Nieuws

Advies AP: Google Workspace in het onderwijs kent te veel risico’s

De Autoriteit Persoonsgegevens (AP) stelt dat onduidelijk is of persoonsgegevens in Google Workspace (voorheen Google Suite for Education) voldoende beschermd zijn.
Videobellen in vergaderzaal

AP geeft advies over toepassing AVG door Google

Onderwijsorganisaties doen een dringend beroep op de maatschappelijke verantwoordelijkheid van Google om de privacy van leerlingen en studenten goed te waarborgen en per direct in gang te zetten dat de risico’s worden weggenomen.  

Conclusies bevestigen resultaten DPIA

SURF en SIVON hebben begin maart 2021, mede namens PO/VO/MBO raad, Kennisnet, de VH en VSNU, aan de AP advies gevraagd over Google Workspace, nadat in de gesprekken die zij tot dat moment hadden gevoerd met Google de zorgen onvoldoende werden weggenomen. De conclusies van de AP bevestigt dat er op dit moment te veel privacyrisico’s kleven aan het gebruik van Google Workspace. Die risico’s kwamen aan het licht tijdens onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) en de DPIA van het Strategisch Leveranciersmanagement Rijksoverheid (SLM Rijk).

Risico’s bij gebruik Google Workspace

De risico’s zitten in het verzamelen van zogenoemde metadata door Google. Daarbij ziet Google zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat het mag bepalen voor welk doel het gegevens verzamelt en op welke manier dat gebeurt. Ook heeft Google in zijn privacyovereenkomsten opgenomen dat het de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker opnieuw om toestemming te vragen. Volgens de AP moet altijd duidelijk zijn om welke gegevens het gaat. Zo niet, dan is dit in strijd met de AVG. Onder de huidige omstandigheden mogen onderwijsinstellingen met ingang van volgend schooljaar Google Workspace niet meer gebruiken, zo meldt de AP. 

In gesprek met Google 

Het ministerie van OCenW geeft in een brief aan de Kamer vandaag aan, ervan uit te gaan dat Google voor de start van het schooljaar 2021/2022 de geconstateerde issues heeft opgelost. SIVON en SURF spreken samen met SLM Rijk op dit moment met Google om snel duidelijk te krijgen hoe Google de benodigde aanpassingen zo snel mogelijk gaat doorvoeren.

Maatschappelijke verantwoordelijkheid Google

Wij doen een dringend beroep op de maatschappelijke verantwoordelijkheid van Google om de privacy van leerlingen en studenten goed te waarborgen en per ommegaande in gang te zetten dat de risico’s worden weggenomen. Zeker in het geval van (jonge) kinderen is deze verantwoordelijkheid extra groot, omdat kinderen op deze leeftijd nog onvoldoende bewust (kunnen) zijn van de privacyrisico’s.  

Gevolgen voor onderwijsinstellingen 

Google heeft in een reactie op het advies laten weten dat ze zich committeren aan de AVG en gezegd de tekortkomingen op te gaan lossen. Tot die tijd adviseren we onderwijsinstellingen  die overwegen te starten met Google Workspace om die plannen tot nader order te staken, en onderwijsinstellingen die een goed alternatief beschikbaar hebben, dit te gebruiken. Wilt u weten wat u zelf op korte termijn kunt doen om de veiligheid van het gebruik van Google Workspace te verbeteren? Lees dan het artikel G Suite Veiliger gebruiken. Wat kan ik doen? op kennisnet.nl.

Meer informatie

Veelgestelde vragen

Wat gebeurt er als Google de aanpassingen niet doorvoert?

Google heeft in een reactie laten weten dat ze verwacht de tekortkomingen snel op te kunnen lossen. Wij gaan ervan uit dat Google deze aanpassingen daadwerkelijk doorvoert nu de Autoriteit Persoonsgegevens (AP) aangeeft dat het gebruik van Google Workspace in strijd is met de Algemene Verordening Gegevensbescherming (AVG).

Moeten onderwijsinstellingen per direct stoppen met het gebruik van Google Workspace?

De conclusie van de AP is dat als de onduidelijkheden en risico’s van het gebruik van Google Workspace niet worden weggenomen, Workspace niet meer gebruikt mag worden. Google heeft laten weten dat ze willen zorgen dat de problemen tijdig opgelost worden.

SURF en SIVON zijn momenteel in gesprek met Google hoe die de benodigde aanpassingen zo snel mogelijk gaan doorvoeren.

Hoe gaat het nu verder in zijn werk?

Samen met SLM Rijk (ministerie van Justitie en Veiligheid) zijn SIVON en SURF namens het onderwijs in gesprek met Google over de adviezen van de AP en hoe die de benodigde aanpassingen zo snel mogelijk gaan doorvoeren.

Kan ik de Chromebooks op mijn instelling nog gebruiken?

Op dit moment wordt een onderzoek uitgevoerd naar de privacyrisico’s van het gebruik van Chromebooks. Zodra daar meer over bekend is, wordt dat gedeeld. Mocht na onderhandeling met Google blijken dat Google Workspace niet meer mag worden gebruikt, dan geldt uiteraard dat Google Workspace ook niet op Chromebooks gebruikt mag worden.

Het AP adviseert per 1 augustus te stoppen met Google Workspace. Hoe hard is deze deadline?

De AP heeft gezegd dat Google Workspace niet meer in het nieuwe schooljaar gebruikt mag worden als de onduidelijkheden en privacyrisico’s van het gebruik van Google Workspace niet worden weggenomen. Alleen als de privacyproblemen rondom Google Workspace door Google worden aangepast, kunnen onderwijsinstelling Google Workspace blijven gebruiken.

Wat kunnen SURF en SIVON voor ons betekenen?

Google is aan zet. SURF en SIVON zijn in gesprek met Google om zo snel mogelijk duidelijkheid te krijgen of Google de benodigde aanpassingen gaat doorvoeren. Hierbij stemmen SURF en SIVON nauw af met de sectorraden en koepelorganisaties. Daarnaast wordt in samenwerking met Kennisnet gewerkt aan mogelijke exit scenario's.

Waarom spreken we nu over Google Workspace?

Google Suite for Education is dit voorjaar van naam veranderd naar Google Workspace for Education. G Suite Enterprise for Education heet nu Google Workspace for Education Plus. In deze veelgestelde vragen spreken we over Google Workspace.

Is er al een plan wanneer blijkt dat de scholen per 1 augustus daadwerkelijk moeten stoppen?

Kennisnet is samen met SURF, SIVON en de sectorraden bezig met het ontwikkelen van een strategie en hulpmiddelen voor het stoppen met het gebruik van Google Workspace. Informatie en adviezen worden zo snel mogelijk gedeeld met de onderwijsinstellingen via surf.nl, sivon.nl en kennisnet.nl.

Vragen over de DPIA op Google

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Meer informatie? Lees dan meer over DPIA’s op de Aanpak IBP van Kennisnet.

Waarom is er een DPIA van Google G Suite gedaan?

De DPIA is gedaan om de privacyrisico’s van Google G Suite for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite (Enterprise) for Education. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma’s gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google G Suite (Enterprise) for Education gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.