Google Workspace in het onderwijs

We bereikten overeenstemming met Google over een uitgebreide set contractuele, organisatorische en technische maatregelen met betrekking tot het gebruik van Workspace for Education Plus en Workspace Education Fundamentals door onderwijsinstellingen in Nederland. Gezien het belang van het gebruik van Google-diensten in onderwijsinstellingen, blijven SURF en SIVON namens het onderwijs Google monitoren.

Ondersteuningspakket Google Workspace for Education

Zoals wij eerder hebben gemeld is op 8 juli overeenstemming bereikt met Google over de maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat instellingen gebruik kunnen blijven maken van Google Workspace for Education (Plus), mits zij zelf ook enkele acties uitvoeren. SURF, SIVON en Kennisnet hebben hiervoor een ondersteuningspakket gemaakt die je vanaf nu hier kunt vinden.

Lees het volledige bericht

kasten met computers
online proctoring

Alles over DPIA Google Workspace

9 juli 2021 - Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, mits zij zelf ook enkele acties uitvoeren.

Lees het volledige bericht

Akkoord onderwijs met Google over privacy-risico’s

8 juli 2021 - Na intensieve discussies van de afgelopen weken is overeenstemming bereikt met Google over het mitigeren van hoge privacy-risico's met betrekking tot het gebruik van Workspace for Education Plus en Workspace Education Fundamentals door onderwijsinstellingen in Nederland.

Lees het volledige bericht

Jongen in open bibliotheek achter computer
Videobellen in vergaderzaal

Advies AP: Google Workspace in het onderwijs kent te veel risico’s

8 juni 2021 - De Autoriteit Persoonsgegevens (AP) stelt dat onduidelijk is of persoonsgegevens in Google Workspace (voorheen Google Suite for Education) voldoende beschermd zijn. Onderwijsorganisaties doen een dringend beroep op de maatschappelijke verantwoordelijkheid van Google om de privacy van leerlingen en studenten goed te waarborgen en per direct in gang te zetten dat de risico’s worden weggenomen.  

Lees het volledige bericht

SURF en SIVON spreken Google aan op privacyrisico’s

22 februari 2021 - In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google G-suite*.

Lees het volledige bericht

collega aan het werk op SURF-kantoor

 

Veelgestelde vragen - algemeen

Welke producten bevat Google G Suite for Education en wat is Google Workspace for Education?

Google G Suite for Education bevat o.a.: Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. Google G Suite for Education heet sinds kort Google Workspace for Education.

De volledige lijst van applicaties: Google Classroom, Chat, Meet, Hangouts, Contacts, Tasks, Keep, Drive, Calendar, Jamboard, Sites, Forms, Sheets, Docs, Slides, Assignments, Cloud search and retrieval across services, Vault, Gmail, Cloud identity management.

Wat moet ik zelf doen voordat mijn onderwijsinstelling Google Workspace for Education kan gebruiken?

Instellingen moeten:

  1. de nieuwe voorwaarden die Google rond 9 augustus 2021 toestuurt accepteren, en
  2. de technische en organisatorische maatregelen uitvoeren die zijn opgenomen in de Technische Handleiding, en
  3. zelf een onderwijsspecifieke DPIA uitvoeren. Maak hiervoor gebruik van de Update DPIA van The Privacy Company en van de Handreiking onderwijsspecifieke DPIA op Google Workspace for Education.

Met deze 3 stappen stellen onderwijsinstellingen zelf vast of zij Google Workspace for Education kunnen blijven gebruiken in hun eigen situatie.

Wanneer moeten alle stappen genomen zijn?

Zo snel mogelijk, liefst voor de start van het nieuwe collegejaar. De Autoriteit Persoonsgegevens heeft het oordeel gegeven dat instellingen voor de start van het nieuwe collegejaar zelf moeten afwegen of zij Workspace for Education blijven gebruiken.

Wanneer krijg ik van Google de nieuwe overeenkomst voor Workspace for Education?

Google stuurt rond maandag 9 augustus de contactpersonen (administrators) van de instellingen een e-mail met daarbij de nieuwe overeenkomst en hoe deze geaccepteerd kan worden. Je moet deze zelf accepteren. SURF en SIVON kunnen dat niet voor je doen.

Wie moet de nieuwe overeenkomst ondertekenen?

De overeenkomst wordt door de instelling geaccepteerd door de betreffende onderdelen aan te klikken op de link accepteren te klikken. Omdat het gaat over het accepteren van de nieuwe voorwaarden met Google, moet het bevoegd gezag – de bestuurder of het college van bestuur – akkoord geven op het accepteren van deze voorwaarden. De persoon die op de link klikt, moet dus het mandaat hebben de voorwaarden te accepteren.

Waar staat de overeenkomst met Google?

De overeenkomst staat niet online, de voorwaarden zijn vertrouwelijk en alleen voor gebruikers van Workspace for Education. Je ontvangt de overeenkomst op het e-mailadres van de beheerder van uw Workspace account.

Ik heb de nieuwe overeenkomst van Google niet ontvangen, wat moet ik doen?

Ben je de IT administrator van Google Workspace for Education? Controleer je spam-folder in je email of er wel mail is gestuurd. Als de Workspace for Education-omgeving wordt beheerd door een externe leverancier, dan heeft deze mogelijk de email van Google ontvangen.

Als je na vrijdag 13 augustus nog geen gewijzigde overeenkomst hebt ontvangen, vul dan dit formulier in. SURF en SIVON nemen dan contact op met Google en vragen om u de gewijzigde overeenkomst toe te sturen.

Waarom moet mijn instelling ook een DPIA uitvoeren, die is toch al door SURF en SIVON uitgevoerd?

SURF en SIVON hebben door Privacy Company een algemene DPIA uit laten voeren op Workspace for Education (Plus). SURF en SIVON zijn niet zelf gebruikers van Workspace for Education, dat is jouw instelling. Daarom moet je zelf vaststellen of en welke uitkomsten van de DPIA van SURF en SIVON op jouw situatie van toepassing zijn. Volgens de Autoriteit Persoonsgegevens moeten instellingen zelf nog voor hun eigen organisatie vaststellen of de met Google gemaakte afspraken en maatregelen voldoende zijn om invulling te geven aan de bescherming van persoonsgegevens conform de AVG. Daarnaast is het mogelijk dat er bij instellingen sprake is van additionele risico’s die niet opgenomen zijn in de DPIA van SURF en SIVON.

Is het noodzakelijk dat ik alle technische maatregelen uitvoer die in de handleiding zijn opgenomen?

In maart 2021 zijn er 8 hoge privacyrisico's vastgesteld voor gebruikers van Workspace for Education (Plus). SURF en SIVON hebben met Google afspraken gemaakt over het beperken van deze risico's. Om alle hoge risico's te kunnen beperken, moet de nieuwe overeenkomst met Google geaccepteerd worden en de technische maatregelen uitgevoerd worden die zijn beschreven in de Technische Handleiding. Als deze stappen niet allemaal worden uitgevoerd, dan moet de instelling zelf bepalen of de 8 hoge privacyrisico's voldoende zijn gemitigeerd. 

Workspace for Education wordt bij onze instelling beheerd door een externe leverancier die ook onze administrator (systeembeheerder) is. Geeft onze leverancier akkoord op de nieuwe overeenkomst met Google?

Nee, een leverancier kan nooit voor jou akkoord geven op nieuwe voorwaarden met Google. Je moet zelf beslissen of je akkoord gaat met de nieuwe voorwaarden. Jouw leverancier of externe systeembeheerder moet vooraf met je overleggen of je akkoord geeft om de nieuwe voorwaarden te accepteren. Daarna kan de leverancier of externe systeembeheerder namens jou de voorwaarden accepteren.

Jouw leverancier kan niet vooraf met je afspreken dat je de voorwaarden accepteert, je moet zelf de gewijzigde voorwaarden doornemen voordat je toestemming geeft de voorwaarden te accepteren.

Kan ik de handleiding technische maatregelen delen met mijn leverancier die onze Workspace omgeving beheert?

Ja, dan kan. Kennisnet zal ook zelf de grootste leveranciers proactief informeren over de te nemen technische maatregelen.

Wanneer komt er een nieuwe versie van Chrome browser beschikbaar waarbij Google als data verwerker optreedt in plaats van data controller?

Dat is nog niet bekend. Om aan alle nieuwe privacy afspraken te voldoen moet Google aanpassing doen aan haar producten. Dat heeft even tijd nodig. SIVON blijft met Google in gesprek over de voortgang en zal hier zo spoedig mogelijk nader over communiceren.

Kan ik de aanvullende diensten van Google waarover jullie nog afspraken gaan maken in de tussentijd gewoon blijven gebruiken?

Het is lastig om in deze brede zin daar antwoord op te geven. De afspraken met Google gaan in de eerste plaats over het gebruik van Workspace for Education (Plus). Daarnaast zijn er adviezen en technische maatregelen voor het gebruik van de aanvullende diensten (additional services) van Google. We zullen uiteraard zo snel mogelijk beschikbare informatie verstrekken over de diensten die buiten de afspraken vallen. Uiteindelijk dien je hier als instelling zelf een afweging in te maken. 

Wat betekenen deze afspraken voor het gebruik van Google Chromebooks?

De concrete afspraken gelden in principe alleen op Workspace for Education (Plus). Google committeert zich wel om samen met SURF en SIVON ook op het onderwerp Chromebooks te blijven werken. Daarnaast belooft Google om verwerker te worden voor ChromeOS. We zullen je voorzien van informatie om nu al Chromebooks zo privacy-vriendelijk mogelijk in te stellen, bijvoorbeeld door te melden welke technische maatregelen nu genomen kunnen worden. Een definitief antwoord over het gebruik van Chromebooks kunnen we pas geven als de gesprekken met Google zijn afgerond over de DPIA die op Chrome/ChromeOS momenteel wordt uitgevoerd. 

Wat gebeurt er als ik niet voor aanvang van het nieuwe collegejaar de aanpassingen heb doorgevoerd? Krijg ik dan een boete van het AP?

Naar verwachting zal de AP niet direct bij aanvang van het nieuwe collegejaar een boete opleggen. De werkwijze is dat de AP een onderzoek zal starten als zij een klacht hebben ontvangen van bijvoorbeeld een bezorgde ouder. Dat onderzoek zal enige tijd in beslag nemen en dan zal de AP deze specifieke case bekijken en indien men daar reden toe ziet gaan handhaven. Ons advies is dus niet te lang te wachten met het doorvoeren van de aanpassingen. 

Zijn de onderhandelingen nu klaar of gaan jullie nog verder in gesprek met Google?

We blijven continue in gesprek met Google. De focus lag de afgelopen periode vooral op de uitkomsten van de DPIA op Workspace en het advies van de AP. We blijven in gesprek rondom andere diensten en producten van Google zoals de aanvullende diensten (Additional Service), ChromeOS en Google Cloud Platform. Daarnaast zullen wij een vinger aan de pols houden rondom de technische verbeteringen die Google door moet voeren op Workspace om te oordelen dat ze tijdig en voldoende worden afgerond.

 

Vragen over de DPIA van Google

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Meer informatie? Lees dan meer over DPIA’s op de Aanpak IBP van Kennisnet.

Waarom is er een DPIA naar Google Workspace gedaan?

De DPIA is gedaan om de privacyrisico’s van Google Workspace for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google Workspace. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma’s gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google Workspace gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.

Waarom is de DPIA in het Engels?

De DPIA is in het Engels omdat de voertaal binnen Google Engels is. De resultaten moeten ook voor hen duidelijk zijn en niet verkeerd geïnterpreteerd of vertaald worden. 

 

Veelgestelde vragen - specifiek voor SURF-leden

Hoe weet ik of mijn instelling de dienst Google G Suite for Education via SURF heeft afgenomen?

SURF heeft sinds jaren geen overeenkomst meer met Google. Pas zeer recent is de optie om G Suite af te nemen geboden via OCRE. Hier is door instellingen nog geen gebruik van gemaakt.

Als mijn instelling nu nog een rechtstreeks contract met Google heeft voor deze dienst, kan SURF dit contract dan overnemen en zorgen dat alsnog aan de DPIA-voorwaarden wordt voldaan?

Dat is afhankelijk van de huidige afspraken van uw instelling met Google. Dat kunnen wij niet beoordelen. Neem contact op met je relatiemanager bij SURF als je vragen hebt.

Wat is de impact van de DPIA op andere Google-diensten die nu via OCRE worden aangeboden?

De DPIA is specifiek gericht op G Suite, andere oplossingen van Google zijn nog niet getoetst. We kunnen dus (nog) niet met zekerheid stellen of ze wel of niet voldoen. Het is aan een instelling zelf een afweging te maken rondom het gebruik en vooral te overleggen met de functionaris gegevensbescherming (FG). Wel adviseren we terughoudend te zijn met het afsluiten van nieuwe contracten.

Binnen mijn instelling kunnen we niet zomaar overstappen naar een andere dienst; wat is het advies van SURF voor deze situatie?

Er is een probleem en dat moet opgelost worden en wij gaan er van uit dat Google de benodigde aanpassingen doorvoert. De situatie op dit moment betekent niet dat het onderwijs op stel en sprong moet stoppen met het gebruik van Google G Suite, vooral als zij erop aangewezen zijn voor de continuïteit van het onderwijs. De Autoriteit Persoonsgegevens is gevraagd om advies uit te brengen en er lopen gesprekken met Google over aanpassing van hun beleid. We adviseren instellingen die overwegen te starten met Google de uitkomsten van deze DPIA mee te nemen in hun overwegingen.

Gelden deze privacyrisico’s ook voor Microsoft/O365?

Voor de producten en diensten van Microsoft zijn twee jaar geleden soortgelijke DPIA's uitgevoerd. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt. De uiteindelijke conclusie van die DPIA's was dat voor het gebruik van Microsoft-producten geen hoge risico's overblijven, mits de klant een aantal maatregelen neemt.

Als ik vragen of opmerkingen heb die ik niet publiek wil bespreken, met wie kan ik dan contact opnemen?

Als je vraag op deze pagina niet wordt beantwoord, kun je altijd contact opnemen met je relatiemanager bij SURF.

SURF biedt geen contract aan met Google. Waarom is SURF hier dan toch bij betrokken?

Op verzoek van de HvA en RUG is SURF in mei 2020 betrokken. Dit vanwege het grotere belang bij zowel sommige leden van SURF als ook het hele Nederlandse onderwijs. SURF (namens hoger- en beroepsonderwijs) en SIVON (namens PO/VO) zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google de privacyrisico’s wegneemt.

Nanja Nouwen

Stel mij je vragen over de organisatie en het bestuur van SURF.
Telefoonnummer
Nanja Nouwen