Nederlandse universiteiten over op Google Apps

Uitstekend! Wij zijn onlangs ook overgestapt van Office naar Google Apps.

Natuurlijk is er sprake van aanpassingen, inwerkperiode, etc… maar Google is zo flexibel dat eigenlijk alles mogelijk is. Probleem? De oplossing is nooit ver te zoeken. Alles is gemakkelijk te beheren en werken ‘in the cloud’ wordt als normaal bevonden. Het neemt veel uit je handen zonder er meer voor te hoeven te betalen.

Tevens is het een all-in-1 pakket met een spam/virus-firewall, docs, agenda, plus, (eigen/officieel) youtube-kanaal, drive (5gb) en de lijst gaat maar door.

Niet onbelangrijk: het is een van de goedkoopste.

In hoeverre heeft vertrouwelijkheid van data bij deze overgang ook maar enige rol gespeeld? Deze gitzwarte keerzijde aan cloud computing wordt, zoals bijna altijd, totaal vergeten in berichtgeving. Hoe bewust zijn de aanwezige risico’s afgewogen en op basis van welke bevindingen is besloten toch met Google mee te gaan?

Hallo Bas,

ja, ga er gerust van uit dat de universiteiten dit weten. Gitzwart is erg overdreven. Bovendien heeft dit niet met Cloudcomputing te maken, maar met in zee gaan/opslaan van data bij Amerikaanse bedrijven. De grootte van deze risico’s liggen in het Patriot Act, en deze zijn goed af te wegen. Ja, de Amerikaanse overheid kan in uitzonderlijke gevallen bij de gegevens. Maar iemand die zijn schoolmail ontvangt op zijn BlackBerry of via zijn Hotmail zit met hetzelfde issue. Vergoot je effectief je risico’s? Mwah. Beveiliging van je inbox is groter, vrijheid voor de student is groter (een paar Uni’s bieden keuze voor platform!) en opslag bij Google is veiliger in het kader van bescherming / hacken en natuurlijk de SLA.

Hallo Riel,
Je beantwoordt mijn vragen niet, anders dan met de gebruikelijke platitudes. Dat de halve wereld dit soort diensten al gebruikt, kan nooit een argument zijn om iets wel/niet te gebruiken. Dezelfde bezwaren gelden namelijk tegen BlackBerry en Hotmail (en dropbox, en wetransfer en facebook en noem ze maar op).
Van studenten mag je niet verwachten dat ze snappen wat hier de afwegingen zouden moeten zijn. Als universiteit dien je studenten (en onderzoekers!) echter wel in bescherming te nemen tegen dit soort externe belangen.
Als het hier nu om een doodgewoon schooltje ging, had je gelijk dat ‘gitzwart’ overdreven is. Echter: onze universiteiten doen vooraanstaand onderzoek naar allerhande zaken die wel degelijk mateloos interessant zijn voor een keur aan drieletterige overheidsdiensten in de VS. Vooralsnog hebben die niet bewezen ook maar enige terughoudendheid te betrachten t.a.v. afluisteren en andere dubieuze praktijken. Integendeel, zou ik juist zeggen, en jurisprudentie tot dusver geeft me ook weinig vertrouwen in de mogelijkheid tot weigeren van “informatieverzoeken” aan de kant van de betrokken bedrijven.
Voordat ik beweringen geloof als ‘de beveiliging van je inbox is groter’, zou ik die graag onderbouwd zien. Er is mij namelijk helemaal niets feitelijks bekend wat daarop wijst.
De “vijand” in dezen komt m.i. helemaal niet van buiten, maar is de aanbieder van het platform zelf die door zijn eigen overheid eenvoudig onder druk te zetten blijkt. Vertrouwen in Amerikaanse ondernemingen voor de veiligheid en vertrouwelijkheid van je digitale informatie vind ik rijkelijk naief. Wie bij mij een voorstel doet om dat te gaan doen, zal toch echt met een zeer goede risico-analyse op de proppen moeten komen. Die heb ik voor dit soort cases niet gezien, en dat terwijl ik tot voor kort nog nauw betrokken was bij universiteits-IT. Juist hierom ga ik er NIET van uit dat universiteiten hun zaakjes op orde hebben.

Ik weet ook niet in hoeverre dit onderzocht is, daarvoor zou je bij de universiteiten zelf te rade moeten gaan. Neemt niet weg dat ook ik de resultaten van dit onderzoek interessant vind, maar ik ga ervanuit (gezien dit punt elke keer, en terecht, begrijp me niet verkeerd) als eerste naar boven komt bij dit soort beslissingen, ook van grotere corporaties. En ik ben mij wel zeker dat dit echt niet over het hoofd gezien is bij AL deze universiteiten… 😉 Ook de OU heeft hier in het verleden de afweging voor gemaakt (sheet 28). http://www.slideshare.net/RonHelwig/ou-google-appsleven-op-de-cloud-dd-2932011v03

En de Uni in Tilburg rept er ook duidelijk over, maar vind het niet heel spannend: http://webwereld.nl/nieuws/109800/universiteit-tilburg-dumpt-microsoft-cloud-voor-google.html

Dit weegt blijkbaar niet op tegen de voordelen.

Over de beveiliging van de Account heeft Google zeer goede uitleg, en normen voor die beveiliging, dat zou jij dan ook moeten kunnen weten. Een klein voorbeeld, maar slechts een heel klein van deze zaken, is 2-staps verificatie.

Als implemenatatiepartner voor dit soort apps begrijp ik je zienswijze. Kort samenvattend uit de afwegingen van universiteiten: “We vertrouwen Google en MS eigenlijk voor geen cent, en dat gevoel kunnen we ruimschoots onderbouwen met praktijkvoorbeeld van gedrag van beiden partijen uit het verleden, maar het is zo lekker goedkoop en de studenten kennen het al dus we scoren hiermee.. oh, en hadden we al gezegd dat het zo goedkoop is??” Politiek zoals ik het gewend ben in die wereld, maar het is nauwelijks inhoudelijk te noemen.

De beveiliging van het account hier doet niet zoveel terzake. Je kunt overal 2-factor authenticatie op laten zetten. Zolang je een aanbieder gebruikt die bij het eerste verzoek “binnen [Californisch] wettelijk kader” op z’n rug gaat liggen, heb je nog steeds niets.

Voor middelbare scholen, MBO’s en HBO’s zeg ik: meteen doen, die cloud! Scheelt bakken geld en wat er langskomt is toch overwegend niet interessant voor Patriot-verzoeken. Het gaat dan nl. inderdaad voornamelijk over “schoolmail”. Voor universiteiten kan ik het me binnen het onderwijs ook nog voorstellen. Echter: onderzoeksdata daar stallen blijf ik een absoluut brevet van onvermogen vinden. Je zult trouwens maar stage lopen bij een high-profile bedrijf en vanwege je geheimhoudingsverklaring daar niet mogen corresponderen met je begeleider aan de universiteit omdat die alleen via Gmail te bereiken is..

Hypocriet ook, aangezien universiteiten wel met spatsichte onderwijsrestricties reageren richting studenten met een Iraans paspoort, maar dit soort dingen vrolijk laten passeren.. want tja: goedkoop. En zelfs de bewering dat het zoveel goedkoper is, durf ik nog wel in twijfel te trekken. In vergelijking met on-premise MS Exchange is het inderdaad goedkoop, maar er is meer groupware en document-management onder de zon die net zoveel kan en heel veel minder kost. Dat wordt echter niet eens overwogen, bij geen enkele universiteit.. zelfs niet in Delft, waar een product als Zarafa nota bene is bedacht.

Met de grootschalige adoptie van Google Apps zet het Nederlandse hoger onderwijs (verenigd in SURF, hun ICT samenwerkingsorganisatie) een belangrijke stap in het benutten van cloud services. Universiteiten en Hogescholen komen hiermee tegemoet aan de wensen van hun ICT-vaardige gebruikers, die gefaciliteerd willen worden met goed gereedschap om online samen te werken. Die gebruikersbehoeftes zijn divers en niet meer in te vullen met een specifieke service. Temeer daar er ook op het gebied van hardware (devices) sprake is van een enorme verscheidenheid. Een multi-vendor benadering is nodig, zodat gebruikers de services kunnen inzetten die het beste bij hen passen. Dit maakt dat er ook voor andere leveranciers meer dan ooit kansen liggen om hun diensten naar Universiteiten en Hogescholen te brengen.
Meer informatie over de SURF cloud first strategie: http://www.surfnet.nl/nl/nieuws/pers/Pages/VoorstelSURFcloud.aspx

Om nader in te gaan op de data opslag aspecten en Google.
Google heeft een wereldwijde infrastructuur. Het is belangrijk om goede afspraken te maken over hoe in die uitgestrekte omgeving met data wordt omgegaan, door Google en haar onderaannemers. Belangrijke aspecten daarbij zijn: eigenaarschap, toegang(srechten), opslag, en verwerking, beveiliging van de infrastructuur (gebouwen, hardware, software), dataportabiliteit (import en export / entry en exit).
Ook is de auditing relevant: hoe wordt gecontroleerd dat de afspraken worden nageleefd (toezicht)?
En wat gebeurt er indien problemen optreden (service levels, wettelijke kaders – welke rechtbank doet een bindende uitspraak in het geval van een conflict?). De Nederlandse hoger onderwijsinstellingen en Google hebben hierover zaken vastgelegd.

Boven een dergelijke overeenkomst tussen aanbieder en afnemer, hangt het aspect van overheidsinstanties die data kunnen vorderen. Het bekendste voorbeeld is de Patriot Act van de Amerikaanse Overheid. De Patriot Act is van toepassing op alle bedrijven met een hoofdvestiging in Verenigde Staten en strekt zich uit tot buiten de landsgrenzen van de VS. Voor Google en vele andere cloud providers betekent dit dat zij data dienen af te staan, ongeacht de fysieke locatie van hun servers.
Google geeft online een overzicht van dergelijke verzoeken: http://www.google.com/transparencyreport/userdatarequests/
Het volgende artikel onderschrijft dat het niet alleen de Verenigde Staten is die dit doet: http://www.hoganlovells.com/newsmedia/newspubs/detail.aspx?news=2268

Het is raadzaam om voordat cloud services worden afgenomen, een risico-afweging te maken vanuit een business perspectief. Daarbij zijn de type data en de waarde die deze voor het bedrijf vertegenwoordigen van belang. Welk materiaal plaatsen we wel in de cloud en welke documenten blijven intern? Voor gevoelige data kan versleuteling een oplossing zijn. Door de data encrypt in de cloud op te slaan (eventueel opgedeeld in verschillende stukken, ondergebracht bij verschillende providers) en de sleutel om de data te openen, lokaal te bewaren.
Een voorbeeld hiervan is de Terena Trusted Cloud Drive pilot voor hoger onderwijs en onderzoek: http://www.terena.org/news/fullstory.php?news_id=3140

Andres Steijaert

SURFnet; SURF-taskforce Cloud

Andres, dank voor je toelichting. Dat stel ik, samen met de lezers van Emerce, op prijs.