Nederlandse universiteiten en hogescholen starten een nieuwe clouddienst voor onderwijs en onderzoek. Het platform moet instellingen minder afhankelijk maken van grote Amerikaanse techbedrijven en beter voldoen aan de AVG. De dienst wordt ontwikkeld binnen de publieke sector, met regie bij coöperatie SURF. De eerste pilots starten dit studiejaar in Nederland en sluiten aan op Europese digitalisering.
Onderwijs kiest eigen cloud
De clouddienst richt zich op veilig opslaan, delen en samenwerken aan onderwijs- en onderzoeksbestanden. Het platform is ontworpen voor dagelijkse taken zoals documenten bewerken, colleges delen en data uit projecten beheren. Instellingen willen zo meer grip krijgen op data en contractvoorwaarden.
De ontwikkeling ligt bij SURF, de ICT-coöperatie van het Nederlandse hoger onderwijs en onderzoek. Op het moment van schrijven doen meerdere universiteiten en hogescholen mee aan de eerste pilots. Deelnemende instellingen testen integratie met bestaande systemen voor identiteitsbeheer en roosters.
Belangrijk is dat de dienst publieke waarden centraal zet. Denk aan transparantie, dataminimalisatie en Europese hosting. Zo proberen instellingen de inkoop van digitale diensten minder te laten leunen op Big Tech.
Minder afhankelijk van Big Tech
Veel onderwijsprocessen draaien nu op suites van Microsoft en Google. Dat biedt gemak, maar levert zorgen op over datadeling, updates en prijszetting. Instellingen willen alternatieven die zij zelf kunnen sturen en aanpassen.
De nieuwe clouddienst moet die keuzevrijheid vergroten. Het voorziet in open standaarden, zodat data en applicaties makkelijker te verhuizen zijn. Ook worden vendor lock-in en ongewenste datastromen beperkt.
Voor docenten en studenten verandert de basisfunctionaliteit niet veel. Zij krijgen bekende functies zoals bestandsopslag, samenwerken in documenten en videobellen. Het verschil zit in de governance: instellingen behouden regie over data en inrichting.
AVG stuurt ontwerpkeuzes
Privacy staat centraal door ontwerpkeuzes die aansluiten op de AVG. Dat betekent onder meer versleuteling, duidelijke doelbinding en zo min mogelijk tracking. Ook wordt gelogd wat nodig is voor veiligheid en audit, niet meer.
Dataminimalisatie betekent: verwerk alleen de gegevens die strikt nodig zijn voor het doel, niet extra.
Een tweede aandachtspunt is internationale doorgifte van data. Na Schrems II en de komst van het EU-VS Data Privacy Framework is juridische zekerheid nog steeds onderwerp van debat. Europese opslag en verwerkersovereenkomsten moeten het risico verkleinen.
Instellingen blijven zelf verwerkingsverantwoordelijke. Zij moeten DPIA’s uitvoeren en passende technische en organisatorische maatregelen nemen. De dienst levert hiervoor standaarddocumentatie en hulpmiddelen.
Open source en EU-hosting
Het platform gebruikt waar mogelijk open-source componenten. Open source betekent dat de broncode inzichtelijk is en door de gemeenschap kan worden verbeterd. Dit helpt bij audits, veiligheid en het voorkomen van afhankelijkheid van één leverancier.
Hosting vindt plaats bij Europese datacenters en aanbieders die voldoen aan NEN-ISO27001 en SURF-beveiligingsnormen. Dit past bij Europese soevereiniteitsambities en de Nederlandse inkoopkaders voor publieke IT. Waar nodig worden extra waarborgen toegevoegd, zoals sleutelbeheer door de instelling.
Voor interoperabiliteit gelden open standaarden zoals SAML en OpenID Connect voor inloggen. Koppelingen met leeromgevingen (LMS), roosters en onderzoekssystemen lopen via goed gedocumenteerde API’s. Zo kunnen instellingen stapsgewijs overstappen of de dienst parallel inzetten.
Kosten en implementatie
De initiatiefnemers verwachten lagere totale kosten door gezamenlijke inkoop en schaal. Tegelijk blijven migratie en adoptie inspanningen vragen. Denk aan training, datamigratie en het opschonen van oude rechtenstructuren.
Op het moment van schrijven wordt gewerkt met een prijsmodel per instelling, niet per individuele gebruiker. Dat moet voorspelbare kosten geven en het delen van capaciteit binnen consortia makkelijker maken. Voor kleine opleidingen zijn lichte pakketten voorzien.
Beheerteams krijgen centrale dashboards voor monitoring, beveiliging en updates. Instellingen kunnen functies aan- of uitzetten per faculteit of opleiding. Zo blijft het platform aanpasbaar aan lokale processen, zonder maatwerk te forceren.
Europese regels als rugwind
De Digital Services Act en de Data Act leggen nadruk op transparantie en datatoegang. Voor onderwijsinstellingen is dat gunstig, omdat data-portabiliteit en open interfaces worden gestimuleerd. Ook NIS2 scherpt beveiligingseisen aan voor essentiële diensten.
Deze regels dwingen leveranciers tot duidelijkere contracten en betere technische garanties. De nieuwe clouddienst sluit daarop aan met open documentatie en auditbare beveiligingsmaatregelen. Dat vermindert juridische en operationele risico’s voor instellingen.
De komende maanden volgen toetsen door functionarissen gegevensbescherming en security officers. Daarna beslissen besturen over bredere uitrol. Doel is een stabiel, publiek cloud-alternatief dat past bij Europese digitalisering en de dagelijkse praktijk van het Nederlandse hoger onderwijs.