen of wissen van data en documenten zonder dat zij weer kunnen worden gereconstrueerd. Dat betekent dus eigenlijk ook het vernietigen van data uit de backups van de cloudleveranciers. Niet kunnen vernietigen van persoonsgegevens wanneer de doelbinding is vervallen is op grond van de AVG een onrechtmatige verwerking, wat in de volksmond ook wel een datalek wordt genoemd. Is door de verwerkingsverantwoordelijke ook te melden aan de AP. Ook op conversies en migraties bij de cloudleverancier is de Archiefwet en wanneer het gaat om persoonsgegevens de AVG van toepassing. Ook hier de vraag of de verantwoordelijken daarover afspraken gemaakt hebben. En zo niet dan kan de verwerkingsverantwoordelijke ook op dat terrein datalekken melden.
10-01-2023, 10:45 door Anoniem
Ach zolang al die mensen in een pak met stropdas alleen maar cloud, cloud roepen (omdat ze dat nu eenmaal tijdens het netwerken en in de managementblaadjes als oplossing voor alles horen), niet gehinderd door enige kennis, zal het dweilen met de kraan open blijven.

Er lopen zoveel "IT deskundigen" rond die nog net weten waar de aan en uit knop van de monitor zit.
11-01-2023, 08:59 door Anoniem
nog even geduld:

https://www.computable.nl/artikel/nieuws/cloud-computing/7456464/250449/microsoft-verhoogt-prijzen-365-en-dynamics-11-procent.html

en

https://www.computable.nl/artikel/nieuws/management/7454580/250449/raad-van-bestuur-is-nu-verantwoordelijk-voor-it.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.