Google Workspace in het onderwijs

De AP (Autoriteit Persoonsgegevens) bevestigt dat er op dit moment te veel privacyrisico’s kleven aan het gebruik van Google Workspace binnen het onderwijs. Die risico’s kwamen aan het licht tijdens een onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) en de DPIA van het Strategisch Leveranciersmanagement Rijksoverheid (SLM Rijk).
online proctoring

Alles over DPIA Google Workspace

9 juli 2021 - Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, mits zij zelf ook enkele acties uitvoeren.

Lees het volledige bericht

Akkoord onderwijs met Google over privacy-risico’s

8 juli 2021 - Na intensieve discussies van de afgelopen weken is overeenstemming bereikt met Google over het mitigeren van hoge privacy-risico's met betrekking tot het gebruik van Workspace for Education Plus en Workspace Education Fundamentals door onderwijsinstellingen in Nederland.

Lees het volledige bericht

Jongen in open bibliotheek achter computer
Videobellen in vergaderzaal

Advies AP: Google Workspace in het onderwijs kent te veel risico’s

8 juni 2021 - De Autoriteit Persoonsgegevens (AP) stelt dat onduidelijk is of persoonsgegevens in Google Workspace (voorheen Google Suite for Education) voldoende beschermd zijn. Onderwijsorganisaties doen een dringend beroep op de maatschappelijke verantwoordelijkheid van Google om de privacy van leerlingen en studenten goed te waarborgen en per direct in gang te zetten dat de risico’s worden weggenomen.  

Lees het volledige bericht

SURF en SIVON spreken Google aan op privacyrisico’s

22 februari 2021 - In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google G-suite*.

Lees het volledige bericht

collega aan het werk op SURF-kantoor

 

Veelgestelde vragen - algemeen

Welke producten bevat Google G Suite for Education en wat is Google Workspace for Education?

Google G Suite for Education bevat o.a.: Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. Google G Suite for Education heet sinds kort Google Workspace for Education.

De volledige lijst van applicaties: Google Classroom, Chat, Meet, Hangouts, Contacts, Tasks, Keep, Drive, Calendar, Jamboard, Sites, Forms, Sheets, Docs, Slides, Assignments, Cloud search and retrieval across services, Vault, Gmail, Cloud identity management.

Wat moet ik zelf doen om Workspace for Ecucation te blijven gebruiken?

SURF en SIVON helpen de instellingen om Workspace for Education te blijven gebruiken. Het gaat daarbij om:  

  1. Instellingen krijgen advies en hulpmiddelen van SURF en SIVON over de technische en organisatorische maatregen die zij kunnen nemen (instellingen voor administrators). Deze wijzigingen moeten instellingen zelf doorvoeren.  
  2. Daarnaast moeten instellingen de aangepaste voorwaarden van Google accepteren. Hier wordt later informatie over bekend gemaakt.  

  3. Met de aangepaste DPIA die SURF en SIVON zullen publiceren, maken instellingen zelf een afweging of voor hen de risico's voldoende zijn gemitigeerd, en of er voor hun specifieke situatie aparte risico's zijn die beperkt moeten worden.  

Met deze 3 verschillende stappen worden instellingen geholpen om te bepalen of deze afspraken in voldoende mate invulling geven aan de bescherming van persoonsgegevens conform de AVG. Daarmee bepalen instellingen zelf of zij Workspace in het nieuwe collegejaar kunnen blijven gebruiken.

Welke ondersteuning bieden SURF/SIVON bij de aanpassingen die instellingen moeten doen voor de start van het nieuwe collegejaar?

Voor instellingen komt een handleiding waarin stapsgewijs wordt uitgelegd hoe je de aanpassingen kan maken in Google Workspace for Education (Plus). Ook wordt in juli uitleg gegeven over het accepteren van de aangepaste privacy-voorwaarden. De DPIA wordt aangepast met uitleg over de beperking van de hoge privacy-risico's. Instellingen kunnen met de hulpmiddelen zelf beoordelen of de risico's voldoende zijn beperkt om gebruik te kunnen blijven maken van Workspace for Education.

Kan ik de aanvullende diensten van Google waarover jullie nog afspraken gaan maken in de tussentijd gewoon blijven gebruiken?

Het is lastig om in deze brede zin daar antwoord op te geven. De afspraken met Google gaan in de eerste plaats over het gebruik van Workspace for Education (Plus). Daarnaast zijn er adviezen en technische maatregelen voor het gebruik van de aanvullende diensten (additional services) van Google. We zullen uiteraard zo snel mogelijk beschikbare informatie verstrekken over de diensten die buiten de afspraken vallen. Uiteindelijk dien je hier als instelling zelf een afweging in te maken. 

Wat betekenen deze afspraken voor het gebruik van Google Chromebooks?

De concrete afspraken gelden in principe alleen op Workspace for Education (Plus). Google committeert zich wel om samen met SURF en SIVON ook op het onderwerp Chromebooks te blijven werken. Daarnaast belooft Google om verwerker te worden voor ChromeOS. We zullen je voorzien van informatie om nu al Chromebooks zo privacy-vriendelijk mogelijk in te stellen, bijvoorbeeld door te melden welke technische maatregelen nu genomen kunnen worden. Een definitief antwoord over het gebruik van Chromebooks kunnen we pas geven als de gesprekken met Google zijn afgerond over de DPIA die op Chrome/ChromeOS momenteel wordt uitgevoerd. 

Wat gebeurt er als de afspraken toch niet gemaakt kunnen worden?

De afspraken met Google gaan niet alleen over gewijzigde contractuele afspraken en technische maatregen die instellingen kunnen nemen, maar ook over aanpassingen die Google in haar software moet doorvoeren. SURF en SIVON blijven met Google daarover in gesprek en houden de voortgang in de gaten. Google heeft zich gecommitteerd om de gemaakte afspraken over Workspace for Education (Enterprise) in 2022 af te ronden. De afspraken met Google voldoen daarmee aan de aanwijzingen die de AP heeft gegeven in haar advies van 31 mei 2021.  

Wat gebeurt er als ik niet voor aanvang van het nieuwe collegejaar de aanpassingen heb doorgevoerd? Krijg ik dan een boete van het AP?

Naar verwachting zal de AP niet direct bij aanvang van het nieuwe collegejaar een boete opleggen. De werkwijze is dat de AP een onderzoek zal starten als zij een klacht hebben ontvangen van bijvoorbeeld een bezorgde ouder. Dat onderzoek zal enige tijd in beslag nemen en dan zal de AP deze specifieke case bekijken en indien men daar reden toe ziet gaan handhaven. Ons advies is dus niet te lang te wachten met het doorvoeren van de aanpassingen. 

Zijn de onderhandelingen nu klaar of gaan jullie nog verder in gesprek met Google?

We blijven continue in gesprek met Google. De focus lag de afgelopen periode vooral op de uitkomsten van de DPIA op Workspace en het advies van de AP. We blijven in gesprek rondom andere diensten en producten van Google zoals de aanvullende diensten (Additional Service), ChromeOS en Google Cloud Platform. Daarnaast zullen wij een vinger aan de pols houden rondom de technische verbeteringen die Google door moet voeren op Workspace om te oordelen dat ze tijdig en voldoende worden afgerond.

 

Vragen over de DPIA van Google

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Meer informatie? Lees dan meer over DPIA’s op de Aanpak IBP van Kennisnet.

Waarom is er een DPIA naar Google Workspace gedaan?

De DPIA is gedaan om de privacyrisico’s van Google Workspace for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google Workspace. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma’s gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google Workspace gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.

Waarom is de DPIA in het Engels?

De DPIA is in het Engels omdat de voertaal binnen Google Engels is. De resultaten moeten ook voor hen duidelijk zijn en niet verkeerd geïnterpreteerd of vertaald worden. 

 

Veelgestelde vragen - specifiek voor SURF-leden

Hoe weet ik of mijn instelling de dienst Google G Suite for Education via SURF heeft afgenomen?

SURF heeft sinds jaren geen overeenkomst meer met Google. Pas zeer recent is de optie om G Suite af te nemen geboden via OCRE. Hier is door instellingen nog geen gebruik van gemaakt.

Als mijn instelling nu nog een rechtstreeks contract met Google heeft voor deze dienst, kan SURF dit contract dan overnemen en zorgen dat alsnog aan de DPIA-voorwaarden wordt voldaan?

Dat is afhankelijk van de huidige afspraken van uw instelling met Google. Dat kunnen wij niet beoordelen. Neem contact op met je relatiemanager bij SURF als je vragen hebt.

Wat is de impact van de DPIA op andere Google-diensten die nu via OCRE worden aangeboden?

De DPIA is specifiek gericht op G Suite, andere oplossingen van Google zijn nog niet getoetst. We kunnen dus (nog) niet met zekerheid stellen of ze wel of niet voldoen. Het is aan een instelling zelf een afweging te maken rondom het gebruik en vooral te overleggen met de functionaris gegevensbescherming (FG). Wel adviseren we terughoudend te zijn met het afsluiten van nieuwe contracten.

Binnen mijn instelling kunnen we niet zomaar overstappen naar een andere dienst; wat is het advies van SURF voor deze situatie?

Er is een probleem en dat moet opgelost worden en wij gaan er van uit dat Google de benodigde aanpassingen doorvoert. De situatie op dit moment betekent niet dat het onderwijs op stel en sprong moet stoppen met het gebruik van Google G Suite, vooral als zij erop aangewezen zijn voor de continuïteit van het onderwijs. De Autoriteit Persoonsgegevens is gevraagd om advies uit te brengen en er lopen gesprekken met Google over aanpassing van hun beleid. We adviseren instellingen die overwegen te starten met Google de uitkomsten van deze DPIA mee te nemen in hun overwegingen.

Gelden deze privacyrisico’s ook voor Microsoft/O365?

Voor de producten en diensten van Microsoft zijn twee jaar geleden soortgelijke DPIA's uitgevoerd. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt. De uiteindelijke conclusie van die DPIA's was dat voor het gebruik van Microsoft-producten geen hoge risico's overblijven, mits de klant een aantal maatregelen neemt.

Als ik vragen of opmerkingen heb die ik niet publiek wil bespreken, met wie kan ik dan contact opnemen?

Als je vraag op deze pagina niet wordt beantwoord, kun je altijd contact opnemen met je relatiemanager bij SURF.

SURF biedt geen contract aan met Google. Waarom is SURF hier dan toch bij betrokken?

Op verzoek van de HvA en RUG is SURF in mei 2020 betrokken. Dit vanwege het grotere belang bij zowel sommige leden van SURF als ook het hele Nederlandse onderwijs. SURF (namens hoger- en beroepsonderwijs) en SIVON (namens PO/VO) zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google de privacyrisico’s wegneemt.

Nanja Nouwen

Stel mij je vragen over de organisatie en het bestuur van SURF.
Telefoonnummer
Nanja Nouwen