Google Workspace

5 juli 2023 - Google heeft de afgelopen maanden maatregelen genomen om de resterende risico's uit de DPIA van 2021 volgens afspraak en binnen de deadline te verminderen. Op basis van de afspraken met Google en de verificatie door onze externe privacy partners, concluderen SURF en SIVON dat instellingen Google Workspace voorlopig kunnen blijven gebruiken. Dit betekent dat het bestuur van de instelling voor nu geen aanpassingen hoeft door te voeren. Je vindt het geüpdatete DPIA-rapport hier.

Google houdt zich aan afspraken 

In januari 2023 hebben SIVON, SURF en een team van externe (privacy-)experts en juristen de door Google genomen maatregelen n.a.v. de DPIA uit 2021 grondig onderzocht en beoordeeld. De uitkomsten van deze tussentijdse analyse hebben we in februari 2023 met Google gedeeld. Daaropvolgend hebben gesprekken plaatsgevonden over een aantal belangrijke punten die nog niet waren opgelost. Google heeft in maart bevestigd deze restpunten alsnog op te pakken voor 9 juni. SURF en SIVON concluderen nu – in afstemming met het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) - dat Google zich voldoende aan deze afspraken heeft gehouden en dat instellingen Google Workspace voorlopig kunnen blijven gebruiken.

Voor ons staat de bescherming van de privacy van leerlingen, studenten en medewerkers voorop. Instellingen moeten te allen tijde controle kunnen houden over die gegevens. SURF en SIVON zijn daarom blij met de maatregelen die Google heeft genomen om voorgenoemde privacyrisico's te mitigeren.  

Wat betekent dit voor instellingen? 

Het bestuur van de instelling is en blijft eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; zij besluit welke toepassingen hun instelling gebruikt en onder welke voorwaarden. Instellingen ontvangen deze zomer het volledige DPIA-rapport met alle in 2021 geconstateerde privacyrisico's en de door Google genomen maatregelen om deze af te dekken. Met dit rapport kunnen instellingen zelf de afweging maken over het gebruik van Google Workspace.  

Let op: om Google Workspace for Education veilig te blijven gebruiken, moet je als instelling zelf een aantal mitigerende maatregelen nemen. Een overzicht van deze maatregelen vind je op deze pagina. 

Data Transfer Impact Assessment  

Eén van de punten voortvloeiend uit de DPIA in 2021 is de verzending van gegevens naar de Verenigde Staten. Voor dit punt is eerder dit jaar een apart traject gestart, de zogenaamde Data Transfer Impact Assessment (DTIA). Hierbij worden privacyrisico's onderzocht van doorgifte van gegevens naar landen buiten de Europese Economische Ruimte (EER). Google verleent hieraan haar medewerking. Naar verwachting wordt de DTIA – inclusief de implementatie van eventuele maatregelen die hieruit voortvloeien - dit najaar afgerond.  

Stand van zaken Chromebooks, ChromeOS en Chrome-browser 

De DPIA op Google Workspace staat los van de DPIA die is uitgevoerd op Chromebooks, ChromeOS en Chrome-browser. In dit traject hebben SURF en SIVON afspraken gemaakt met Google over een nieuwe versie van ChromeOS. Deze aangepaste versie is rond augustus van dit jaar beschikbaar voor instellingen. Hierover lees je meer op deze pagina. Via een Kamerbrief heeft de minister de Tweede Kamer geïnformeerd over de stand van zaken rondom Google Workspace en het gebruik van Chromebooks. 

Continue monitoring rechtmatigheid van groot belang 

SURF en SIVON onderschrijven het belang van privacy en doen er alles aan om privacy-afspraken te verankeren in contracten met Google en andere leveranciers. Daarom hechten we veel belang aan het continu evalueren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan. We zijn alert op veranderende wet- en regelgeving, toetsen bestaande contracten periodiek hieraan en passen deze aan waar nodig. We monitoren proactief en blijven in gesprek en onderhandeling met Google en andere leveranciers om te zorgen dat leerlingen, studenten en medewerkers veilig en verantwoord gebruik kunnen maken van (digitale) onderwijsdiensten. 

5 juli 2023 - In mei 2023 hebben SURF en SIVON met Google overeenstemming bereikt over de nieuwe Terms of Service (ToS) voor het gebruik van Chrome OS en Chrome-browser voor Chromebooks.

Nadat het bestuur van de instelling deze overeenkomst heeft geaccepteerd en de Chromebooks in beheer heeft genomen, is Google verwerker en is het bestuur van de instelling verwerkersverantwoordelijke voor de verwerking van persoonsgegevens op Chromebooks (die draaien op ChromeOS) en in Chrome-browsers (die draaien op Chromebooks). Door deze overeenkomst te accepteren en bijbehorende maatregelen door te voeren, beperk je de privacyrisico’s voor studenten en medewerkers bij het gebruik van Chromebooks met ChromeOS en de Chrome-browser. 

Deze overeenkomst is - in opdracht van SURF en SIVON - gecontroleerd en akkoord bevonden door een team van (externe) privacyjuristen. Naast het accepteren van deze overeenkomst, dien je als instelling nog een aantal aanvullende maatregelen te nemen om te zorgen voor een veilig gebruik. Deze maatregelen vind je onderaan dit artikel in het kort in in de uitgebreide handleiding.  

Let op: deze maatregelen komen bovenop de maatregelen die gebruikers van Google Workspace in een eerder stadium konden nemen. Mocht je deze stappen nog eens terug willen lezen, bekijk dan deze pagina. 

De DPIA op Chromebooks, ChromeOS en Chrome-browser staat los van de DPIA die is uitgevoerd op Google Workspace. Hierover lees je meer in dit artikel. 

De Terms of Service in het kort  

• In opdracht van SURF en SIVON heeft Privacy Company een onderzoek gedaan naar privacyrisico’s bij het gebruik van Chromebooks en Chrome-browser op Chromebooks. Bekijk het volledige rapport hier.
• Google ontwikkelt speciaal voor het onderwijs een verwerkersversie van ChromeOS. Deze komt in augustus 2023 beschikbaar.
• Naast de introductie van de verwerkersversie, hebben SURF en SIVON additionele afspraken gemaakt om privacyrisico’s weg te nemen. Deze afspraken staan in het ‘improvement plan’. 
• Het bestuur van de instelling dient zelf ook een aantal privacy gerelateerde instellingen aan te passen. Deze stappen vind je in de handleiding. 
• Google komt voor alle gebruikers in het Nederlandse onderwijs met een nieuwe verwerkersovereenkomst. Instellingen ontvangen hierover zo snel mogelijk bericht van Google. De Chrome OS en Chrome-browser verwerkersovereenkomst is gecontroleerd en akkoord bevonden door SURF, SIVON en privacyjuristen in opdracht van SIVON.   
• De overeenkomst is van toepassing op Chromebooks die in beheer zijn onder een Workspace domein. Je brengt Chromebooks onder beheer met de ‘Chrome Education upgrade’ licentie. 
• De verwerkersovereenkomst is alleen van toepassing op ‘essential services’ (zie de bijlage ‘List of Essentials Services’).  
• Optional services moeten door de admin uitgezet worden. 
• Het is niet nodig om nieuwe software te installeren op de Chromebooks. De uitrol van de functionaliteiten om de verwerkersversie mogelijk te maken, zitten in de software updates van Google. 

Wat moet je als instellingsbestuur zelf doen?  

1. Zorg dat alle Chromebooks die je gebruikt in beheer staan binnen jouw Workspace domein (de zogenaamde ‘education upgrade’). 
2. Accepteer de overeenkomst die Google je aanbiedt (hoe/wanneer).  
3. Zet alle optional services uit (zie handleiding).  
4. Implementeer de overige maatregelen zoals beschreven in de handleiding. 

Let op: het de-activeren van ‘optional services’ gaat met switches. Alle switches worden in augustus 2023 geïmplementeerd. Bestaande Workspace-gebruikers moeten zelf de ‘optional services’ uitzetten met de switches. Voor nieuwe Workspace-gebruikers staan de optional services default uit (‘privacy by design’). 

20 april 2023 - In december 2022 berichtten SIVON en SURF dat Google binnen de afgesproken termijn maatregelen heeft opgeleverd om de risico's uit de DPIA van 2021 te mitigeren. De meeste maatregelen voldoen aan onze eerder gemaakte afspraken; Google pakt nu de resterende punten op en heeft aangegeven die uiterlijk half juni te hebben opgelost. 

Instellingen ontvangen na oplevering zo spoedig mogelijk bericht. Zij horen dan ook of zij mogelijk zelf aanpassingen moet doorvoeren. Op basis van de afspraken met Google, concluderen SIVON en SURF dat zij het gebruik van Google Workspace niet hoeven af te raden. 

Google pakt resterende punten op 

In januari hebben SIVON, SURF en een team van externe (privacy-)experts en juristen bovengenoemde maatregelen grondig onderzocht en beoordeeld. We hebben de uitkomsten van onze analyse afgelopen februari met Google gedeeld. Daaropvolgend hebben intensieve gesprekken plaatsgevonden over een aantal belangrijke punten die nog niet zijn opgelost. Google heeft in maart bevestigd dat ze deze restpunten alsnog oplossen. SIVON en SURF hebben – in afstemming met OCW - besloten dat Google daar tot half juni de tijd voor krijgt.

Wat betekent dit voor instellingen?   

Het bestuur van een instelling is eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; zij besluit welke toepassingen hun instelling gebruikt en onder welke voorwaarden. In het licht van de met Google gemaakte afspraken, raden SIVON en SURF het gebruik van Google Workspace niet af.  Instellingen ontvangen zo spoedig mogelijk na de opleverdatum van half juni een volledige analyse van alle maatregelen met daarin uitleg over eventuele acties die het bestuurder zelf kan nemen. De onderwijspartners van OCW, SIVON en SURF blijven – nu en in de toekomst - in nauw contact met Google om in de gaten te houden of Google eventuele risico's wegneemt. SIVON en SURF instellingen op de hoogte zodra er meer nieuws is.  

Continue monitoring rechtmatigheid van groot belang 

SIVON en SURF onderschrijven het belang van privacy en streven ernaar om privacy-afspraken te verankeren in contracten met leveranciers. Daarom hechten we veel belang aan het continu evalueren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan. We houden de veranderende wet- en regelgeving in de gaten, toetsen bestaande contracten periodiek hieraan en passen deze aan waar nodig. Daarnaast blijven we constant in gesprek en in onderhandeling met leveranciers om te zorgen dat diensten veilig en verantwoord te gebruiken zijn. 

Informeren Autoriteit Persoonsgegevens 

Op 7 maart 2023 heeft de Autoriteit Persoonsgegevens (AP) schriftelijk aan OCW gevraagd om alert te blijven op het borgen van de privacy bij het gebruik van toepassingen van Google. De AP heeft OCW verzocht om haar uiterlijk 15 mei te informeren over de stand van zaken. Naar aanleiding van deze brief heeft OCW contact gehad met de AP. Hierin heeft zij de gemaakte afspraken tussen SIVON, SURF en Google toegelicht en uitgelegd dat instellingen uiterlijk half juni duidelijkheid krijgen over Workspace for Education.  

Tot slot: stand van zaken Google Chromebooks, ChromeOS en Chrome browser 

Het is goed om te vermelden dat bovengenoemde DPIA op Google Workspace losstaat van de DPIA die is uitgevoerd op Chromebooks, ChromeOS en Chrome-browser. Gedurende dit aparte traject, hebben SIVON en SURF afspraken gemaakt met Google over een nieuwe versie van ChromeOS. Deze aangepaste versie is rond augustus van dit jaar gereed. Hierover worden instellingen apart geïnformeerd. 

5 oktober 2022 - In juli 2021 hebben SURF en Google een belangrijke overeenkomst bereikt over het gebruik van Google Workspace for Education door onderwijsinstellingen. Het gaat om een set contractuele, organisatorische en technische maatregelen.

Sinds deze overeenkomst zijn we in nauw contact met Google om erop toe te zien dat zij onze afspraken nakomen en bespreken we aanverwante dossiers zoals Google ChromeOS en de Chrome browser. In dit artikel informeren wij je als belangenbehartiger over de huidige stand van zaken.

Google heeft ons destijds toegezegd dat het alle te nemen stappen om hoge privacyrisico's te minimaliseren voor het einde van 2022 heeft afgerond. Met nog drie maanden voor de boeg, hebben wij goede hoop dat dit gaat lukken en dat scholen Workspace for Education veilig kunnen blijven gebruiken.

Internationale aandacht

Diverse Europese landen en regeringen hebben voordeel van de privacy-afspraken die SURF met Google heeft gemaakt. Deze doorbraak heeft ertoe geleid dat Google in maart 2022 heeft aangegeven de privacybescherming wereldwijd te gaan verbeteren.

DTIA: onderzoek uitwisselen gegevens met Google in de VS

Bij het gebruik van Workspace for Education wordt een deel van de Europese gegevens uitgewisseld met Google in de Verenigde Staten. Een van de eisen van de Algemene verordening gegevensbescherming (AVG) is dat het gebruik van persoonsgegevens buiten de EU aan hetzelfde beschermingsniveau moet voldoen als wanneer deze data binnen de EU zou worden gebruikt. SURF onderzoekt de doorgifte van gegevens buiten de EU door middel van een Data Transfer Impact Assessment (DTIA) voor Google Workspace for Education. Hierbij wordt getoetst welke persoonsgegevens worden uitgewisseld met een land buiten de Europese Economische Ruimte (EER) en of er voldoende passende waarborgen voor zijn. Bij deze waarborgen gaat het bijvoorbeeld om technische maatregelen als encryptie of het gebruik van de door de Europese Commissie voorgeschreven standaard contractuele bepalingen (SCC's). Als dat nodig is, worden er aanvullende afspraken gemaakt met Google zodat het gebruik Workspace for Education kan worden voortgezet. Deze DTIA wordt uitgevoerd in samenwerking met onderwijspartner SIVON en SLM Rijk (ministerie van Justitie en Veiligheid). Recent zijn Microsoft Teams, SharePoint en OneDrive en ZOOM onderzocht waarbij een soortgelijke DTIA onderdeel uitmaakte van de DPIA. De uitkomsten van de DTIA op Workspace (for Education) volgen naar verwachting begin 2023.

Verwerkersversies Google ChromeOS en Chrome browser

Begin 2022 is SIVON samen met SURF gestart met een onderzoek naar mogelijke privacy-issues binnen ChromeOS en de Chrome-browser. Google heeft inmiddels in een publiek statement aangegeven een verwerkersversie te ontwikkelen. Met deze belangrijke koerswijziging behouden organisaties zoals onderwijsinstellingen volledig controle over de persoonsgegevens die binnen ChromeOS door Google worden verwerkt. Belangrijk om te vermelden is dat de verwerkersversie van ChromeOS alleen beschikbaar is voor Chromebooks die centraal worden beheerd via een Workspace-account. De verwerkersversie is dus niet van toepassing op Chromebooks die niet via een Workspace-account worden beheerd, en ook niet voor Chrome-browsers geïnstalleerd op Windows- of Apple-apparaten.

SURF verwacht zijn onderwijsinstellingen in de loop van het vierde kwartaal van 2022 een nieuwe verwerkersovereenkomst (‘terms of service’) voor ChromeOS en Chromebrowser aan te kunnen bieden. SURF en Google leggen de aanpassingen binnen ChromeOS vast in een zogenaamd commitment plan. Het ontwikkelen van een verwerkersversie voor ChromeOS vraagt van Google veel aanpassingen in de bestaande software/code. Een (eerste) versie verwachten we rond augustus 2023. Deze versie is voldoende als risico-mitigerende maatregel.

Lokale DPIA door scholen 

De afspraken die SIVON, SURF en SLM Rijk met Google hebben gemaakt, zijn alleen van toepassing als onderwijsinstellingen deze afspraken zelf ook accepteren. Vorig jaar hebben scholen een aangepaste overeenkomst ontvangen van Google. Eind van dit jaar zullen scholen ook een aangepaste overeenkomst ('terms of service’) ontvangen voor ChromeOS en Chrome-browser. Het is daarnaast belangrijk dat onderwijsinstellingen zelf een instellingsspecifieke ('lokale') DPIA uitvoeren. Instellingen beoordelen daarin zelf of het gebruik van Workspace for Education (Plus) – en straks ChromeOS en Chrome-browser - in voldoende mate invulling geeft aan de bescherming van persoonsgegevens conform de AVG. SURF en SIVON hebben onderwijsinstellingen voor Workspace for Education hiervoor een compleet pakket van documenten beschikbaar gesteld. Voor ChromeOS en Chrome-browser wordt dit volgend jaar gepubliceerd.

Uitspraak Deens agentschap gegevensbescherming geen gevolgen voor Nederlands onderwijs

In juli heeft de Deense privacytoezichthouder geoordeeld dat een Deense gemeente geen gebruik meer mag maken van Google Workspace en Chromebooks. In de uitspraak stelt de toezichthouder vast dat de gemeente niet aan de gestelde voorwaarden voldoet, zodat zij moet stoppen met het gebruik van Google Workspace en Chromebooks. Google moet de data van de gebruikers vernietigen. Deze uitspraak heeft geen gevolgen voor de Nederlandse onderwijsinstellingen.

Overtredingen

Voorgaande jaren heeft de Deense toezichthouder verschillende overtredingen van de AVG vastgesteld. De gemeente kreeg de opdracht om een risicobeoordeling uit te voeren en om gebruik van Google in lijn te brengen met de AVG. De Deense gemeente heeft in het kader van een (pre-)DPIA volgens de toezichthouder geen concrete risico's beoordeeld maar een inschatting gemaakt dat er geen hoge risico’s bestaan bij het gebruik van Google Workspace. De uitgevoerde DPIA is simpelweg niet goed (genoeg). De Deense AP is verder van mening dat gegevens die kunnen worden doorgegeven aan derde landen (lees: de VS) voldoende beveiligd moeten zijn. Google mag geen toegang hebben tot de data, of de sleutels hebben die toegang geven tot versleutelde gegevens. Google moet transparant zijn over de doelen van de verwerking van persoonsgegevens. De gemeente had, voor aanschaf van Google Workspace en Chromebooks, technisch onderzoek moeten doen, en (beter) moeten onderhandelen met Google over de (controleerbaarheid van de) rol van verantwoordelijke. Daarnaast is er veel onduidelijkheid over de aanvullende diensten van Google Workspace.

Nederland als voorbeeld

De uitspraak heeft geen gevolgen voor de Nederlandse onderwijsinstellingen. Er zijn namelijk goede afspraken gemaakt met Google die de genoemde privacyrisico's beperken of wegnemen. Daarnaast is een grondige DPIA uitgevoerd. In een recent interview verwijst een van de Deense onderzoekers als voorbeeld expliciet naar het in Nederland uitgevoerde onderzoek naar Workspace for Education, waar een voorbeeld aan genomen kan worden. Er wordt ook een onderzoek uitgevoerd naar de gegevensoverdracht van leerlingdata met de VS (data transfer impact assessment; DTIA). Met betrekking tot ChromeOS zijn er met Google afspraken gemaakt over een ‘verwerkersversie’ voor beheerde Chromebooks. De conclusies van de Deense toezichthouder zijn en worden daarmee niet van toepassing op de Nederlandse situatie.

Google heeft als antwoord op de situatie in Denemarken een apart artikel gepubliceerd onder verwijzing naar de situatie in Nederland.

Onderzoek ACM naar clouddiensten

Recentelijk heeft de Autoriteit Consument en Markt een marktstudie naar clouddiensten gepubliceerd. Het blijkt voor gebruikers van (zakelijke) clouddiensten moeilijk om van aanbieder te wisselen, en zijn clouddiensten van verschillende aanbieders niet goed te combineren. Hierdoor zijn er risico’s voor de prijs, kwaliteit en innovatie van clouddiensten. Het onderzoek richt zich niet op privacy en beveiliging, maar raakt daar wel aan vanwege de marktpositie van deze cloudproviders.

Het onderzoek van de ACM wijst op twee risico's:

1. lock-in van gebruikers: overstappen van clouddienst is lastig. Dit wordt versterkt door gedragingen van cloudaanbieders en functionaliteiten van diensten.
2. De cloudproducten beperken de concurrentie omdat cloudaanbieders gebruikers alleen naar eigen diensten leiden. Privacy en security zijn daarbij wel relevante keuzeparameters die concurrentie op de markt (kunnen) beïnvloeden.

De Europese Commissie heeft een wet voorgesteld, de Data Act. Deze wet maakt het makkelijker en veiliger om data te delen terwijl tegelijkertijd de volledige controle over deze data wordt behouden. Het doel van de Data Act is om een eerlijke digitale omgeving te creëren, het toegankelijker maken van data voor iedereen, en om datagestuurde innovaties mogelijk te maken. De ACM stelt in het onderzoek voor om deze wet te omarmen en verplichtingen rondom interoperabiliteit tussen clouddiensten te verbeteren (uit te breiden). Clouddiensten zouden makkelijker moeten worden gecombineerd (ook wel interoperabiliteit genoemd). Verder doet de ACM vervolgonderzoek om vast te stellen of en in welke mate overstapdrempels in de praktijk concurrentieproblemen veroorzaken en of die nu al kunnen worden aangepakt.

11 november 2021 - In juli 2021 is met Google overeengekomen dat voor ChromeOS en Chrome-browser een onderwijsspecifieke versie beschikbaar komt. Instellingen blijven daarmee de controle houden over de gegevens bij het gebruik van ChromeOS en Chrome-browser op (de door de instelling beheerde) Chromebooks van studenten en medewerkers.

Waar staan we nu (november 2021)?

In juli 2021 is met Google overeengekomen dat voor ChromeOS en Chrome-browser een onderwijsspecifieke versie beschikbaar komt. Instellingen blijven daarmee de controle houden over de gegevens bij het gebruik van ChromeOS en Chrome-browser op (de door de instelling beheerde) Chromebooks van studenten en medewerkers.

De komende periode gaan SURF en SIVON (in samenwerking met SLM Rijk) in overleg met Google over een versie van:

1. ChromeOS op Chromebooks en
2. Chrome-browser waarbij Google de verwerker is.

De afspraken die zijn gemaakt rondom Workspace for Education vormen hiervoor de basis. Parallel aan de gesprekken wordt een technisch en juridisch onderzoek uitgevoerd naar de huidige versie van ChromeOS en de Chrome-browser. Hierover hebben we instellingen eerder geïnformeerd. De uitkomsten van dit onderzoek nemen we mee in de onderhandelingen met Google. Zo kunnen we sneller duidelijkheid bieden over het gebruik van ChromeOS en de Chrome-browser binnen de instellingen.

Hoe verloopt het proces?

Eerder was het voornemen om de volledige DPIA af te ronden, te publiceren en vervolgens in gesprek te gaan met Google. Dit zou echter meer tijd vergen. Nu de afspraken rond Workspace en de rol als verwerker uitgangspunt zijn, kunnen we naar verwachting sneller afspraken maken. Hierdoor hopen we begin volgend jaar zowel de uitkomsten van het onderzoek als de eventueel benodigde corrigerende maatregelen en afspraken die we hebben gemaakt met Google bekend te maken.

SURF en SIVON vinden het belangrijk om instellingen zo snel mogelijk duidelijkheid te geven over het gebruik van ChromeOS en de Chrome-browser op door hen beheerde devices. Daarom kiezen we ervoor om de resultaten van het technisch juridisch onderzoek direct in te brengen bij het overleg met Google. Zo verwachten we de resultaten van de onderhandelingen eerder aan instellingen te kunnen presenteren.

Net als bij Workspace zorgen we ook voor tools en informatie voor de implementatie. Indien mogelijk communiceren we dit kalenderjaar nog over de (voorlopige) resultaten van onze gesprekken met Google.

2 augustus 2021 - Zoals wij eerder hebben gemeld is op 8 juli overeenstemming bereikt met Google over de maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education.

Dit betekent dat instellingen gebruik kunnen blijven maken van Google Workspace for Education (Plus), mits zij zelf ook enkele acties uitvoeren. SURF, SIVON en Kennisnet hebben hiervoor een ondersteuningspakket gemaakt die je vanaf nu hier kunt vinden.

• Informatie over hoe jouw instelling de aangepaste overeenkomst (Workspace for Education Online agreement) met Google moet accepteren. Bekijk alle informatie in het artikel ‘Google Workspace for Education blijven gebruiken? Voer eerst deze handelingen uit’.
• Technische handleiding voor Google Workspace for Education: hiermee kan jouw eigen systeembeheerder de noodzakelijke technische aanpassingen doorvoeren in de Workspace for Education omgeving.
• Handreiking onderwijsspecifieke DPIA Google Workspace for Education: hiermee voer je voor je eigen onderwijsinstelling een DPIA uit op basis van de door SURF en SIVON uit onderhandelde resultaten.
• Update DPIA report Google Workspace for Education: informatie over de technische, juridische en organisatorische wijzigingen waardoor de hoge privacyrisico's voor gebruikers van Workspace for Education worden beperkt. 
• Neem de door Google Workspace aanbevolen beveiligingsinstellingen over zoals beschreven in deze handleiding met aanbevelingen (opgesteld door SIVON).
• Op basis van het geüpdatete DPIA verificatierapport (datum 24 juli 2023) kunnen instellingen zelf de afweging maken over het gebruik van Google Workspace.  

Met de hiervoor genoemde informatie en hulpmiddelen, stel je zelf voor je eigen instelling vast of je - voor het begin van het nieuwe collegejaar - veilig gebruik kunt blijven maken van Google Workspace for Education (Plus).

9 juli 2021 - Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, mits zij zelf ook enkele acties uitvoeren.

Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisico's bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, mits zij zelf ook enkele acties uitvoeren. Dit is het resultaat van intensieve gesprekken die SURF, SIVON en het Strategisch Leveranciersmanagement Rijk (SLM-Rijk), mede op verzoek van de PO-raad en VO-raad hebben gevoerd met Google.  

De afspraken bevatten een uitgebreide set contractuele, organisatorische en technische maatregelen. Daarmee worden de op 31 mei 2021 door de Autoriteit Persoonsgegevens geconstateerde hoge privacy-risico’s in voldoende mate afgedekt. 

In deze verklaring van SURF en SIVON staat een beschrijving van dit bereikte resultaat. Google gaat aan de slag met technische aanpassingen maar er scholen zullen ook zelf enkele acties uit moeten voeren om Google veilig te (blijven) gebruiken. SIVON en SURF zullen hierbij ondersteuning bieden door middel van een handleiding.  

Acties voor instellingen  

• Aanpassen instellingen: naast automatische wijzigingen in de applicatie zal de eigen systeembeheerder ook een aantal instellingen moeten aanpassen in de Workspace omgeving. Daar komt in de eerste week van augustus een handleiding voor beschikbaar.   
• Aanvullen instructies: het veilige gebruik vraagt ook toelichting aan de gebruikers. Niet alles is technisch te regelen maar zal via gebruiksinstructies moeten. Ook die komen in de eerste week van augustus centraal beschikbaar.
• Aanpassen contract: uiterlijk de eerste week van augustus volgt informatie hoe de aangepaste privacy-voorwaarden met Google geaccepteerd moeten worden. Ook dit is een eenmalige activiteit. 
• Eigen impact analyse doen: de instelling blijft zelf verantwoordelijk om te beoordelen of de manier waarop Google Workspace for Education (Plus) gebruikt wordt veilig is. Uiterlijk de eerste week van augustus volgt een pakket met alles dat er nodig is om zo’n beoordeling te doen.  

De hoeveelheid werk per instelling is afhankelijk van de hoeveelheid Google applicaties die een instelling in gebruik heeft, maar zal naar verwachting 1 tot enkele dagdelen in beslag nemen.  

DPIA op Chrome browser

Samen met SIVON zijn we nog bezig met een impact analyse (DPIA) op de Chrome browser en het systeem dat op de Chromebooks draait. Op dit moment is daar nog geen uitsluitsel over. Hierover zal later informatie volgen.  

Ondersteuning vanuit SURF

Om je te helpen bij het doorvoeren van de benodigde aanpassingen, bieden we de volgende ondersteuning: 

• Voor het bestuur van instellingen komt uiterlijk de eerste week van augustus een informatiepakket beschikbaar waarmee je de aanpassingen kunt doorvoeren. 

8 juli 2021 - Na intensieve discussies van de afgelopen weken is overeenstemming bereikt met Google over het mitigeren van hoge privacy-risico's met betrekking tot het gebruik van Workspace for Education Plus en Workspace Education Fundamentals door onderwijsinstellingen in Nederland.

Na intensieve discussies van de afgelopen weken is overeenstemming bereikt met Google over het mitigeren van hoge privacy-risico’s met betrekking tot het gebruik van Workspace for Education Plus (voorheen G Suite Education for Enterprise) en Workspace Education Fundamentals (de gratis variant, voorheen G Suite for Education) door onderwijsinstellingen in Nederland. Deze hoge risico’s zijn aan het licht gekomen bij een Data Protection Impact Assessment (DPIA) uitgevoerd in 2020 – 2021. Naar aanleiding van de resultaten van deze DPIA hebben SURF en SIVON de Autoriteit Persoonsgegevens (AP) om advies gevraagd. In het advies van 31 mei heeft de AP aangegeven dat alle hoge risico’s op het gebied van gegevensbescherming uiterlijk aan het begin van het schooljaar 2021/2022 voldoende moeten zijn gemitigeerd, anders moeten scholen stoppen met het gebruik van Workspace for Education.

SURF en SIVON zijn verheugd te kunnen melden dat er overeenstemming is bereikt met Google over een uitgebreide set contractuele, organisatorische en technische maatregelen. Deze maatregelen mitigeren alle in de DPIA geïdentificeerde hoge privacy-risico’s in voldoende mate.

ChromeOS, Google Cloud Platform en andere Google-services

De meeste afgesproken maatregelen gelden voor de kerndiensten (core services) in Workspace for Education (bijvoorbeeld Classroom en Gmail). Google verplicht zich om de gesprekken met SURF en SIVON voort te zetten over andere Google-diensten die regelmatig in het onderwijs worden gebruikt, zoals Google Cloud Platform en ChromeOS (het besturingssysteem voor de Chromebooks).

Vervolgstappen

De komende 2 weken gaan SURF en SIVON verder met Google in gesprek om de onderhandelingsresultaten te verfijnen en overeenstemming te bereiken over de manier waarop bestaande contracten worden aangepast of gemigreerd naar de nieuwe afspraken. Ons doel is om dit uiterlijk de eerste week van augustus af te ronden. SURF en SIVON geven onderwijsinstellingen voor het begin van het volgende schooljaar instructies hoe ze ervoor kunnen zorgen dat deze wijzigingen op hun contracten van toepassing zijn.

Naast de maatregelen die Google heeft geïmplementeerd, vereist het mitigeren van de hoge gegevensbeschermingsrisico’s ook dat onderwijsinstellingen de juiste beheerdersinstellingen en bepaalde organisatorische maatregelen toepassen. SURF en SIVON leveren de nodige documentatie aan voor Werkplekbeheerders (administrators) om die maatregelen te kunnen nemen.

SURF en SIVON voorzien de onderwijsinstellingen van een compleet pakket van alle documenten en informatie die zij nodig hebben om te beoordelen of het gebruik van Workspace for Education (Plus) – rekening houdend met hun specifieke invulling en gebruik van Workspace for Education (Plus) – in voldoende mate invulling geeft aan de bescherming van persoonsgegevens conform de AVG. Uiterlijk de eerste week van augustus verwachten we hier meer nieuws over.

SURF en SIVON blijven samenwerken met Google

Kijkend naar de risico’s en issues die tijdens de DPIA naar voren zijn gekomen en de acties die Google heeft ondernomen of aangekondigd, kunnen SURF en SIVON bevestigen dat Google deze onderwerpen aanpakt. Gezien het belang van het gebruik van Google-diensten in onderwijsinstellingen, blijven SURF en SIVON namens het onderwijs Google monitoren en met Google spreken over privacy-issues. Zo wordt er een DPIA op Chrome browser en Chrome OS worden uitgevoerd en worden deze resultaten besproken met Google op een vergelijkbare manier als bij Workspace for Education (Plus).

8 juni 2021 - De Autoriteit Persoonsgegevens (AP) stelt dat onduidelijk is of persoonsgegevens in Google Workspace (voorheen Google Suite for Education) voldoende beschermd zijn.

Onderwijsorganisaties doen een dringend beroep op de maatschappelijke verantwoordelijkheid van Google om de privacy van leerlingen en studenten goed te waarborgen en per direct in gang te zetten dat de risico’s worden weggenomen.  

Conclusies bevestigen resultaten DPIA

SURF en SIVON hebben begin maart 2021, mede namens PO/VO/MBO raad, Kennisnet, de VH en VSNU, aan de AP advies gevraagd over Google Workspace, nadat in de gesprekken die zij tot dat moment hadden gevoerd met Google de zorgen onvoldoende werden weggenomen. De conclusies van de AP bevestigt dat er op dit moment te veel privacyrisico’s kleven aan het gebruik van Google Workspace. Die risico’s kwamen aan het licht tijdens onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) en de DPIA van het Strategisch Leveranciersmanagement Rijksoverheid (SLM Rijk).

Risico’s bij gebruik Google Workspace

De risico’s zitten in het verzamelen van zogenoemde metadata door Google. Daarbij ziet Google zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat het mag bepalen voor welk doel het gegevens verzamelt en op welke manier dat gebeurt. Ook heeft Google in zijn privacyovereenkomsten opgenomen dat het de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker opnieuw om toestemming te vragen. Volgens de AP moet altijd duidelijk zijn om welke gegevens het gaat. Zo niet, dan is dit in strijd met de AVG. Onder de huidige omstandigheden mogen onderwijsinstellingen met ingang van volgend schooljaar Google Workspace niet meer gebruiken, zo meldt de AP. 

In gesprek met Google 

Het ministerie van OCenW geeft in een brief aan de Kamer vandaag aan, ervan uit te gaan dat Google voor de start van het schooljaar 2021/2022 de geconstateerde issues heeft opgelost. SIVON en SURF spreken samen met SLM Rijk op dit moment met Google om snel duidelijk te krijgen hoe Google de benodigde aanpassingen zo snel mogelijk gaat doorvoeren.

Maatschappelijke verantwoordelijkheid Google

Wij doen een dringend beroep op de maatschappelijke verantwoordelijkheid van Google om de privacy van leerlingen en studenten goed te waarborgen en per ommegaande in gang te zetten dat de risico’s worden weggenomen. Zeker in het geval van (jonge) kinderen is deze verantwoordelijkheid extra groot, omdat kinderen op deze leeftijd nog onvoldoende bewust (kunnen) zijn van de privacyrisico’s.  

Gevolgen voor onderwijsinstellingen 

Google heeft in een reactie op het advies laten weten dat ze zich committeren aan de AVG en gezegd de tekortkomingen op te gaan lossen. Tot die tijd adviseren we onderwijsinstellingen  die overwegen te starten met Google Workspace om die plannen tot nader order te staken, en onderwijsinstellingen die een goed alternatief beschikbaar hebben, dit te gebruiken. Wilt u weten wat u zelf op korte termijn kunt doen om de veiligheid van het gebruik van Google Workspace te verbeteren? Lees dan dit artikel op kennisnet.nl.

Meer informatie

• DPIA on the use of Google G Suite (Enterprise) for Education (maart 2021, pdf)
• Advies Autoriteit Persoonsgevens (AP) aan SURF en SIVON inzake Google G Suite for Education (juni 2021)

22 februari 2021 - In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de RUG en HvA blijkt dat er privacyrisico’s kleven aan het gebruik van Google G-suite*.

De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google deze privacyrisico’s wegneemt.

De privacyrisico’s zijn aan het licht gekomen door een zogenoemde Data Protection Impact Assessment (DPIA) naar Google G-suite. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn. Het Ministerie van Justitie en Veiligheid heeft het DPIA naar de Google G-suite Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G-suite Education.

Metadata

Google verzamelt metadata. Dit zijn data over het gebruik van bijvoorbeeld Google G-suite. Daarmee kan Google onder andere zien waar de gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina’s en zoekopdrachten het meeste worden gebruikt. Het gaat hier dus niet om individuele leerresultaten of adresgegevens van gebruikers.

Het verzamelen van metadata hoeft geen probleem te zijn als deze gegevens worden gebruikt om digitale producten goed en veilig te kunnen gebruiken en beter te laten werken. Het is wel van belang dat deze gegevens niet voor andere doelen worden gebruikt. Ook mag er niet meer metadata worden verzameld dan noodzakelijk. Onderwijsinstellingen moeten bovendien de controle houden over het gebruik van metadata. Zij moeten dus kunnen bepalen voor welke (andere) doelen die metadata gebruikt mag worden.

Risico’s

Google ziet zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder om toestemming te vragen. 

Voor toepassingen bij onderwijsinstellingen vinden wij het onwenselijk dat het eigenaarschap en de verantwoordelijkheid voor die gegevens bij Google ligt. Hierdoor kunnen onderwijsinstellingen die Google G-suite gebruiken, geen of onvoldoende controle uitoefenen over wat er met deze gegevens gebeurt. Google verklaart nadrukkelijk dat zij in Workspace for Education geen metadata en andere persoonsgegevens gebruikt voor advertentiedoeleinden of het creëren van advertentieprofielen. Google kan de voorwaarden echter eenzijdig wijzigen, waardoor deze verklaring geen garanties biedt voor de toekomst.

Vervolgstappen

Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten en zijn we nog in gesprek. Ook dienen wij een adviesaanvraag in over deze privacyrisico’s bij de Autoriteit Persoonsgegevens. Wij gaan ervan uit dat Google aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen en G Suite for Education veilig gebruikt kan worden.

* G Suite for Education heet sinds kort Google Workspace for Education. Google Workspace for Education bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer.