De Nederlandse overheid heeft een Data Protection Impact Assessment (DPIA) laten uitvoeren op de Enterprise versie van Google G Suite (inmiddels: Google Workspace). De reden hiervoor is de overweging van de overheid om Google Workspace als dienst te gebruiken. Vervolgens hebben ze de Rijksuniversiteit Groningen en Hogeschool van Amsterdam onderzoek laten doen naar de privacyvoorwaarden van G Suite for Education, wat inmiddels Google Workspace for Education heet.
Uit het onderzoek komen een aantal privacyrisico’s naar voren. Hierin wordt Google gezien als de enige verwerkingsverantwoordelijke. Daarmee hebben zij de mogelijkheid om te bepalen met welk doel ze metadata willen verzamelen en mag zij de voorwaarden hiervan eenzijdig aanpassen. De Autoriteit Persoonsgegevens is inmiddels ingeschakeld voor advies over de risico’s bij het gebruik van Google Workspace for Education. Het kabinet heeft hierover contact met de Europese Commissie. Google krijgt nu de kans om te werken aan de privacyrisico’s en meer duidelijkheid te geven.
Wat is een DPIA?
DPIA staat voor Data Protection Impact Assessment, ook wel gegevensbescherming effectbeoordeling. Zo’n onderzoek geeft inzicht in hoe gegevens verzameld worden, wat ermee wordt gedaan en wat de risico’s zijn. Op basis hiervan kunnen indien nodig maatregelen worden genomen om de risico’s te verkleinen. Lees meer over DPIA’s op de aanpak IBP van Kennisnet.
Reactie van Google
Google heeft gereageerd met een statement waarin ze opheldering geven over een aantal zaken. Ze laten weten geen klantdata uit Google Workspace for Education te gebruiken voor advertising en ook geen advertenties te tonen. Ook geven ze aan dat klanten in controle zijn over hun eigen data. Google verwerkt deze data alleen volgens de afspraken van de overeenkomst. Daarnaast verklaart Google zich in te zetten voor transparantie, het nakomen van de regelgeving zoals de GDPR en privacy.
Gegevensbescherming voorop
Cloudwise volgt deze berichtgeving met een kritische blik en oefent druk uit op Google om met de risico’s aan de slag te gaan. De transparantie lijkt te missen en dat vinden we juist belangrijk, zodat we onze klanten zo goed mogelijk kunnen informeren en adviseren. Zelf hebben we privacy en gegevensbescherming altijd hoog in het vaandel en blijven we daar stappen op ondernemen. Zo hebben we al begin 2020 de aanvullende Google services uitgeschakeld in de domeinen die we beheren, nadat de tools daarvoor beschikbaar kwamen naar aanleiding van een DPIA. Zo kun je bijvoorbeeld nog wel YouTube gebruiken, maar niet met je leerlingaccount van school. Daarnaast hebben we een privacyovereenkomst met de PO-Raad en zijn we ISO gecertificeerd. Daarmee worden we jaarlijks gecontroleerd op de nakoming van privacyregelgeving en -afspraken.
Wat betekent dit?
We kunnen ons voorstellen dat scholen zich afvragen wat voor gevolgen dit heeft. Op dit moment krijgt Google de kans om aanpassingen door te voeren en meer duidelijkheid te verstrekken. Naar verwachting duurt het 8 – 14 weken tot de Autoriteit Persoonsgegevens (AP) hierop terugkomt. We gaan ervan uit dat Google de aanbevelingen van de AP overneemt en snel actie onderneemt. Op dit moment zien we dan ook geen aanleiding om direct te stoppen met het gebruik van Google, wat ook door SIVON (coöperatie van schoolbesturen) wordt geadviseerd. SIVON, SURF, Kennisnet, de PO-raad en VO-raad volgen dit proces nauwlettend, door de omvang van Google Workspace for Education binnen het onderwijs. Op de website van Sivon kun je een aantal vragen en antwoorden doorlezen. We gebruiken ook onze korte lijntjes met Google en de andere belanghebbende partijen om geïnformeerd te blijven en de voortgang te volgen.
Heb je vragen of zorgen?
Neem dan gerust contact met ons op via support@cloudwise.nl. We inventariseren alle vragen en proberen je zo goed mogelijk te informeren.
Handige links:
- Het DPIA rapport
- Het statement van Google
- Veelgestelde vragen op de site van SIVON
- Google Workspace for Education data protection implementation guide over hoe Google data verwerkt
