Big Tech en de HAN: een relatie onder de loep

De HAN en het hele hoger onderwijs leunen zwaar op Amerikaanse techreuzen als Microsoft. Hoe (on)verstandig is die relatie met Big Tech, nu de VS zich steeds vijandiger opstellen tegenover Europa? SAM vraagt het aan Anselm van Elk, directeur Informatievoorziening.

Iedereen heeft de laatste tijd de mond vol van digitale soevereiniteit. Goede zaak?

“Ja. Zolang we hiernaar handelen tenminste. Want als Europa hebben we jarenlang door grote geopolitieke én digitale veranderingen heen zitten slapen. Nu zijn we wakker en zien we de grote risico’s in van onze afhankelijkheid van Amerikaanse techgiganten.
Concerns waar we overigens ook veel aan te danken hebben. Neem Microsoft. Zij investeren enorm in onderwijs en bieden ons een compleet digitaal ecosysteem. Van mail tot opslag, en van Excel tot beeldbellen in Teams. Bedenk alleen al hoe goed Teams van pas kwam om tijdens de corona-lockdowns razendsnel over te stappen naar online onderwijs.

Maar door de gure autocratische wind die mondiaal rondgaat, is in Europa en Nederland overal de conclusie getrokken: regie over eigen data en digitale voorzieningen is van het allergrootste belang. Wel met als richtsnoer: never waste a good crisis. Want die regie krijg je niet terug als ieder voor zich het digitale wiel opnieuw gaat uitvinden. Of als we onze toevlucht nemen tot het houtje-touwtje-werk van afzonderlijke toepassingen. Vandaar dat we als HAN de krachten met andere onderwijsinstellingen bundelen om deze overstap niet alleen snel, maar ook zo slim, schoon en sociaal mogelijk te maken – zoals op Vereniging Hogescholen-niveau en in SURF-verband (de ICT coöperatie van onderwijs en onderzoek, red.).”

HAN’ers krijgen intern veelvuldig op het hart gedrukt alert te zijn op datalekken en andere privacy-risico’s in de boze digitale buitenwereld. Klinkt logisch. Maar hoe valt dat te rijmen met het feit dat de HAN bergen data heeft staan op servers van Amerikaanse bedrijven?

“Dat lijkt inderdaad op het eerste gezicht misschien niet te rijmen. Maar Microsoft zelf ziet de bui heus wel hangen dat Europese en andere klanten het bedrijf een veiligheidsrisico gaan vinden en de rug zullen toekeren. Daar passen ze hun dienstverlening op aan. Zo biedt Microsoft Europa harde technische en juridische garanties dat data van Europese organisaties, zoals de HAN, veilig op haar Europese servers staan.
Helemaal waterdicht is dat trouwens niet. De Patriot Act en Cloud Act geven inlichtingen-en opsporingsdiensten bevoegdheden om data te laten overhandigen ongeacht waar die data fysiek zijn opgeslagen.

“De grootste cyberdreiging? Onachtzaam handelen
binnen de eigen organisatie”

Hoe dan ook is de boze digitale buitenwereld slechts één kant van de medaille. De grootste cyberbedreiging blijkt maar al te vaak heel nabij: onachtzaam handelen in eigen huis. Bij het datalek bij de HAN in 2021 dachten we in eerste instantie aan een Russische hacker-groep. Het bleek om een jonge knul op een zolderkamer te gaan. Die had toegang gekregen tot goed afgeschermde data op onze eigen HAN-servers. Het merendeel van de datalekken komt doordat een mail abusievelijk naar de verkeerde ontvanger gaat. Een menselijke fout is snel gemaakt.
Positief verwoord: de beste bescherming tegen datalekken en andere digitale risico’s zijn goed getrainde en alerte medewerkers die digi- en datavaardig te werk gaan. Alles valt of staat met deze zogeheten Human Firewall.”

Kunnen we nog zonder, of ligt de HAN in feite hulpeloos aan het infuus van Big Tech?

“Hulpeloos overgeleverd zijn we zeker niet. Alleen al omdat we evengoed niet-Amerikaanse aanbieders in de arm nemen in ons digitale landschap, zoals SAP SuccessFactors voor ons eHRM-systeem. Daarbij kijken we ook dieper in de keten. Want een Duitse of Zweedse leverancier is ook niet per se zaligmakend. Vaak maken die op hun beurt weer gebruik van cloud-opslagsystemen als Amazon Web Services, Google Cloud of Microsoft Azure.

Goed om te weten ook: in alle gevallen doen we vooraf een uitgebreide privacy & security-impactanalyse. We zien erop toe dat onze data in Europa staan en blijven staan. En natuurlijk leggen we alle afspraken rond informatiebeveiliging altijd, óók met Amerikaanse partijen, contractueel precies vast.”

Laat ik het dan anders vragen: zijn we als HAN afhankelijker van Big Tech dan ons lief is?

“Ja, dat is wel zo. Drukt de huidige bewoner van het Witte Huis op de spreekwoordelijke rode knop, dan zou de clouddienstverlening van Big Tech abrupt kunnen stoppen, met alle gevolgen van dien.
Los van dat extreme scenario: als HAN kunnen we natuurlijk ook niet zomaar een-twee-drie allerlei Microsoft-producten overboord gooien, dat zal vast iedereen snappen. In ons digitale huis hangt alles met alles samen. Ontkoppelen van Big Tech is een proces van jaren.
Om het nog iets ingewikkelder te maken: juist de cyberveiligheid-experts bij bijvoorbeeld Microsoft kunnen data erg goed afschermen tegen cybercriminelen. Welke andere organisatie heeft die mate van expertise in huis?

“Enerzijds streven we in hogeronderwijsverband naar scherpere
afspraken met Microsoft, anderzijds verkennen
we alternatieven als Nextcloud”

Best een complex speelveld dus. Als HAN voeren we daarom, via SURF en samen met andere hogeronderwijsinstellingen, een tweesporenbeleid: gezamenlijk proberen we bij Microsoft goede deals gedaan te krijgen, technisch, financieel, vanuit onderwijs- en onderzoekbehoeftes, maar dus ook op het vlak van dataveiligheid. Anderzijds – een voorbeeld van het tweede spoor – hebben we er ook samen voor gezorgd dat er nu via SURF een pilot komt met Nextcloud, als Europees alternatief voor Amerikaanse clouddiensten.”

Wat is de top drie van praktische obstakels die (nu nog) een overstap lastig maken naar platforms als Nextcloud, Proton Mail of LibreOffice?

“1. Gebruikersgemak: druk in Microsoft Word op de rechtermuisknop en hup: je kunt direct het bestand mailen naar collega’s, of laten vertalen of laten voorlezen. Videobellen, samen sleutelen aan een gedeeld document, verzin het maar en het kan. Zo’n rijk en gebruiksvriendelijk digitaal ecosysteem waarin alle tools en functionaliteiten naadloos op elkaar aansluiten, dat heeft de Europese concurrentie van Microsoft niet te bieden. Althans, nog niet, want ze maken nu wel een inhaalslag.

2. Technische integratie en kosten: ook ‘onder de motorkap’ lopen Microsoft-producten soepel met elkaar in de pas. Die koop je als het ware van de plank, op een haar na klaar voor gebruik. Schaf je daarentegen bijvoorbeeld LibreOffice aan, dan ben je in de totaalsom nu nog duurder uit. Vooral vanwege meer uitdagingen rond interoperabiliteit (integratie van en gegevensuitwisseling tussen systemen, applicaties en apparaten, red.).

3. De arbeidsmarkt: nog steeds werken verreweg de meeste bedrijven met Microsoft. Dan zullen we onze studenten dus ook hierin moeten bekwamen. Wel zou je als hogeschool kunnen redeneren: we willen innovatieve en wendbare beroepsprofessionals afleveren, en juist daarom gaan we ervoor zorgen dat ze óók in LibreOffice of andere programma’s thuis zijn. Bovendien geven we het werkveld zo een innovatie-impuls om over te stappen naar Europese leveranciers.”

“Wil Europa niet het openluchtmuseum van de wereld worden,
dan zal op dit continent de innovatiemotor
op volle kracht moeten gaan draaien”

Een mooie brug naar de slotvraag: zou niet juist de HAN, die zegt te zijn van ‘slim, schoon en sociaal’, ‘digi- en datavaardig’ en ‘wereldburgerschap’, het goede voorbeeld moeten geven? Door voorop te lopen in innovatie en implementatie van Europese en open source-alternatieven voor Big Tech?

“Volmondig ja! Het grote plaatje is helder: wil Europa niet het openluchtmuseum van de wereld worden, dan zal op dit continent de innovatiemotor op volle kracht moeten gaan draaien. Europa moet dynamischer en daadkrachtiger worden, grootschalig investeren in haar eigen toekomst. Dat alles kan niet zonder soevereiniteit, en dus ook niet zonder digitale soevereiniteit.

De HAN draagt hier nu al, binnen en buiten de hogeschool, aan bij. Zo zal soevereiniteit bij elke nieuwe businesscase, bij elke komende aanbesteding van de HAN, een belangrijk criterium vormen. Ook zullen we soevereiniteit inbrengen als sleutelterm in het nieuwe instellingsplan.
Verder is de HAN betrokken bij EduGenAI, om tot goede, veilige AI in het onderwijs te komen. De pilot start deze zomer, en het plan is dat deze dienst 1 januari 2027 gereed is.

Daarnaast zetten Yvonne de Haan, lid van het College van Bestuur, en ik ons landelijk in voor de juiste strategische keuzes, bij de Vereniging Hogescholen respectievelijk SURF. Ons gaat het bovenal om twee dingen: toewerken naar sector-brede digitale voorzieningen en doorbouwen aan de Human Firewall.”

Lees op SAM ook het nieuwsbericht van 14 april: SURF zoekt meer proefkonijnen om onafhankelijk te worden van Microsoft