Dit onderwerp komt niet uit de lucht vallen. In 2019 hebben bijna alle rectoren van de Nederlandse universiteiten een artikel in de Volkskrant geplaatst waarin ze stellen dat de afhankelijkheid van Amerikaanse big tech bedrijven toeneemt en het tijd is om een grens te trekken. Hierna is deze boodschap keer op keer herhaald: een open brief van cyber security professoren, de nationale Cyber Security Raad, de Autoriteit Persoonsgegevens en een (in 2023) aangenomen motie in de Tweede Kamer omtrent alternatieve applicaties gebaseerd op publieke waarden. Recentelijk is er ook een Clingendael onderzoek gepubliceerd, waar de NOS ook aandacht aan heeft besteed, dat stelt dat de verdere ontwikkeling van Europese cloud aanbieders helpt met het mitigeren van risico’s en daarom meer aandacht verdiend. Ondanks deze groeiende bezorgdheid blijft de afhankelijkheid van grote techbedrijven groeien. Deze tegenstelling heb ik afgelopen halfjaar onderzocht, door het uitvoeren van 11 interviews met verschillende professionals: experts vanuit SURF, academici en CISO’s/CIO’s. Deze interviews heb ik hierna gekoppeld aan andere onderzoeken en recente gebeurtenissen. Na mijn onderzoek werd het duidelijk dat er meer actie moet worden ondernomen om de risico’s te beperken en zo de afhankelijkheid van Amerikaanse big tech bedrijven te verminderen. Dit artikel zal dieper ingaan op de specifieke gevaren die gepaard gaan met deze afhankelijkheid en zal mogelijke oplossingen verkennen die het hoger onderwijs kunnen helpen.
Wat doet SURF?
SURF erkent de risico’s van big tech. Na een rapport van de koepelvereniging van Nederlandse universiteiten, “Advies publieke waarden voor het onderwijs”, heeft SURF 2 experts aangesteld die werken aan publieke waarden. Deze experts zijn bezig met verschillende initiatieven, van het starten van pilots tot het beginnen van een “Open Source Program Office”. Misschien nog wel het belangrijkste initiatief vanuit SURF is een voorgestelde innovatiezone gemeenschappelijke digitale soevereiniteit. Hierdoor kan er meer aandacht geschonken worden aan dit thema waardoor er meer initiatieven kunnen worden opgezet. Deze innovatiezone is momenteel een voorstel wat besproken gaat worden in de ledenraad, waarna hier een besluit over wordt genomen. Hiernaast besteden de onderwijs- en onderzoeksinstellingen ook meer aandacht aan de risico’s van grote IT-leveranciers door middel van een nieuwe dienst, SURF Vendor compliance. Deze dienst heeft de mogelijkheid om via (Europese) wetgeving grote leveranciers aan de regels te houden. Zo zijn er (in samenwerking met andere organisaties) afspraken gemaakt met leveranciers als Google, Microsoft en Zoom. Ondanks al deze initiatieven blijft de verwikkeling tussen big tech en hoger onderwijs groot. Dit betekent dat er nog veel kansen liggen om digitale soevereiniteit te garanderen, privacy te vergroten en vendor lock-in te vermijden.
Risico's
1. Verlies van academische vrijheid & digitale soevereiniteit
Na het uitvoeren van de interviews werd het duidelijk dat het risico op het verlies op academische vrijheid en digitale soevereiniteit als belangrijkst wordt gezien. De publieke waarden experts bij SURF zeggen dat digitale soevereiniteit de basis is van alle waardes: zonder soevereiniteit is er geen onderhandelingspositie. Hoewel SURF een sterke onderhandelingspositie lijkt te hebben, bestaat de kans dat deze onderhandelingspositie verkleind wordt door de opmars van big tech. Recent onderzoek van de Universiteit van Amsterdam geeft aan dat het behoud van digitale soevereiniteit de sleutel is tot een succesvolle digitale transitie in de universitaire sector. Als we kijken naar het verlies op academische vrijheid, zien we dat dit ook een probleem kan worden. In de Verenigde Staten zijn er voorbeelden van hoe deze vrijheid wordt aangetast, met de verhalen van Timnit Gebru of Joan Donovan.
2. Privacy problemen
Big tech zit in de business van (persoonlijke) data. Voorbeelden zoals het Cambridge Analytica schandaal laten zien dat deze data niet altijd veilig is. Ook de big tech producten die de leden van SURF gebruiken zijn helaas niet altijd 100% veilig. Verschillende DPIA’s hebben aangetoond dat er hoge privacy risico’s aanwezig waren in producten van Google, Microsoft en Zoom. Inmiddels zijn deze risico’s (na uitvoerig overleg) opgelost, maar deze assessments laten goed zien hoe er zelfs in producten van Microsoft of Google problemen kunnen ontstaan.
3. Vendor lock-in
Vendor lock-in is het risico dat de kosten om naar een andere leverancier te gaan zo hoog zijn dat een klant wel bij de huidige leverancier moet blijven. Zodra dit het geval is, heeft de huidige leverancier veel macht en bestaat de mogelijkheid dat prijzen of afspraken arbitrair veranderd worden, omdat er toch geen alternatief beschikbaar is. Sommige big tech bedrijven hebben al andere prijsafspraken willen maken die niet altijd in het voordeel zijn van de instellingen, maar het scenario van vendor lock-in hebben we in volle omvang gezien bij academische uitgeverijen. Deze bedrijven zijn exemplarisch voor vendor lock-in, omdat ze vaak exorbitante prijzen vragen voor toegang tot de tijdschriften en eigen onderzoeksdata. Dit huidige scenario dient als een duidelijke waarschuwing voor de gevaren van vendor lock-in.
Mitigaties
1. Meer (en betere) alternatieven
In mijn interviews kwam vaak naar voren dat keuzevrijheid een erg belangrijk goed is, wat tegenwoordig steeds lastiger te vinden is. Om deze keuzevrijheid te vergroten zouden alternatieven, zoals Nextcloud of Jitsi, meer omarmd moeten worden. Hoewel deze producten vaak niet zo gebruiksvriendelijk zijn als big tech alternatieven, hebben ze toch voordelen op het gebied van privacy of samenwerkingsmogelijkheden. Een logische usecase voor deze alternatieven is de onderzoekssector: met Nextcloud kan bijvoorbeeld goed worden samengewerkt tussen verschillende instellingen en Jitsi is een fijn alternatief om aan te bieden voor de meer privacy bewuste hoogleraar. Hier liggen kansen voor de instellingen: door de alternatieven aan te bieden aan medewerkers of studenten worden de keuzevrijheid en privacy allebei vergroot.
2. Bewustwording
Een andere belangrijke mitigatie is het creëren van bewustwording omtrent de risico’s. De structuur van SURF werkt zo dat de coöperatie weinig kan doen zonder akkoord van de leden. Als de risico’s van big tech’s dominantie opgelost dienen te worden, is het belangrijk dat de leden van SURF zich bewust zijn van die risico’s. Door het probleem in de gehele onderwijsstructuur, van student tot bestuurder, meer aandacht te geven, kan de motivatie voor verandering toenemen.
3. Verantwoordelijkheid
Als laatste is het belangrijk dat big tech verantwoordelijk wordt gehouden voor de laatste wet- en regelgeving. In de interviews is benoemd dat vooral Europese regelgeving echte verandering kan brengen, als de bedrijven zich hieraan houden. Door DPIA’s en DTIA’s uit te voeren kan dit getoetst worden en kan er betekenisvolle verandering komen. Anderzijds is het ook belangrijk dat instellingen zelf verantwoordelijkheid nemen. In het UNL advies over publieke waarden (uit 2021) is een van de aanbevelingen dat de universiteiten reflectie toepassen op digitaliseringsvraagstukken in relatie tot publieke waarden. Deze waarden moeten, volgens het UNL advies, worden opgenomen in het risicomanagement om zo systematisch aandacht aan publieke waarden te geven. Andere adviezen luiden dat de universiteiten vanuit hun voortrekkersrol de publieke waarden voor het onderwijs meer moeten agenderen en dat de houding van universiteiten verankerd wordt in een Declaration. Dit blijkt in de praktijk lastig om te realiseren.
Conclusie
De groeiende afhankelijkheid van grote techbedrijven in het hoger onderwijs brengt aanzienlijke risico’s met zich mee, van verlies van academische vrijheid en digitale soevereiniteit tot privacyproblemen en vendor lock-in situaties. Deze risico’s zijn niet te negeren, maar gelukkig bied mijn onderzoek ook mitigatiestrategieën. Het vergroten van keuzevrijheid door het omarmen van alternatieve, meer privacy bewuste oplossingen zoals Nextcloud en Jitsi is een belangrijke stap. Bewustwording bij alle betrokken partijen is cruciaal om deze risico’s effectief aan te pakken. Bovendien moeten grote techbedrijven verantwoordelijk worden gehouden voor naleving van wet- en regelgeving, met name op Europees niveau, en moeten instellingen zelf ook verantwoordelijkheid nemen door publieke waarden op te nemen in hun risicomanagement en beleidsagenda’s. Sandy Janssen, product owner SURF Vendor compliance, zegt het volgende: “We moeten een en/en strategie hanteren: enerzijds moeten we alternatieven blijven ontwikkelen en gebruiken, anderzijds moeten we ook met big tech in gesprek blijven”.
Hoewel er nog veel werk aan de winkel is om de digitale autonomie van het hoger onderwijs te herstellen, zijn er steeds meer hoopvolle ontwikkelingen. Met voortdurende inzet, bewustwording en samenwerking kunnen we de controle over onze digitale toekomst weer terugwinnen. Hiervoor is het belangrijk dat iedereen digitale waarde hoger op de agenda zet en we dit onderwerp actief meenemen naar de vergaderzalen.
Meer lezen? Klik op deze link om mijn volledige onderzoek te downloaden en de uitgebreide versie te lezen. Dit onderzoek is gepubliceerd op eigen titel en reflecteert niet per se de mening en visie van SURF.
1 Praat mee