De opslag van e-mails en agenda-items van medewerkers en studenten verandert. De mailboxen gaan over van TU-servers naar de Microsoft-cloud. De or hoopt dat dit tijdelijk is.
Het college van bestuur en de afdeling ICT nemen allerlei maatregelen om risico’s uit te bannen. (Foto: Ed Hardie/Unsplash)
Delen
Heb je je ooit afgevraagd waar die duizenden mails en agenda-items in je Outlook zijn opgeslagen? Nu het college van bestuur (cvb) van de TU Delft heeft besloten dit te veranderen, is het actueel. Daarom: vier dingen die je moet weten over de opslag van je TU-mails.
1. Servers
Mails en agenda-items uit je TU Delft Outlook-omgeving staan momenteel – en dat is al vele jaren zo – op lokale Exchange-servers van de TU Delft. De directie ICT regelt het onderhoud en beheer van deze servers. Microsoft heeft de TU laten weten in de nabije toekomst geen updates en nieuwe functionaliteiten te zullen leveren voor de huidige constellatie. Als de universiteit daar niks aan doet, levert dat veiligheidsrisico’s op.
De oplossing is dat alle e-mails en agenda-items van TU-medewerkers in Outlook gemigreerd (overgezet) zullen worden naar een Microsoft-server in Europa. Het cvb heeft daarvoor deze zomer een definitief besluit genomen.
Volgens ICT is dat de beste optie, omdat:
- het kosten scheelt: er is immers al een licentie en eigen beheer van servers vervalt;
- het gebruiksgemak vergroot, bijvoorbeeld omdat medewerkers na de migratie gemakkelijker kunnen samenwerken met mensen op andere universiteiten.
- de veiligheid is gegarandeerd;
- aan andere opties te veel nadelen kleven.
De migratie moet vóór de start van collegejaar 2024-2025 plaatsvinden, aldus een woordvoerder van ICT.
2. Inspraak
De mailmigratie gaat niet over één nacht ijs. Zo is het onderwerp de afgelopen maanden meerdere malen besproken tijdens de overlegvergaderingen van het college van bestuur en de ondernemingsraad (or). Die laatste heeft ook een ICT-commissie die vaak heeft overlegd met de directie ICT.
Voordat de inhoud ter sprake kwam, stond eerst ter discussie hoevéél inspraak de or zou hebben. Waar het cvb het onderwerp onder het minder vergaande adviesrecht schaarde, vond de or dat er instemmingsrecht zou moeten gelden, omdat de mailmigratie gepaard gaat met de verwerking van persoonsgegevens.
De or vroeg zelfs extra juridische bijstand om instemmingsrecht af te dwingen, maar trok aan het kortste eind toen het cvb bij zijn standpunt bleef. Een volgende stap was die naar de Ondernemingskamer geweest, maar dat ging een or-meerderheid te ver. Die wilde liever proberen om eerst via het adviesrecht haar inhoudelijke punten ingewilligd te krijgen.
Dus kwam er op 28 augustus een advies met punten die voor de or belangrijk zijn en waarvan het cvb van bijna allemaal heeft toegezegd ze te kunnen inwilligen.
3. Privacy en databeveiliging
De punten van de or hadden zonder uitzondering te maken met zorgen over privacy en databeveiliging. Wat gebeurt er bijvoorbeeld met mails die op de server van Microsoft staan als de Amerikaanse overheid toegang eist? En zijn vertrouwelijke onderzoeksgegevens, bedrijfsinformatie over financiën, persoonlijke details over zieke medewerkers, verslagen over het functioneren van medewerkers dan wel goed beschermd?
Het college van bestuur en ICT nemen allerlei maatregelen om risico’s uit te bannen. Zo staan de Microsoft-servers in Europa, waardoor ze onder Europees recht zoals de Algemene Verordening Persoonsgegevens (AVG) vallen. Dan zijn er nog steeds maatregelen nodig om de data te beveiligen. De TU heeft toegezegd, na het advies van de or, om zich te houden aan de voorschriften voor gebruik uit de Data protection impact assessments van de rijksoverheid.
Daarnaast is het al jaren de bedoeling dat medewerkers geen gevoelige persoonsgegevens delen in hun Outlook-mail. Wel kan er voor mensen die het nodig hebben een aparte encryptie-tool voor mails met gevoelige data worden geïnstalleerd, iets dat de or ook nadrukkelijk wenst.
Voor ICT blijft desondanks het uitgangspunt dat die data gewoon niet in Outlook gedeeld mag worden. Een woordvoerder wijst op de intranetpagina Security & Privacy @TU Delft voor handleidingen en regelgeving. Ook wijst zij op apps die wel gebruikt kunnen worden voor het bewaren van gevoelige informatie als MyHR, Brightspace en Project Data. Verder komt er vóór de daadwerkelijke migratie een verplichte training voor een ‘significant deel van de medewerkers’ over veilige omgang met data en e-mail.
Toch is de or er niet gerust op, omdat medewerkers zich niet altijd aan regels en voorschriften houden en omdat ook oude e-mails meegaan naar de Microsoft-cloud. De or adviseerde om voor oude mails een alternatieve opslagmogelijkheid te verzinnen, maar ICT ziet alle data in Outlook als één geheel en vindt dat dus niet nodig. Mail, onafhankelijk van waar die wordt opgeslagen, is hoe dan ook een plek waar zeer gevoelige data niet in thuishoren, redeneert de dienst.
4. Europees alternatief
Ondanks alle voorzorgsmaatregelen had de or het liefst ‘een Europese niet-BigTech-oplossing’ gehad in plaats van Microsoft. Op intranet schrijft de medezeggenschapsraad te hopen dat de ‘afhankelijkheid van een grote commerciële partij [..] slechts een korte tijd hoeft te duren’. ICT ziet momenteel echter te veel minpunten aan zo’n alternatief. Het zou niet alleen veel duurder uitpakken dan doorgaan met Microsoft, het gebruiksgemak zou ook veel minder zijn. Bij het doorgaan met Microsoft verwacht ICT juist dat medewerkers er weinig van zullen merken.
Overigens houdt ICT de markt wel in de gaten, verzekert de woordvoerder. Ook heeft de dienst mensen vrijgemaakt om in Surf-verband (Surf is de ict-coöperatie van onderwijs en onderzoek) mee te doen aan de ontwikkeling van Europese alternatieven. Het is onbekend of en wanneer dat mail- en agendasoftware oplevert die serieus kan concurreren met Microsoft.
- Dit artikel kwam tot stand op basis van verschillende bronnen: het cvb-besluit, het or-advies, de reactie daarop van het cvb en antwoorden van ICT en de or op vragen van Delta.
Comments are closed.