Privacy risico rond Google Workspace for Education is opgelost

Op basis van de afspraken met Google en de verificatie door onze externe privacy partners, concluderen SURF en SIVON dat instellingen Google Workspace voorlopig kunnen blijven gebruiken. Dit betekent dat het bestuur van de instelling voor nu geen aanpassingen hoeft door te voeren. In een later stadium ontvangen instellingen het complete DPIA-rapport.

Google houdt zich aan afspraken

In januari 2023 hebben SIVON, SURF en een team van externe (privacy-)experts en juristen de door Google genomen maatregelen n.a.v. de DPIA uit 2021 grondig onderzocht en beoordeeld. De uitkomsten van deze tussentijdse analyse hebben we in februari 2023 met Google gedeeld. Daaropvolgend hebben gesprekken plaatsgevonden over een aantal belangrijke punten die nog niet waren opgelost. Google heeft in maart bevestigd deze restpunten alsnog op te pakken voor 9 juni. SURF en SIVON concluderen nu – in afstemming met het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) - dat Google zich voldoende aan deze afspraken heeft gehouden en dat instellingen Google Workspace voorlopig kunnen blijven gebruiken.

Voor ons staat de bescherming van de privacy van leerlingen, studenten en medewerkers voorop. Instellingen moeten te allen tijde controle kunnen houden over die gegevens. SURF en SIVON zijn daarom blij met de maatregelen die Google heeft genomen om voorgenoemde privacyrisico's te mitigeren.

Wat betekent dit voor instellingen?

Het bestuur van de instelling is en blijft eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; zij besluit welke toepassingen hun instelling gebruikt en onder welke voorwaarden. Instellingen ontvangen deze zomer het volledige DPIA-rapport met alle in 2021 geconstateerde privacyrisico's en de door Google genomen maatregelen om deze af te dekken. Met dit rapport kunnen instellingen zelf de afweging maken over het gebruik van Google Workspace.

Data Transfer Impact Assessment

Eén van de punten voortvloeiend uit de DPIA in 2021 is de verzending van gegevens naar de Verenigde Staten. Voor dit punt is eerder dit jaar een apart traject gestart, de zogenaamde Data Transfer Impact Assessment (DTIA). Hierbij worden privacyrisico's onderzocht van doorgifte van gegevens naar landen buiten de Europese Economische Ruimte (EER). Google verleent hieraan haar medewerking. Naar verwachting wordt de DTIA – inclusief de implementatie van eventuele maatregelen die hieruit voortvloeien - dit najaar afgerond.

Stand van zaken Chromebooks, ChromeOS en Chrome-browser

De DPIA op Google Workspace staat los van de DPIA die is uitgevoerd op Chromebooks, ChromeOS en Chrome-browser. In dit traject hebben SURF en SIVON afspraken gemaakt met Google over een nieuwe versie van ChromeOS. Deze aangepaste versie is rond augustus van dit jaar beschikbaar voor instellingen. Hierover lees je meer op deze pagina. Via een Kamerbrief heeft de minister de Tweede Kamer geïnformeerd over de stand van zaken rondom Google Workspace en het gebruik van Chromebooks.

Continue monitoring rechtmatigheid van groot belang

SURF en SIVON onderschrijven het belang van privacy en doen er alles aan om privacy-afspraken te verankeren in contracten met Google en andere leveranciers. Daarom hechten we veel belang aan het continu evalueren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan. We zijn alert op veranderende wet- en regelgeving, toetsen bestaande contracten periodiek hieraan en passen deze aan waar nodig. We monitoren proactief en blijven in gesprek en onderhandeling met Google en andere leveranciers om te zorgen dat leerlingen, studenten en medewerkers veilig en verantwoord gebruik kunnen maken van (digitale) onderwijsdiensten.