Privacyrisico’s
In maart 2021 publiceerde de overheid een brief over een onderzoek naar de privacyrisico’s van Google Workspace for Education. Uit dit onderzoek kwam een samenvatting met punten die verbeterd moeten worden. Dit betrof 11 privacyrisico’s waarvan 8 met een hoog risico:
En 3 met een laag risico.
Afspraken
Naar aanleiding hiervan gaf de Autoriteit Persoonsgegevens aan dat er vòòr het schooljaar 2021/2022 veranderingen moesten komen. Er volgde een gesprek tussen de onderwijskoepels SURF (hoger onderwijs) en Sivon (lager en middelbaar onderwijs) en Google om te bepalen of er alternatieve software kan worden gemaakt die aansluit op de privacy verplichtingen binnen het onderwijs.
Google beloofde in het akkoord van juli 2021 dat zij de software zou aanpassen. Ook zal zij onderwijsinstellingen in staat stellen om in ieder geval de hoge privacyrisico’s te mitigeren.
Ontwikkelingen
Hoe staat het inmiddels met de voorgenomen plannen?
1. Software
Het aanpassen van de software laat nog op zich wachten. Naar verwachting zouden we rond 2023-2024 een nieuwe versie van de software tegemoet kunnen zien. In deze software zal onder meer de manier waarop Google bepaalde soorten data verzamelt, aangepast zijn.
2. Mitigatie van de hoge privacyrisico’s
Onderwijsinstellingen kunnen alvast de volgende mitigerende maatregelen nemen:
a. Nieuwe verwerkersovereenkomsten:
Google maakt nieuwe algemene voorwaarden die door scholen geaccepteerd kunnen worden. In dit document is duidelijker beschreven welke persoonsgegevens door Google verzameld worden. Ook is vermeld met welk doel Google de persoonsgegevens verzamelt.
b.Technische instellingen:
Om ervoor te zorgen dat Google minder data verzamelt, moeten scholen de technische instellingen in Google Workspace aanpassen. Het gaat hier om maatregelen betreffende
- Gebruikersaccounts:
bijvoorbeeld gebruikersprofiel, geografische locatie data-opslag etc. - Dataminimalisatie:
bijvoorbeeld spellingcontrole, inloggen op de Chrome Browser, geolocatie, cookies etc. - Individuele instellingen:
dit verschilt per onderwijsinstelling.
c. DPIA uitvoeren op Google Workspace for Education:
De AVG-verplichting voor iedere onderwijsinstelling om een eigen DPIA
(data protection impact assessment) uit te voeren op Google Workspace for Education.
Chrome OS
Los van het vorenstaande speelt ook de kwestie van Chrome OS. Op veel scholen wordt gebruikt gemaakt van Chromebooks. Workspace for Education draait bij leerlingen die Chromebooks gebruiken, met Chrome OS. Google heeft aangegeven een nieuwe onderwijs specifieke versie te willen maken. Dit is dan voor Chrome OS op Chromebooks en Chrome-browser. Hierbij zal Google dan verwerker zijn en de onderwijsinstelling, de verwerkingsverantwoordelijke. De verwachting is dat dit gereed zal zijn rond augustus 2023. De reden dat dit nog op zich laat wachten heeft te maken met de aanzienlijke technische en organisatorische wijzigingen in haar systemen en processen, aldus Google.
Denemarken
Overigens lijkt Denemarken de aangekondigde ontwikkelingen vanuit Google niet af te willen wachten. Zij heeft afgelopen zomer de diensten van Google op scholen verboden, zowel ten aanzien van het gebruik van Chromebooks als voor wat betreft Google Workspace for Education.Waar Denemarken met name over struikelt is het feit dat in de verwerkersovereenkomst van Google wordt aangegeven dat er sprake is van datatransfer buiten de EU. Google is gevestigd in de Verenigde Staten en heeft datacentra in de EU. Zelfs als de gegevens worden opgeslagen in een datacentrum dat gelegen is binnen de EU, is er sprake van een privacyrisico. Dat komt doordat Amerikaanse organisaties – zoals Google – onder de werking van de Amerikaanse CLOUD-Act vallen. Hierdoor kan in Europa opgeslagen data toegankelijk zijn voor de Amerikaanse overheid en dit wordt beschouwd als onveilig.
Tips
Zolang Google nog niet alles in orde heeft gemaakt, zijn er acties die u op dit moment kunt nemen. Zo zorgt u ervoor dat uw onderwijsinstelling - voor nu - zo veilig mogelijk gebruik kan maken van Google Workspace for Education:
1. Het is belangrijk om de aanwijzingen vanuit de onderwijssector (Kennisnet, SIVON) goed in de gaten te houden en strikt op te volgen.
Zie hiervoor: https://sivon.nl/2021/10/privacy-is-de-randvoorwaarde-voor-het-gebruik-van-google-workspace-for-education/
2. Voer een DPIA uit op Google Workspace for Education.
Maak daarbij ook een document dat beschrijft hoe de eventueel aanwezige Chromebooks in combinatie met Google worden gebruikt.
3. Voer alle aanbevolen technische instellingen door.
Maak daarbij een overzicht van de daadwerkelijk doorgevoerde generieke en school-specifieke instellingen.
4. Vraag uw systeembeheerder om met regelmaat de instellingen te controleren in de Google Workspace Admin console. Clouddiensten zoals Google Workspace zijn voortdurend in ontwikkeling en een nieuwe release kan gevolgen hebben voor de instellingen.
5. Voor zover dan nog van toepassing: de zoekgeschiedenis valt inmiddels niet (meer) onder de leveranciers instellingen maar onder de individuele instellingen. De actie hieromtrent wordt verlegd van de leverancier naar de gebruiker (de onderwijsinstelling). Ook verandert de zoekgeschiedenis instelling nu naar een opt-out (zoekgeschiedenis moet handmatig uitgezet worden omdat het sinds eind maart 2022 standaard Aan staat). Let hierop.
Afsluiting
We keken in deze tips & tricks naar de voorgenomen plannen om Google Workspace for Education veiliger te kunnen gebruiken, daar waar het gaat om het verwerken van persoonsgegevens. Ook hebben we gekeken naar de acties die onderwijsinstellingen - voor nu - zelf kunnen nemen om hier invulling aan te geven.
Het is goed om de ontwikkelingen vanuit Google op Workspace for Education in de gaten te houden. Ook wij zullen dat doen. Wanneer zich nieuwe ontwikkelingen voordoen, zullen we hier aandacht aan besteden in onze nieuwsbrieven.
Hebt u hulp nodig bij het uitvoeren van een DPIA? Dan kunt u contact met ons opnemen. We hebben ruime ervaring met de DPIA op Google Workspace for Education en helpen u graag.