Onderwijs minder afhankelijk van commerciële techbedrijven

Digitalisering bedreigt het hoger onderwijs, stellen zeventien rectoren van Nederlandse universiteiten in een opiniestuk in de Volkskrant. Ze maken zich grote zorgen om de toenemende macht van (Amerikaanse) techbedrijven op hogescholen en universiteiten. En pleiten voor beter publiek beleid. Hoe groot schatten tech-experts dit gevaar in? En heeft de digitalisering volgens hen ook positieve uitwerkingen op het onderwijs? We vragen het Els de Busser, docent Cyber Security Governance aan Universiteit Leiden, en Aiko Pras, hoogleraar Cybersecurity aan Universiteit Twente. 

“De snelle digitalisering van het Nederlandse hoger onderwijs is in toenemende mate afhankelijk van commerciële platformdiensten”, schrijven de rectores magnifici in hun opinieartikel. Studenten en docenten maken veelvuldig gebruik van Google Scholar, Blackboard of Canvas. E-mailservices, besturingssystemen en clouddiensten die geleverd worden door techreuzen als Google en Microsoft. Dat lijkt misschien onschuldig, maar deze bedrijven zijn vaak uit op gebruikersdata, zodat ze gepersonaliseerde advertenties en services aan kunnen bieden.
 
Op deze manier worden onderwijsinstellingen afhankelijk van commerciële bedrijven, stellen de rectoren. Rechten en vrijheden van studenten en docenten, zoals privacy en non-discriminatie, worden aangetast. En dat terwijl het Nederlandse onderwijs gebouwd is op waarden als vrijheid, onafhankelijkheid en autonomie. Dus pleiten de rectoren voor een gezamenlijk Nederlands en Europees beleid. Universiteiten en hogescholen moeten onderzoeken hoe ze zelf veilige en verantwoorde platformen kunnen ontwikkelen en voorwaarden opstellen voor de commerciële aanbieders. “Samen staan wij sterker.”
 

Gebruikersinformatie als dreigmiddel

Hoogleraar Cybersecurity Aiko Pras is blij met de ingezonden brief van de rectoren. “Ik roep dit intern al jaren. Ik vind digitale soevereiniteit een belangrijk punt. Momenteel breiden een aantal machtsblokken in de wereld hun macht uit via het internet. Onder meer om zoveel mogelijk data binnen te hengelen. Daar kunnen bedrijven een hoop mee doen.” Pras doelt bijvoorbeeld op het schandaal rondom Cambridge Analytica, het bedrijf dat gegevens van Facebook-gebruikers misbruikte om het stemgedrag van Amerikaanse kiezers te beïnvloeden. Maar ook bedrijven uit landen als Rusland en China gebruiken zulke data voor politieke doeleinden.
 
“Als de Verenigde Staten op ict-gebied even afhankelijk van ons zouden zijn als wij van hen, zou het probleem minder groot zijn”, legt Pras uit. “Maar momenteel is het eenrichtingsverkeer. Dat is niet wenselijk.” De professor vreest dat gevoelige gebruikersinformatie bij een handelsconflict of andere politieke spanningen ingezet kan worden als dreigmiddel. Ineens mogen universiteiten voorzieningen van bedrijven bijvoorbeeld niet meer gebruiken. 
 

Ict uitbesteden

Het feit dat e-mailadressen van studenten en medewerkers van bijna alle Nederlandse universiteiten en hogescholen gekoppeld zijn aan Google, is volgens Pras niet wenselijk. Een e-mailadres eindigt dan wel op @student.utwente.nl, maar wordt gehost door Google. “Stel, Google stopt daarmee, wat gebeurt er dan met die e-mailadressen?”, noemt Pras. “Ik heb niks tegen het bedrijf Google, maar wel tegen de veiligheidsdiensten erachter.”
 
“Besturen hebben vaak de neiging om te denken: laten we de ict uitbesteden, dat is niet de kerntaak van het onderwijs.” Maar onderwijsinstellingen hóeven niet afhankelijk te zijn, volgens de hoogleraar. Er zijn genoeg kleinere, betrouwbaardere bedrijven die e-mailadressen kunnen hosten.
 
Wat hebben buitenlandse commerciële bedrijven eigenlijk aan gegevens van Nederlandse studenten? Maakt het echt uit welke bron zij gebruiken voor hun scriptie? Of hoe hoog hun cijfer is voor een vak? “Ook deze gegevens worden politiek ingezet”, denkt Pras. “We moeten niet naïef zijn.” Een aantal bedrijven gaat zeker op een nette manier met persoonsgegevens om, maar niet allemaal. En ook overheden hebben toegang tot zulke gegevens. “Stel, je bent een Iranese student. En je studeert aan, zeg, Universiteit Tilburg. Dat kan best gemonitord worden door de Amerikanen. Die situatie wil je als universiteit voorkomen. De privacy van je studenten moet beschermd zijn.”
 

Positieve kanten

Els de Busser, universitair docent Cyber Security Governance en opleidingsdirecteur van de Executive Master Cyber Security aan Universiteit Leiden, onderschrijft de mening van de rectoren ook. Tegelijkertijd moeten we niet vergeten dat digitalisering het onderwijs kansen biedt. “De digitalisering van het onderwijs is een tweesnijdend zwaard. Er zijn zeker risico’s aan verbonden, maar vaak wordt de nadruk daar vooral op gelegd. Terwijl de digitalisering ook positieve kanten heeft. Zolang het veilig gebeurt en gegevens niet gaan lekken”, benadrukt ze.
 
Waar De Busser dan aan denkt? “Administratieve zaken, zoals het bijhouden van cijferlijsten. Dat kan allemaal sneller, gemakkelijker en op grotere schaal.” Zo denkt ze als docent veel na over interactief onderwijs. Een eenvoudig voorbeeld: als je een groep van 300 studenten voor je hebt, is het stellen van een vraag lastig. Het zijn altijd dezelfde studenten die antwoord geven. Je kunt de vraag ook stellen via een quiz. Studenten geven dan anoniem antwoord, via hun laptop of smartphone. Of je legt ze een aantal stellingen voor. Ook studenten die dat normaal gesproken niet zo snel doen, komen zo aan het woord. 
 
Een ander voorbeeld is het digitaliseren van tentamens. Moeilijk leesbare handschriften kunnen zo gemakkelijk ontcijferd worden. “Uiteraard moet aan allerlei veiligheidszaken voldaan worden”, beklemtoont De Busser. “Zodat studenten niet met tentamens sjoemelen of het systeem gehackt wordt.” 
 

Bescherming tegen cyberaanvallen

Sinds de Algemene verordening gegevensbescherming (AVG) in mei 2018 van kracht is geworden, is er een grote bewustwording rondom persoonsgegevens gekomen, denkt De Busser. “Veel van de regels zijn niet nieuw”, vertelt ze, “maar het is bijvoorbeeld goed dat iedereen nu actief toestemming moet geven als er om persoonsgegevens gevraagd wordt.” Ook hebben de hoge boetes bedrijven wakker geschud. “Ik vind dat de EU grote stappen gezet heeft als het gaat om gegevensbescherming. Maar het blijft een continu proces.” 
 
Over het algemeen vindt De Busser dat onderwijsinstellingen op een serieuze manier bezig zijn met cyberveiligheid. Al blijven er grote uitdagingen bestaan. Zo werd Universiteit Maastricht eind 2019 het slachtoffer van een cyberaanval. Het e-mailverkeer lag plat, net als veel van de Windowssystemen. Dat had net zo goed andere universiteiten kunnen overkomen, gelooft Aiko Pras. 
 
“Onderwijsinstellingen zijn redelijk beschermd, maar het kan altijd beter. Het moet beter.” Al blijft dat lastig, onderkent hij. Universiteiten en hogescholen zijn immers open instellingen. Waar bij bedrijven al het personeel soms hetzelfde merk laptop gebruikt, geldt bij onderwijsinstellingen het beleid Bring Your Own Device (BYOD). “Dat maakt het systeem kwetsbaar.”
 

Alternatieven zoeken

Pras sluit zich aan bij de oplossing die de zeventien rectoren noemen in hun opiniestuk: meer samenwerking tussen onderwijsinstellingen. “Samen moeten we betrouwbare onderwijssystemen ontwikkelen, waardoor we minder afhankelijk worden van de commerciële bedrijven.” Waar we moeten beginnen? “Bij het weghalen van die e-mailadressen bij Google. En SURF-cloud gebruiken in plaats van Dropbox.” 
 
Ook De Busser gelooft dat universiteiten actief op zoek kunnen gaan naar minder bekende alternatieven voor commerciële, buitenlandse platformen. “Welke bedrijf biedt de beste bescherming? Daar kunnen onderwijsinstellingen onderzoek naar doen. Het kost wat inspanning om te vergelijken hoe goed de beveiliging geregeld is, maar dat is het waard. We hoeven niet te blijven rekenen op enkele bedrijven.” 
 
Door: Nationale Onderwijsgids / Bente Schreurs