DPIA voor Google Workspace verricht. Wat betekent dat?

Voor het laatst ge√ľpdatet: 10 oktober 2022. De laatste update is onderaan dit artikel te vinden.

Google ligt al langer onder vuur vanwege hun twijfelachtige omgang met persoonsgegevens. Op 1 maart 2021 is via diverse kanalen en in de pers bekend geworden dat het Rijk een Data Protection Impact Assessment (DPIA), op Google Workspace (voorheen bekend als G-Suite Enterprise / Education) heeft laten uitvoeren en is dit beeld over Google  door onderzoek min of meer bevestigd. De conclusie van de DPIA is namelijk dat voor het gebruik van Google Workspace hoge privacyrisico‚Äôs worden gelopen.

Naar aanleiding hiervan hebben wij ook diverse vragen gekregen van klanten. In dit bericht vatten wij de belangrijkste punten samen en geven wij aan wat dit betekent en advies wat te doen.

Wat is er gebeurd?

Zoals aangegeven heeft de overheid een DPIA op Google Workspace laten uitvoeren. Deze digitale toepassing wordt in het PO en VO, maar ook in het MBO, veelvuldig gebruikt. In opdracht van het Ministerie van Justitie en Veiligheid is al in juni 2020 een DPIA naar deze applicatie uitgevoerd (de volledige DPIA ‚Äď in het Engels ‚Äď vind je hier). Hieruit is gebleken dat er 10 hoge en 3 lage privacyrisico‚Äôs kleven aan het gebruik van Google Workspace. Na overleg met de overheid heeft Google maatregelen aangekondigd om de risico‚Äôs te beperken, maar zelfs na uitvoering van deze maatregelen blijven er nog steeds 8 hoge privacy risico‚Äôs over (naast de 3 lage risico‚Äôs).

Welke risico‚Äôs zijn er ge√Įdentificeerd?

De geconstateerde risico‚Äôs gaan om het verzamelen van zogenoemde ‚Äėmetadata‚Äô door Google: dit zijn data over het individuele gebruik van Google Workspace (diagnostische gegevens), hulpvragen die gebruikers aan Google stellen (supportgegevens) en opmerkingen van gebruikers via een Feedback-formulier. Google noemt deze 3 soorten gegevens ‚ÄėService Data‚Äô en stelt zich op het standpunt dat zij deze informatie voor eigen doelen mag verwerken en daarmee dus een zelfstandige verwerkingsverantwoordelijke is. Deze data geven Google informatie waar gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina‚Äôs en zoekopdrachten het meeste worden gebruikt. Hoewel het hier dus niet gaat om individuele leerresultaten of adresgegevens van gebruikers, zijn deze metadata volgens de AVG wel degelijk ook persoonsgegevens.

Het DPIA rapport stelt dat Google niet de vrijheid heeft om zelf doelen te bepalen: ze kan deze Service Data namelijk alleen maar krijgen van de gebruikers, waarbij ze dus een rol als verwerker hebben. Google heeft daarop haar privacyverklaring eind 2020 aangepast en daarin 17 eigen doelen voor de verwerking van de persoonsgegevens benoemd. Toch blijft het probleem nog steeds bestaan dat je als gebruiker geen controle meer hebt over je persoonsgegevens indien Google deze gegevens voor eigen commerci√ęle doelen mag blijven verwerken. Deze doelen zijn bovendien heel ruim en vaag omschreven (bijv. het tonen van aanbevelingen, het combineren van de Service Data met informatie uit (onbekende) andere Google producten en diensten en het gebruik van algoritmes om patronen te herkennen). Bovendien bestaat de mogelijkheid dat Google de doelen voor de verwerking van de Service Data zelf kan wijzigen door haar privacyverklaring (opnieuw) aan te passen.

Conclusie uit het DPIA rapport is dat Google, ondanks de genoemde beperking van de doelen, in feite nog steeds optreedt als verwerkingsverantwoordelijke. Google is namelijk (voor alsnog) niet bereid de verwerking van deze inhoudelijke gegevens te beperken tot het strikt noodzakelijke. Hierdoor blijft het risico bestaan dat onderwijsinstellingen die Google Workspace gebruiken, geen controle kunnen uitoefenen over wat er met deze gegevens gebeurt. Dit zorgt voor een potentieel risico, bijvoorbeeld dat die gegevens gebruikt worden om gepersonaliseerde advertenties te plaatsen. 

Welke acties zijn al ondernomen?  

De overheid heeft naar aanleiding van de DPIA op 15 februari 2021 een aanvraag bij de Autoriteit Persoonsgegevens (AP) ingediend voor Voorafgaande Raadpleging. Dit is een verplichting uit artikel 36 van de AVG, wanneer een organisatie in een DPIA concludeert dat er hoge restrisico‚Äôs zijn die ze niet zelf kan oplossen. Daarnaast heeft Google inmiddels aangegeven of het mogelijk is om haar rol als verwerker van deze ‚ÄėService Data‚Äô in de toekomst te wijzigen. Ook vanuit het onderwijs (SURF en SIVON) is er contact met Google opgenomen over deze privacyrisico‚Äôs: op dit moment is er nog geen overeenstemming op de aangegeven verbeterpunten. Tenslotte hebben genoemde onderwijspartijen voor het onderdeel Workspace for Education ook een Voorafgaande Raadpleging bij de AP ingediend.

Hoe nu verder en wat kun je als school zelf doen?

Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten en zijn de overheid, SURF en SIVON nog in gesprek met Google. Zij gaan ervan uit dat Google aanpassingen doorvoert zodat de geconstateerde risico‚Äôs worden weggenomen en Workspace uiteindelijk veilig gebruikt kan worden. Op de websites van SURF en SIVON kun je hierover meer informatie teruglezen. Ook is de Autoriteit Persoonsgegevens gevraagd om advies uit te brengen. Zodra hierover meer bekend is, zullen wij dit artikel updaten.

UPDATE D.D. 18-06-2021 – Advies Lumen Group als FG n.a.v. advies Autoriteit Persoonsgegevens

Inmiddels heeft de AP een officieel advies uitgebracht met betrekking tot Google Workspace. Wij hebben het offici√ęle advies van de AP en de informatie vanuit SURF en SIVON (onderwijsbrancheverenigingen) bestudeerd en beoordeeld. Hierover hebben wij ook contact gehad met de AP.

Wij kunnen ons voorstellen dat deze berichtgeving ingrijpend kan zijn voor uw organisatie en ook voor onrust kan zorgen. Om u hierbij zo goed mogelijk te begeleiden, zullen wij u in onderstaand document informeren en adviseren over mogelijke keuzes en afwegingen met betrekking tot het gebruik van Google Workspace. In onderstaand document hebben we de volledige context beschreven. Ons advies als uw FG kunt u terugvinden in hoofdstuk 4.

Samenvatting

  • Uit de verrichte DPIA blijkt dat er hoge privacyrisico‚Äôs kleven aan het gebruik van Google Workspace.
  • De DPIA op Google Workspace is verricht vanuit de onderwijsbranche, maar is net zo relevant voor organisaties in andere sectoren.
  • De AP heeft hierover een advies uitgebracht: indien de gesignaleerde risico‚Äôs uit de DPIA niet voldoende worden weggenomen, dan moeten organisaties stoppen met het gebruik van Google Workspace en moet dit zijn uitgefaseerd v√≥√≥r 1 augustus 2021.
  • Onderhandelingen tussen de Rijksoverheid en Google over de privacyrisico‚Äôs gaan door naar aanleiding van het advies van de AP.
  • Hoewel de meest partijen uitgaan van een goede uitkomst van het overleg met Google, bestaat de kans dat Google uiteindelijk niet in voldoende mate de risico‚Äôs wegneemt.
  • Organisaties moeten het gebruik van Google Workspace heroverwegen en zo spoedig als mogelijk hierover een bestuursbesluit nemen.
  • Het advies van Lumen Group als uw FG is opgenomen in hoofdstuk 4 van dit document.

UPDATE D.D. 09-07-2021 – Akkoord bereikt met Google over hoge privacyrisico’s Google Workspace

De onderhandelingen tussen SLM Rijk, SURF, SIVON en Google van de afgelopen weken hebben geleid tot overeenstemming met Google over het mitigeren van hoge privacyrisico’s met betrekking tot het gebruik van Workspace. Dit hebben Ministers Van Engelshoven en Slob gisteren medegedeeld aan de Tweede Kamer. De komende twee weken worden er verdere gesprekken met Google gevoerd om de onderhandelingsresultaten te verfijnen en overeenstemming te bereiken over de manier waarop bestaande contracten worden aangepast of gemigreerd naar de nieuwe afspraken. Dit meldt SURF in een persbericht. De verwachting is dat dit op 21 juli 2021 gereed is en dat de verdere details van het akkoord dan bekend zullen worden. Zodra deze details bekend zijn, zullen wij onze klanten uiteraard informeren over wat dit voor hen betekent.

  • Kamerbrief Van Engelshoven en Slob: link
  • Persbericht SURF: link

UPDATE D.D. 24-08-2021 – Vervolgadvies Lumen Group als FG n.a.v. akkoord met Google

Op 18 juni 2021 gaven wij u ons advies met betrekking tot het gebruik van Google Workspace (voorheen bekend als G-Suite Enterprise/Education) en het advies van de Autoriteit Persoonsgegevens (AP). Eerder werd bekend dat, als gevolg van de onderhandelingen met Google, er een akkoord is bereikt met Google over de hoge privacyrisico’s met betrekking tot Google Workspace. Dit betekent dat onderwijsinstellingen Google Workspace kunnen (blijven) gebruiken, mits zij een aantal handelingen hebben uitgevoerd. Om u hierbij zo goed mogelijk te begeleiden, informeren en adviseren wij u over de te nemen handelingen ten aanzien van Google Workspace. In onderstaand document hebben we de volledige context en ons advies beschreven. Ons advies als uw FG kunt u terugvinden in hoofdstuk 4.

Samenvatting

  • Onderhandelingen met Google hebben een positieve uitkomst: er is een akkoord bereikt over de hoge privacyrisico‚Äôs met betrekking tot Google Workspace.
  • Onderwijsinstellingen kunnen Google Workspace (blijven) gebruiken, mits zij een aantal handelingen hebben uitgevoerd. Hiervoor is een ondersteuningspakket beschikbaar door onderwijsbrancheverenigingen.
  • Onderwijsinstellingen moeten de volgende handelingen uitvoeren indien zij Google Workspace willen gebruiken:
    • De juiste (technische) instellingen invoeren;
    • De nieuwe Google voorwaarden accepteren;
    • Een organisatie specifieke DPIA uitvoeren.
  • Het advies van Lumen Group, als uw FG, is opgenomen in hoofdstuk 3 van dit document. Kortgezegd houdt ons advies in:
    • Zet de technische instellingen goed;
    • Accepteer de nieuwe voorwaarden van Google;
    • Verricht een organisatiespecifieke DPIA;
    • Neem zo spoedig mogelijk een bestuursbesluit en heroverweeg te allen tijde het gebruik van Google Workspace;
    • Informeer de betrokkenen;
    • Houd de ontwikkelingen in de gaten;
    • Leg de organisatie specifieke DPIA aan Lumen Group voor als uw FG voor een advies.
  • Wij kunnen ons voorstellen dat de te verrichten handelingen extra werk opleveren in toch al drukke tijden. Lumen Group is er voor u om u te ondersteunen en adviseren. Neem hiervoor gerust contact met ons op.

UPDATE D.D. 14-10-2021 – SIVON: veelgestelde vragen en voorbeeldbrief

Veelgestelde vragen
Inmiddels zijn diverse schoolbesturen die werken voor Google Workspace for Education aan de slag gegaan met het ondersteuningspakket. Naar aanleiding hiervan zijn vragen gesteld aan SIVON en deze hebben zij gepubliceerd op de pagina veelgestelde vragen op sivon.nl.

Voorbeeldbrief voor ouders en medewerkers
Daarnaast heeft SIVON een voorbeeldbrief gemaakt die je kunt gebruiken voor leerlingen, ouders en medewerkers om hen te informeren over de aanpassingen in Google Workspace for Education.

UPDATE D.D. 16-11-2021 – SIVON: veelgestelde vragen over het gebruik van Google Workspace en de DPIA Google

Op 12 november 2021 heeft SIVON een een bericht gepubliceerd inhoudende de belangrijkste vragen omtrent Google Workspace en de DPIA op Google.

De vragen hebben betrekking op ChromeOS en Chrome-browser, handelingen die schoolbesturen moeten uitvoeren, third party cookies, het blijven gebruiken van Google Workspace for Education na afspraken met Google en de DPIA op Google Workspace.

UPDATE D.D. 16-05-2022 РSIVON: update voortgang Google Workspace for Education 

SIVON heeft op hun website een update gepubliceerd over de voortgang met Google over Google Workspace for Education. 

De update betreft de volgende drie onderwerpen:
1. Inzichten ontstaan uit de werksessies tussen SIVON en Kennisnet over de implementatie van de Google maatregelen. Er is gesproken over cookies, anonieme e-mail, YouTube, synchronisatie en data locatie.
2. De voortgang met betrekking tot de de gemaakte afspraken uit het remediation plan. 
3. De nog lopende DPIA op Google Chrome OS & Browser.

Zie hier voor het gehele artikel. 

UPDATE D.D. 10-10-2022 – SIVON: update voortgang Google Workspace for Education

SIVON heeft op hun website een update gepubliceerd over de voortgang met Google over Google Workspace for Education. 

Sivon verwacht dat Google de toezegging nakomt om voor het einde van 2022 de hoge privacy risico’s te minimaliseren, zodat de scholen in kwestie Workspace for Education veilig kunnen blijven gebruiken.¬†

De update betreft verder de volgende drie onderwerpen:
1. De uitkomsten van de lopende Data Transfer Impact Assessment (DTIA) voor Google Workspace for Education volgen naar verwachting begin 2023. 
2. Het onderzoek naar mogelijke privacy issues binnen ChromeOS en internetbrowser Chrome zal voor eind 2022 voor beiden een nieuwe verwerkersovereenkomst gaan opleveren. 
3. Aan onderwijsinstellingen wordt voor deze applicaties volgend jaar een compleet pakket aan documenten ter beschikking gesteld. 

Zie hier voor het gehele artikel.