In maart werd in de VS de Cloud Act aangenomen, een wet die de Amerikaanse overheid toegang verschaft tot data van Amerikaanse bedrijven, ook als die is opgeslagen buiten de VS. Als de TU/e zoals gepland in juli was overgegaan op Office 365 hadden Amerikaanse veiligheidsdiensten in theorie inzage kunnen krijgen in e-mail, persoonsgegevens en onderzoeksdata van medewerkers.

Eén van de problemen van de Cloud Act is dat deze botst met de nieuwe Europese privacywet AVG, vertelt Henny van Alphen, projectleider bij het CIO Office van de TU/e. “Volgens die wet heeft iedereen het recht om te weten wat er met zijn digitale gegevens gebeurt. In de Cloud Act staat echter expliciet dat de gebruiker niets te horen krijgt over eventuele inzage. We hebben een juridisch bureau ingeschakeld om uit te zoeken wat nu precies de gevolgen zijn van die conflicterende Europese en Amerikaanse wetten.”

Taskforce

Ondertussen is er door de universiteit een Taskforce Cloud Security Strategy ingesteld, die zich richt op veiligheidsmaatregelen rond alle diensten die gebruikmaken van de cloud, zegt Chief Information Security Officer Martin Romijn. “Dat gaat verder dan Office 365. We zijn bijvoorbeeld al bezig BitLocker te installeren op computers en laptops van medewerkers die veel met privacygevoelige informatie werken. BitLocker versleutelt automatisch alle data op de harde schijf, en daarmee ook de data vanuit de cloud die wordt gesynchroniseerd met de lokale schijf. Daarnaast kijken we naar interne beveiligingsmaatregelen en houden we de instellingen van de software van Microsoft tegen het licht.”

De studenten van TU/e zijn eerder dit jaar al overgegaan op Office 365. Er is besloten dat niet terug te draaien, vertelt Van Alphen. “Studenten hebben in principe minder gevoelige data en het risico is voor hen dus ook minder groot. Sowieso is natuurlijk de vraag waarom de Amerikaanse overheid geïnteresseerd zou zijn in data van onze medewerkers. Omdat we het liefst aan de veilige kant blijven, hebben we echter besloten pas op de plaats te maken tot we alle risico’s op een rijtje hebben.”

Aanpassingen

Bovendien ligt het project niet helemaal stil - de voorbereidende werkzaamheden lopen gewoon door. Daarnaast worden alvast aanpassingen gedaan die in lijn zijn met de AVG, legt Van Alphen uit. “Veel secretariaten, bijvoorbeeld, werken met een gedeeld account, waardoor niet te zien is wie een bepaalde mail heeft verzonden. Dat mag eigenlijk niet volgens de AVG. In de toekomst mag een secretaresse alleen nog maar mails versturen namens een hoogleraar, en niet meer als de hoogleraar. Ook zorgen we ervoor dat OneDrive (de cloudservice van Microsoft) niet kan worden opengezet voor iedereen.”

Romijn en Van Alphen benadrukken dat het nog altijd de bedoeling is dat de medewerkers te zijner tijd overgaan op Office 365. Van Alphen: “Er is eigenlijk geen gebruiksvriendelijk en betaalbaar alternatief. We hebben  nu een zeer voordelige licentie voor de software van Microsoft via SURF, dat een contract heeft afgesloten voor alle universiteiten en hogescholen.” Eigenlijk zou er op dat niveau iets geregeld moeten worden in het nieuwe contract met Microsoft, vindt ze. “In het huidige contract staat nu expliciet dat de Amerikaanse regelgeving van kracht is. Wellicht kan dat aangepast worden.” Romijn vult aan: “Voor zover we weten, zijn wij de eerste universiteit die voor medewerkers zou overgaan op Office 365. Het lijkt erop dat andere universiteiten nu vooral afwachten om te zien hoe wij dit aanpakken.”