De uu77 krijgt geregeld berichten binnen waarin zorgen worden gedeeld over haar afhankelijkheid van Big Tech, zoals Microsoft 365. De universiteit deelt deze zorgen en werkt daarom aan een nieuwe strategie waarin digitale soevereiniteit een belangrijk thema is, zo schrijft zij in een reactie (zie onderaan de pagina) op de van onderzoekers die ruim zeshonderd keer werd ondertekend.
Deze zorgen over Big Tech komen mede voort uit de huidige geopolitieke ontwikkelingen waardoor ook zorgen rondom informatiebeveiliging en -veiligheid ontstaan. Hoe wordt de keuze voor bepaalde ICT-oplossingen eigenlijk gemaakt? Bij het maken van een besluit op ICT-gebied neemt de uu77 drie risiconiveaus mee:
Niveau 1
Hier gaat het om beveiliging: kan de leverancier de onze gegevens voldoende beschermen? Hierbij maakt de universiteit een inschatting op basis van reputatie en afbreukrisico voor de leverancier zelf. Op dit vlak beschouwt de universiteit BigTech tot hoog veilig: het vertrouwen van de klanten in de veiligheid staat centraal en informatieveiligheid en het managen daarvan zijn fundament van het businessmodel.
Niveau 2
Dit niveau gaat over vertrouwen: is de leverancier zelf te vertrouwen met onze gegevens? SURF, het samenwerkingsverband van onderwijs- en onderzoeksinstellingen waar we actief in deelnemen, heeft een raamovereenkomst vastgelegd met Microsoft. De contracten die SURF voor deelnemers uit de sector afsluit, borgen zaken die voor onze sector van belang zijn zoals de voorwaarden van de General Data Protection Regulation GDPR en opslag van onze gegevens in de Europese Economische Ruimte.
De risico’s die ontstaan wanneer één van deze landen in het landsbestuur een wijziging krijgt waardoor eerder gemaakte afspraken ter discussie komen te staan of zelfs gewijzigd worden, is nieuw. De impact daarvan kan in potentie groot zijn en gaat verder dan alleen de data van de universiteit, het gaat ook over de beschikbaarheid van cruciale software en de borging van onze publieke waarden daarin.
Niveau 3
Dit level schat risico’s in op het gebied van staatscontrole: is de leverancier onder controle van een statelijke actor of kan dat gebeuren (ook door een bedrijfsovername) en is de statelijke actor vervolgens te vertrouwen? Het risico op dit niveau werd lange tijd laag ingeschat waardoor een keuze werd gemaakt voor Big Tech. Echter, blijken die risico’s nu toch hoger te zijn dan aanvankelijk werd ingeschat.
Op Europees niveau zijn bijvoorbeeld meerdere pogingen ondernomen om afspraken te maken met de Verenigde Staten om risico’s op dit niveau te beperken. Zonder veel succes en het blijkt dat dergelijke afspraken staan of vallen met de machthebbende partij. Omdat er geen controlerende macht of statelijke actor is waartoe de universiteit zich kan richten, geen derde partij die in geval van een conflict een eerlijke bindende uitspraak zal doen, is de conclusie dat deze risico’s alleen gepareerd kunnen worden door digitaal soeverein te zijn.
Nieuwe strategie
“Wij voelen die urgentie om keuzes te maken ook door bijvoorbeeld de berichtgeving zoals het beperken van toegang op academische data in de Verenigde Staten op bepaalde onderzoeksthema’s”, stelt het college van bestuur van de uu77. “Momenteel wordt gewerkt aan een nieuwe I-strategie waarin we onderzoeken hoe we minder afhankelijk kunnen zijn van Big Tech en waarin digitale soevereiniteit een belangrijk thema wordt. Bij het vormgeven van deze strategie werken we samen met de faculteiten, divisies en het SURF-verband.”