Ingediend | 20 oktober 2022 |
---|---|
Beantwoord | 9 januari 2023 (na 81 dagen) |
Indieners | Harry van der Molen (CDA), Henri Bontenbal (CDA) |
Beantwoord door | Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
Onderwerpen | economie ict recht staatsrecht |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z19981.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-1219.html |
Ja.
Eigen gegevens over het cloudgebruik door universiteiten zijn niet bekend bij het Ministerie van OCW. Instellingen zijn zelf eigenaar van data en «verwerkingsverantwoordelijke» zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG). Ze zijn dan ook vrij en zelf verantwoordelijk voor het vormgeven en aangaan van samenwerkingen op het gebied van ICT en het gebruik van cloud. Uiteraard moeten die samenwerkingen in lijn zijn met de AVG, waarin ook bepalingen over het delen van data met derde landen zijn opgenomen. De Autoriteit Persoonsgegevens (AP) ziet toe op de zorgvuldige omgang met persoonsgegevens in het onderwijs. Om het onderwerp public cloudgebruik verder op te pakken willen wij, in lijn met het Rijksbreed cloudbeleid 2022, sessies organiseren om het onderwerp verder uit te dragen. Hierbij willen wij graag maatschappelijk relevante organisaties, waaronder kennisinstellingen, uitnodigen. Daarnaast gaan we dit onderwerp verder oppakken in het kader van de Werkagenda Waardengedreven Digitalisering.
In de Kamerbrief van 14 juli 2022, over het verhogen van digitale veiligheid in onderwijs en onderzoek2, wordt door de Minister van OCW ook ingegaan op hoe de sector daarbij wordt ondersteund, bijvoorbeeld door het faciliteren van Data Protection Impact Assessments (DPIA’s), op producten die in het onderwijs veel gebruikt worden. Daarmee geeft het kabinet uitvoering aan de motie van de leden Kwint en Van Meenen.3 Door de DPIA’s kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten. De DPIA’s, waarbij de instellingen worden ondersteund door SURF en SIVON, sluiten aan op het advies van de AP.
Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd door Versnellingsplan ICT4. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de onderwijs koepelorganisaties Universiteiten van Nederland (UNL) en de Vereniging Hogescholen (VH).
Het kabinet ziet de genoemde risico’s, en heeft daartoe reeds verschillende stappen gezet. Deze worden hierna kort uiteen gezet.
Voor wat betreft privacy worden er Data Protection Impact Assessments (DPIA’s) uitgevoerd en worden contractonderhandelingen met grote leveranciers in het onderwijs centraal gevoerd.5 Daarmee kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten en kunnen alle instellingen gebruikmaken van dezelfde contractvoorwaarden. Hiermee wordt aangesloten op het advies van de AP.
Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL. SURF, koepels en marktpartijen trekken gezamenlijk op in de uitvoering en er wordt continu bekeken of er waarborgen kunnen worden verbeterd.
Voor wat betreft spionage weten we dat kennisinstellingen doelwit zijn van spionageactiviteiten. Een aantal staten voert een offensief programma tegen Nederlandse belangen en probeert onder andere aan unieke Nederlandse kennis (bijvoorbeeld onderzoeksgegevens) en technologieën te komen. Daarbij is in een aantal, veelal autoritaire staten, een nauwe verwevenheid tussen het bedrijfsleven en de overheid.6, 7 Deze risico´s adresseert het kabinet met de aanpak Kennisveiligheid en de aanpak Tegengaan Statelijke Dreigingen.8c9
In de Nederlandse gedragscode wetenschappelijke integriteit is opgenomen dat kennisinstellingen een zorgplicht hebben voor een werkomgeving waarin goed onderzoek gewaarborgd wordt. Databeheer wordt daarin expliciet genoemd. In de Nationale Leidraad Kennisveiligheid is ook een hoofdstuk over digitale beschermingsmaatregelen en cyberveiligheid opgenomen. Zo worden instellingen die met sensitieve onderzoeksdata of resultaten werken gewezen op het nemen van maatregelen op het gebied van rubricering, autorisatie en de implementatie van specifieke organisatorische en technologische maatregelen om mogelijke aanvallen te detecteren en te monitoren om zodoende de risico’s beter te borgen.
Voor strategische autonomie heeft het kabinet op 8 november jl. de kabinetsbrede visie op de open strategische autonomie van de EU naar de Kamer gestuurd.10 Het kabinet werkt verder onder coördinatie van EZK aan een nadere invulling van de digitale autonomie van de digitale economie en infrastructuur. Deze invulling is naar verwachting in de loop van 2023 gereed.
Onderwijsinstellingen zijn, conform de AVG, verantwoordelijk voor de omgang met persoonsgegevens en worden geacht hier zorgvuldig invulling aan te geven. Wanneer een instelling gebruik maakt van een product of dienst waarbij persoonsgegevens worden verwerkt moeten zij met de betreffende leverancier een verwerkersovereenkomst afsluiten waarin wordt vastgelegd welke persoonsgegevens voor welke doeleinden mogen worden verwerkt en onder welke voorwaarden dat gebeurt. Om de veiligheid van gegevensverwerkingen te waarborgen en te voorkomen dat een verwerking inbreuk maakt op de AVG, moet de verwerkingsverantwoordelijke de aan de verwerking inherente risico’s beoordelen en op grond van een objectieve en zo concreet mogelijke risicobeoordeling passende technische en organisatorische maatregelen nemen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd. Als een verwerking toch een hoog risico blijft inhouden dan is voorafgaand aan de verwerking een DPIA verplicht, zodat op basis daarvan maatregelen kunnen worden genomen om die risico’s te voorkomen of te reduceren. Zo maakte een eerder uitgevoerd assessment van Microsoft duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal maatregelen neemt om de risico’s te mitigeren. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. Met leveranciers van producten die veel gebruikt worden in het onderwijs, worden deze contracten centraal uitonderhandeld door SURF en worden dan ook afspraken gemaakt over veiligheid en privacy.11 Deze contracten gelden dan voor de hele sector zodat niet iedere instelling zelf deze onderhandelingen hoeft te doen en alle instellingen ook onder dezelfde voorwaarden producten kunnen gebruiken. Tevens is het omgaan met kennis uit gevoelige kennisdomeinen expliciet opgenomen in de Nationale Leidraad Kennisveiligheid.
In de antwoorden op vraag 2, 3 en 4 heb ik uiteengezet hoe het kabinet, en de Minister van OCW in het bijzonder, hiermee omgaan. In de kamerbrief over het verhogen digitale veiligheid onderwijs en onderzoek van 14 juli 2022 gaat de Minister dieper in op de stappen die gezamenlijk worden gezet.12
Het kabinet zet zich er op in om door middel van verschillende initiatieven concurrentie op de markt voor clouddiensten te stimuleren. Door meer concurrentie kunnen alternatieve aanbieders van clouddiensten, waaronder Europese aanbieders, inspelen op de vraag vanuit onderwijsinstellingen en de rijksoverheid. Initiatieven die hieraan bijdragen zijn onder andere de DMA en de Dataverordening, de IPCEI Cloud Infrastructure and Services en het GAIA-X project.
Voorts wordt momenteel in het kader van de Cyberbeveiligingsverordening (Cyber Security Act) een Europees certificatieschema ontwikkeld voor de clouddiensten. De cyberbeveiligingsverordening is een Europese verordening, die een Europees kader introduceert op het gebied van cyberbeveiligingscertificering. De cyberbeveiligingsverordening maakt het mogelijk om op Europees niveau cyberbeveiligingscertificeringsregelingen (in de praktijk ook wel aangeduid als «certificatieschema’s») vast te stellen voor categorieën van ICT-producten, -diensten en -processen. In opdracht van de Europese Commissie wordt thans een cyberbeveiligingscertificeringsregeling voor de clouddiensten (de zgn. Europese Cloud certificering schema) met cyberbeveiligingsvoorschriften ontwikkeld. Naar verwachting zal dit schema medio 2023 worden opgeleverd. Na de implementatie hiervan zullen de cloudaanbieders binnen twee jaar moeten voldoen aan de vereiste security maatregelen.
De Nederlandse investeringsvoorstellen voor IPCEI Cloud zijn op 4 april jl. bij de Europese Commissie ingediend. Het verplichte goedkeuringsproces voor de voorstellen neemt door de omvang en complexiteit van deze IPCEI meer tijd in beslag dan eerder aangenomen door alle betrokken partijen. De huidige verwachting is dat dit proces begin 2023 zal worden afgerond, waarna de Tweede Kamer geïnformeerd kan worden over de investeringsvoorstellen die voor subsidie in aanmerking komen.
SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Dit betreft Nederlandse, Europese en Amerikaanse aanbieders, grote en kleinere leveranciers. Verder heeft SURF eigen clouddiensten, op eigen rekensystemen van SURF, waaronder de Nationale Supercomputer Snellius. Met SURFdrive, Research Drive en SURFfilesender, kunnen bestanden worden opgeslagen en verstuurd. Ook voert SURF projecten uit waarin verkenningen plaatsvinden binnen diverse toepassingsgebieden waarin wordt gekeken naar open source alternatieven, zoals voor een samenwerkingsomgeving – zoals officeapplicaties –, een leeromgeving, enquête tools en grafische software. De verkenningen moeten antwoord geven op vragen over de gebruiksvriendelijkheid, de toepasbaarheid binnen een bestaande organisatie, support en ondersteuning, beheer, security, privacy, mogelijkheden om te koppelen met andere onderwijssystemen en een duurzame en gezonde governance als het gaat om de betrouwbaarheid van de software en de community daaromheen.
De Minister van OCW heeft in 2021 heeft de Europese Commissie verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen.14 Vooralsnog heeft dit in EU-verband niet tot concrete vervolgacties op onderwijsgebied geleid.15 Nederland zal hiervoor aandacht blijven vragen. Ook zal Nederland een gezonde(re) marktwerking, publieke waarden en onderwijskwaliteit blijven agenderen in het Europese debat.