Open Access? Saxion-publicaties al een half jaar niet vrij toegankelijk

SaxNow ontdekte dat min of meer bij toeval, toen een poging werd gedaan vanuit huis een van de Saxion-publicaties te downloaden. In een reactie laat repository manager Gerald Wildenbeest weten dat Saxion de deur dichtzette na het wereldwijde beveiligingslek LOG4J.

Downloaden van publicaties kan nu alleen via het Saxion-netwerk of EduVPN. Geen kleinigheid, want open access is een belangrijke wetenschappelijke pijler: onderzoek moet toegankelijk zijn voor de samenleving. En dat zonder drempels. ‘Plan S’, gericht op complete open access omschrijft dat zo:

"All scholarly content must be immediately accessible upon publication without any delay and free to read and download, without any kind of technical or other form of obstacles."

Ook de hogescholen zelf benadrukken het belang van open access. In 2017 won Saxion de HBOAward van Surf, waarmee de hogeschool zich voorvechter van open acces in het HBO mag noemen. En in de ‘Verkenning open access in het HBO’ (begin dit jaar) van de Vereniging Hogescholen, waar Saxion aan meewerkte, staat:

“De afgelopen jaren is open access in toenemende mate belangrijk geworden. Open access betekent dat kennisproducten uit publiek gefinancierd onderzoek voor iedereen toegankelijk en herbruikbaar moeten zijn zonder financiële, wettelijke of technische drempels.”

775 documenten handmatig verstuurd

Gerald Wildenbeest is de manager van de repository op Saxion. Doordat de publicaties van Saxion niet te openen waren voor buitenstaanders,  heeft hij met een collega in het afgelopen half jaar handmatig 775 documenten verstuurd naar mensen die een stuk opvroegen. “Gemiddeld krijg ik elf verzoeken per werkdag”, zegt hij. En dat is, aldus Wildenbeest, niet de bedoeling van open access. De documenten moeten anoniem raadpleegbaar zijn.

Het probleem zit in verouderde software. In december 2021 kwam een wereldwijd beveiligingslek aan het licht in ApacheLog4j, software die door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. Vrijwel alle hogescholen en universiteiten gebruiken het. Via het lek kunnen hackers makkelijk toegang krijgen tot bedrijfssystemen. En daarom werd in december veel dichtgezet: alleen via EduVPN kon je verbinding maken met een heel aantal applicaties. “De beste oplossing”, zei beveiligingsexpert Brenno de Winter tegen SaxNow.

Kwetsbaar systeem

Dat is nu opgelost, maar niet voor de digitale opslagplaats Post-It. Daar publiceren Saxion-medewerkers en studenten hun werk. Post-It is gelinkt aan de HBO Kennisbank en is daarmee open access – opvraagbaar voor iedereen en vanaf iedere locatie. Post-It draait op Oracle, en is een verouderd en vooral kwetsbaar systeem. “Post-It is van Saxion zelf, andere instellingen hebben andere systemen”, weet Wildenbeest. “Saxion koos ervoor om de toegang voor externen dicht te zetten. Andere instellingen niet.”

Er is hard gewerkt aan een oplossing, laat hoofd informatiebeveiliging Henry Meutstege weten. Door een volledige update en een technische ingreep vindt hij het risico aanvaardbaar. “Twee weken geleden gaf ik een positief advies: dit deel kunnen we weer open zetten.” Daarmee zouden Saxion-publicaties weer vrij toegankelijk moeten worden, maar tot nu toe is dat nog niet het geval.