SURF en SIVON zijn niet zelf verwerkingsverantwoordelijke voor de inzet van Google G Suite for Education, dit zijn de onderwijsinstellingen. De AP heeft op dit moment niet vastgesteld of, en zo ja in welke mate, individuele onderwijsinstellingen de risico’s voor de rechten en vrijheden van betrokkenen voorafgaande aan de inzet van Google G Suite for Education hebben geëvalueerd.

Mede door de uitkomst van dit advies acht de AP de kans niet groot dat alle onderwijsinstellingen dit in voldoende mate hebben gedaan en voldoende waarborgen hebben getroffen. Derhalve dienen onderwijsinstellingen die reeds gebruik maken of voornemens zijn om gebruik te maken van Google G Suite/Workspace for Education de uitkomsten van de onderhandelingen van SIVON/SURF en de aanpassingen van de DPIA te volgen en rekening te houden met de volgende situaties.

Indien de onderhandelingen die SURF en SIVON voeren leiden tot een situatie waarbij in voldoende mate invulling wordt gegeven aan de bescherming van persoonsgegevens conform de AVG, kan de inzet van Google G Suite for Education door onderwijsinstellingen op basis van deze afspraken worden heroverwogen.

Indien blijkt dat SURF en SIVON niet tot voldoende afspraken kunnen komen waarmee de risico’s inzake Google G Suite for Education worden gemitigeerd, dan dient Google G Suite for Education volledig te zijn uitgefaseerd voor de start van het schooljaar 2021/2022 door die onderwijsinstellingen die onvoldoende maatregelen hebben getroffen [1].

De AP plaatst de kanttekening dat het uiteindelijk aan de onderwijsinstellingen is om te borgen dat de gegevensverwerking middels Google G Suite for Education voldoet aan de AVG. Onderwijsinstellingen kunnen, zelfs als zij aansluiten op de voorwaarden van SURF en SIVON, dus niet volledig steunen op alle overwegingen in de hier uitgevoerde DPIA.

Waar onderwijsinstellingen bijvoorbeeld in een andere context, of waar zij andere ‘soorten’ persoonsgegevens gaan verwerken, zal door deze onderwijsinstellingen moeten worden getoetst welke elementen in de hier uitgevoerde DPIA passend zijn voor de situatie waarin zij de applicaties wensen te gaan inzetten. Indien onderwijsinstellingen menen dat er voorafgaande aan de inzet van Google G Suite for Education er sprake is van resterende hoge restrisico’s, dan zijn deze verplicht om een verzoek om voorafgaande raadpleging aan te vragen bij de AP.

Indien sprake is van gezamenlijke verwerkingsverantwoordelijkheid voor deze resterende hoge restrisico’s bij de geïdentificeerde verwerkingen, is het daarbij noodzakelijk dat onderwijsinstellingen samen met Google gezamenlijk een nieuw verzoek om voorafgaande raadpleging aanvragen. Indien uit de risico-inschattingen geen hoge restrisico blijken, zijn onderwijsinstellingen niet verplicht een voorafgaande raadpleging aan te vragen.

[1] De minister geeft aan in de brief ban 8 juni 2021 aan TK:

Google heeft in een reactie laten weten dat ze zich committeren aan de AVG. Zij geven daarbij aan tijdig mee te zullen werken aan het oplossen van de tekortkomingen en de benodigde transparantie te betrachten zodat voldaan kan worden aan de AVG en het Nederlandse onderwijs Google Workspace for Education kan blijven gebruiken. We gaan er vanuit dat Google voor de start van het schooljaar 2021/2022 de geconstateerde tekortkomingen heeft opgelost. SURF en SIVON zijn samen met Strategisch Leveranciersmanagement Rijk (SLM Rijk) in gesprek met Google. Tevens verkennen zij wat de gevolgen zijn wanneer Google de tekortkomingen niet tijdig heeft opgelost.

Ook iedere maand onze nieuwsbrief ontvangen?