Kan de RUG de controle terugpakken?
We hangen bij Google aan het infuus
Jeanne Mifsud Bonnici hoeft er niet eens over na te denken. De keuze voor Google was een ongelukkige, zegt ze.
Het is nu zeven jaar geleden dat de RUG zijn eigen e-maildienst Pegasus Mail inruilde voor Gmail. In de loop der tijd kwamen Google Calendar en andere onderdelen van de Google Suite for Education daar nog bij. De software van het bedrijf zou betrouwbaarder zijn – een aantrekkelijk vooruitzicht na een aantal universiteitsbrede mailstoringen – en nog een stuk goedkoper ook, waardoor de universiteit op jaarbasis bijna 400.000 euro zou besparen.
Maar dan nog was het een slecht besluit, vindt de hoogleraar European technology law and human rights. ‘Wij doen onderzoek op het gebied van veiligheid dat gesubsidieerd wordt door de RUG’, legt Bonnici uit. ‘Een van de voorwaarden in het contract is dat we daarvoor veilige systemen gebruiken. En we wisten al dat Google niet veilig was.’
Datalekken
Bonnici, die deel uitmaakt van de onderzoeksgroep Security, Technology & e-Privacy (STeP), verzette zich met hand en tand tegen de overstap naar Google. Zij en haar collega’s vonden de risico’s groter dan de voordelen die het Big Tech-bedrijf bood. Ze vreesden het verlies van onafhankelijkheid, het gebrek aan privacy en transparantie en potentiële datalekken. En hoe kon STeP in hemelsnaam het gebruik van Google bij het onderzoek verantwoorden nadat Edward Snowden had onthuld dat de NSA servers van Google aftapte om data over Europese regeringen te verzamelen?
We wisten al dat Google niet veilig was
Ze waren niet de enigen die er zo over dachten. Vooral veel medewerkers van de faculteiten Science and Engineering (FSE), Gedrags- en Maatschappijwetenschappen en Rechtsgeleerdheid maakten bezwaar. 60 procent van alle FSE-medewerkers was tegen het besluit.
En hoewel mensen een verzoek om een uitzondering konden indienen, kreeg maar een handjevol onderzoekers die. Onder hen de veertien STeP-wetenschappers, omdat hun onderzoek duidelijk niet verenigbaar was met het gebruik van Google.
Onderzoek
Gmail is inderdaad betrouwbaar en handig gebleken. Maar de zorgen over de veiligheid van de data van de universiteit zijn terug. Die doken eerst in maart op, toen een onderzoek van de RUG en de Hogeschool van Amsterdam uitwees dat Google misschien toch niet zo goed omgaat met onze privacy als gedacht.
Daar kwam vorige week het advies van de Autoriteit Persoonsgegevens aan Nederlandse onderwijsinstellingen nog bij: die zouden de contractvoorwaarden met Google drastisch moeten herzien of het bedrijf helemaal in de ban doen.
Maar in plaats van afstand te nemen van Google, lijkt de RUG de banden met het bedrijf juist nauwer aan te halen: deze week is de universiteit aan diverse faculteiten begonnen met multifactorauthenticatie (MFA) en werknemers wordt aangeraden om een app van Google te downloaden waarmee ze een authenticatiecode kunnen genereren.
Fundamenteel probleem
‘Het mag duidelijk zijn dat ik niet verbaasd ben’, zegt Bonnici. ‘Gezien de voorbeelden in de afgelopen jaren van hoe Big Tech-bedrijven omgaan met de data van mensen, is de vraag niet of we een keer een enorm probleem gaan krijgen, maar wanneer.’
‘Het probleem met Google is fundamenteel’, vindt ook Aline Klingenberg, die zowel rechter is als expert in databescherming en privacy. ‘Google voldoet gewoon niet aan de basisbeginselen van de Algemene Verordening Gegevensbescherming (AVG), die de regels in de Europese Unie vaststelt.’
De vraag is niet of we een probleem gaan krijgen, maar wanneer
Volgens de AVG zijn er twee belangrijke partijen waar het gaat om de verwerking van persoonsgegevens: degene die voor de verwerking verantwoordelijk is, en de verwerker. De verantwoordelijke bepaalt welke gegevens verwerkt worden en hoe. Zo is de RUG verantwoordelijk voor de data van haar medewerkers en studenten.
De verwerker is de partij die de data namens de verantwoordelijke verwerkt en diens instructies volgt. In dit geval is dat Google.
Maar Google denkt daar anders over. ‘Die beschouwt zichzelf als verantwoordelijke, niet als verwerker. En dus mag ze zelf bepalen wat ze met de data doet die ze verzamelt, zonder dat ze daarbij veel hoeft uit te leggen aan onderwijsinstellingen’, zegt Klingenberg.
Patriot Act
Het is niet alsof niemand eraan gedacht heeft om een contract op te stellen. Maar die zijn niet zo helder en bindend als ze zouden moeten zijn, stelt Klingenberg. Bovendien volgt Google de Amerikaanse wetgeving en ook de Patriot Act, die de Amerikaanse regering toestemming geeft om data van Amerikaanse bedrijven in te zien voor veiligheidsdoeleinden.
‘Die discrepantie tussen verantwoordelijke en verwerker heeft mogelijk oneindige gevolgen en zorgt voor onbekende bedreigingen’, zegt Klingenberg. ‘We kunnen niet weten wat Google doet met de data die het verzamelt.’ En aangezien de VS geen interesse heeft in het beschermen van EU-burgers ‘zijn we onze data in feite kwijt zodra ze naar Amerika gaan’.
Er is ook een wezenlijk verschil in aanpak in databescherming tussen de EU en Amerika. ‘De EU-regels zijn meer op mensenrechten gebaseerd, en de AVG richt zich ook op het mogelijk maken van eerlijk economisch verkeer. Big Tech-bedrijven worden gedreven door de zucht naar winst’, zegt Klingenberg. Dat alleen al zou reden genoeg moeten zijn om ons af te wenden van de VS en niet op Google’s sociale verantwoordelijkheid te vertrouwen.
Verlies van onafhankelijkheid
Jaap-Henk Hoepman, expert in privacytechnologieën bij de opleiding IT-recht, heeft ook problemen met Google. Maar waar Bonnici vooral Google’s datagebruik vreest, wijst hij op meer praktische zaken. ‘Moet je je eens voorstellen dat Nederland zijn water, gas en elektriciteit alleen maar uit Rusland of China haalde. Dat zouden mensen niet fijn vinden.’
Zo gaat het wel met Google, zegt hij. Dat levert elke online service die je maar nodig hebt en iedereen is ervan afhankelijk. ‘Dus dat zou mensen net zo ongemakkelijk moeten maken.’
Wat het je kost aan moeite, win je aan vrijheid
Het verlies van onafhankelijkheid is een ander probleem, zegt hij. ‘Door een service uit te besteden aan externe bedrijven, verliezen we daar als universiteit de controle over en dus raken we de macht over ons systeem kwijt.’
Dat maakt ons kwetsbaar op veel meer punten dan alleen de vrees voor datalekken. Google kan besluiten om zijn diensten stop te zetten en dan kunnen we van het ene moment op het andere niet meer werken of onze e-mails lezen. ‘Dat is niet alleen maar een theoretische mogelijkheid’, zegt Hoepman. ‘In 2019 heeft Adobe bijvoorbeeld Photoshop afgesloten in Venezuela, omdat de VS economische sancties nam tegen het land.’
‘Google is niet het goede voorbeeld voor onze studenten’, vindt Daan Opheikens, die een master computer science, intelligence systems and visualization doet. ‘Bij dit soort bedrijven is vooral winst belangrijk, niet ethiek en respect voor individuen of klanten.’
Oplossingen
Het probleem is dat er voor de universiteit geen simpele manier is om uit de rotzooi te raken. Contracten herzien is geen permanente oplossing, zegt Hoepman. ‘Zelfs als de afspraken met Google verbeterd worden, besteden universiteiten nog steeds fundamentele diensten uit en worden ze niet echt autonoom.’
Wat wel een oplossing kan zijn, is self-hosting: de universiteit zou dan software en websites op eigen servers laten lopen, wat het risico beperkt dat je de controle over systemen verliest.
‘Self-hosting is meer werk en het is duurder’, zegt Opheikens. ‘Maar wat het je kost aan moeite, win je aan vrijheid, en dat is veel waardevoller.’
Buitenstaander
Na zeven jaar kan Jeanne Bonnici bevestigen dat ‘je prima kunt overleven buiten de wereld van Google’. Veel oplossingen bestaan al binnen het systeem van de RUG, zegt ze – in elk geval voor medewerkers.
Het lijkt misschien onmisbaar, maar er zijn alternatieven beschikbaar
‘Je hebt Unishare, wat Google Docs kan vervangen; dat biedt ook de mogelijkheid om guest accounts aan te maken. Op die manier kunnen ook externe onderzoekers meedoen aan een gezamenlijk project. En je hebt software zoals Blue Jeans, waarmee je veilig virtuele bijeenkomsten kunt houden, of Collaborate, hoewel dat alleen voor docenten is.’
Maar Bonnici is realistisch. In een wereld waarin iedereen Google gebruikt, heeft de keuze voor onafhankelijkheid en transparantie een prijs. ‘Het is soms niet makkelijk om een buitenstaander te zijn, maar uiteindelijk is het gewoon een kwestie van kiezen.’
Ze zou dolgelukkig zijn als de RUG stappen zou nemen om afstand te nemen van Google. ‘Het lijkt misschien onmisbaar, maar er zijn alternatieven beschikbaar’, zegt ze. Opheikens zou daar ook blij mee zijn. ‘Dit is iets dat universiteiten gewoon zouden moeten doen. Ja, het is moeilijk, stressvol en duur, maar het is het zeker waard.’