Nieuws

SURF en SIVON spreken Google aan op privacyrisico’s

In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google G-suite*.

persoon werkt in kantoor met teksten op het raam over web en netwerk

De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google deze privacyrisico’s wegneemt.

De privacyrisico’s zijn aan het licht gekomen door een zogenoemde Data Protection Impact Assessment (DPIA) naar Google G-suite. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn. Het Ministerie van Justitie en Veiligheid heeft het DPIA naar de Google G-suite Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G-suite Education.

Metadata

Google verzamelt metadata. Dit zijn data over het gebruik van bijvoorbeeld Google G-suite. Daarmee kan Google onder andere zien waar de gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina’s en zoekopdrachten het meeste worden gebruikt. Het gaat hier dus niet om individuele leerresultaten of adresgegevens van gebruikers.

Het verzamelen van metadata hoeft geen probleem te zijn als deze gegevens worden gebruikt om digitale producten goed en veilig te kunnen gebruiken en beter te laten werken. Het is wel van belang dat deze gegevens niet voor andere doelen worden gebruikt. Ook mag er niet meer metadata worden verzameld dan noodzakelijk. Onderwijsinstellingen moeten bovendien de controle houden over het gebruik van metadata. Zij moeten dus kunnen bepalen voor welke (andere) doelen die metadata gebruikt mag worden.

Risico’s

Google ziet zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder om toestemming te vragen. 

Voor toepassingen bij onderwijsinstellingen vinden wij het onwenselijk dat het eigenaarschap en de verantwoordelijkheid voor die gegevens bij Google ligt. Hierdoor kunnen onderwijsinstellingen die Google G-suite gebruiken, geen of onvoldoende controle uitoefenen over wat er met deze gegevens gebeurt. Google verklaart nadrukkelijk dat zij in Workspace for Education geen metadata en andere persoonsgegevens gebruikt voor advertentiedoeleinden of het creëren van advertentieprofielen. Google kan de voorwaarden echter eenzijdig wijzigen, waardoor deze verklaring geen garanties biedt voor de toekomst.

Vervolgstappen

Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten en zijn we nog in gesprek. Ook dienen wij een adviesaanvraag in over deze privacyrisico’s bij de Autoriteit Persoonsgegevens. Wij gaan ervan uit dat Google aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen en G Suite for Education veilig gebruikt kan worden.

* G Suite for Education heet sinds kort Google Workspace for Education. Google Workspace for Education bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer.

Veelgestelde vragen - algemeen 

Welke producten bevat Google G Suite for Education en wat is Google Workspace for Education?

Google G Suite for Education bevat o.a.: Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. Google G Suite for Education heet sinds kort Google Workspace for Education.

De volledige lijst van applicaties: Google Classroom, Chat, Meet, Hangouts, Contacts, Tasks, Keep, Drive, Calendar, Jamboard, Sites, Forms, Sheets, Docs, Slides, Assignments, Cloud search and retrieval across services, Vault, Gmail, Cloud identity management

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Waarom is er een DPIA van Google G Suite gedaan?

De DPIA is gedaan om de privacyrisico’s van Google G Suite for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA's blijkt dat er privacyrisico's zijn bij het gebruik van Google G Suite (Enterprise) for Education. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma's gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google G Suite (Enterprise) for Education gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.

Hoe gaat dat nu verder in zijn werk?

Namens het onderwijsveld zijn SURF en SIVON met Google in gesprek om de geconstateerde privacyrisico’s rond het gebruik van metadata op te lossen. Op dit moment zijn nog niet alle aanpassingen naar wens van het onderwijsveld door Google doorgevoerd. SURF en SIVON dienen nu een adviesaanvraag in bij de Autoriteit Persoonsgegevens (AP). De AP kan in dat advies een oordeel geven over de geconstateerde privacyrisico’s.

Wat gebeurt er als Google de aanpassingen niet doorvoert?

Wij gaan ervan uit dat Google de aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen.

Moeten onderwijsinstellingen nu acuut stoppen met het gebruik van Google?

Nee. Er is een probleem en dat moet opgelost worden, en wij gaan er van uit dat Google de benodigde aanpassingen doorvoert. De situatie op dit moment betekent niet dat scholen en onderwijsinstellingen op stel en sprong moeten stoppen met het gebruik van Google G Suite, vooral als zij erop aangewezen zijn voor de continuïteit van het onderwijs. De gesprekken met Google over aanpassing van hun beleid lopen nog en ook is de Autoriteit Persoonsgegevens gevraagd om advies uit te brengen. We adviseren onderwijsinstellingen die overwegen te starten met Google tot die tijd wel om die plannen tot nader order op te schorten.

Wat heeft Google aangepast naar aanleiding van de DPIA?

Er is afgesproken dat Google beter communiceert over het gebruik van gegevens van gebruikers, ook over de metadata die Google verzamelt.

Google heeft in november 2020 de Google Cloud Privacy Notice en in februari 2021 de Google Workspace for Education Data Protection Implementation Guide gepubliceerd. In de herbeoordeling van de DPIA van februari 2021 wordt geconcludeerd dat deze documenten nog onvoldoende informatie verschaffen over de verwerking van metadata door Google.

Bij gebruik van G Suite for Education neemt Google daarnaast ook maatregelen voor inloggen met een privé-account in de schoolomgeving, zodat privé informatie en schoolinformatie niet door elkaar heen lopen. Voor gebruikers met een account in het basis- en voortgezet onderwijs is de toegang tot de additional services, zoals YouTube, al standaard geblokkeerd.

Veelgestelde vragen - specifiek voor SURF-leden

Hoe weet ik of mijn instelling de dienst Google G Suite for Education via SURF heeft afgenomen?

SURF heeft sinds jaren geen overeenkomst meer met Google. Pas zeer recent is de optie om G Suite af te nemen geboden via OCRE. Hier is door instellingen nog geen gebruik van gemaakt.

Als mijn instelling nu nog een rechtstreeks contract met Google heeft voor deze dienst, kan SURF dit contract dan overnemen en zorgen dat alsnog aan de DPIA-voorwaarden wordt voldaan?

Dat is afhankelijk van de huidige afspraken van uw instelling met Google. Dat kunnen wij niet beoordelen. Neem contact op met je relatiemanager bij SURF als je vragen hebt.

Wat is de impact van de DPIA op andere Google-diensten die nu via OCRE worden aangeboden?

De DPIA is specifiek gericht op G Suite, andere oplossingen van Google zijn nog niet getoetst. We kunnen dus (nog) niet met zekerheid stellen of ze wel of niet voldoen. Het is aan een instelling zelf een afweging te maken rondom het gebruik en vooral te overleggen met de functionaris gegevensbescherming (FG). Wel adviseren we terughoudend te zijn met het afsluiten van nieuwe contracten.

Binnen mijn instelling kunnen we niet zomaar overstappen naar een andere dienst; wat is het advies van SURF voor deze situatie?

Er is een probleem en dat moet opgelost worden en wij gaan er van uit dat Google de benodigde aanpassingen doorvoert. De situatie op dit moment betekent niet dat het onderwijs op stel en sprong moet stoppen met het gebruik van Google G Suite, vooral als zij erop aangewezen zijn voor de continuïteit van het onderwijs. De Autoriteit Persoonsgegevens is gevraagd om advies uit te brengen en er lopen gesprekken met Google over aanpassing van hun beleid. We adviseren instellingen die overwegen te starten met Google de uitkomsten van deze DPIA mee te nemen in hun overwegingen.

Gelden deze privacyrisico’s ook voor Microsoft/O365?

Voor de producten en diensten van Microsoft zijn twee jaar geleden soortgelijke DPIA's uitgevoerd. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt. De uiteindelijke conclusie van die DPIA's was dat voor het gebruik van Microsoft-producten geen hoge risico's overblijven, mits de klant een aantal maatregelen neemt.

Als ik vragen of opmerkingen heb die ik niet publiek wil bespreken, met wie kan ik dan contact opnemen?

Als je vraag op deze pagina niet wordt beantwoord, kun je altijd contact opnemen met je relatiemanager bij SURF.

SURF biedt geen contract aan met Google. Waarom is SURF hier dan toch bij betrokken?

Op verzoek van de HvA en RUG is SURF in mei 2020 betrokken. Dit vanwege het grotere belang bij zowel sommige leden van SURF als ook het hele Nederlandse onderwijs. SURF (namens hoger- en beroepsonderwijs) en SIVON (namens PO/VO) zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google de privacyrisico’s wegneemt.