Na de DPIA van Microsoft: wanneer is Google aan de beurt?

webredactiebiometrisch, fg, Geen categorie

Na de DPIA van Microsoft:
wanneer is Google aan de beurt? 


In 2018 verschenen berichten dat het ministerie van Justitie en Veiligheid een DPIA (gegevensbeschermingseffectbeoordeling) uitvoert op verschillende clouddiensten van Microsoft. Microsoft is bezig om naar aanleiding van deze uitkomsten haar diensten en voorwaarden aan te passen. Binnenkort krijgen we daar hopelijk meer informatie over. Met het toenemend gebruik van G Suite for Education en Chromebooks in het primair en voortgezet onderwijs, wordt steeds vaker de vraag gesteld wanneer onderzocht wordt wat de privacyrisico’s zijn van G-Suite for Education en Chrome. In dit artikel een korte stand van zaken.


Data Protection Impact Assessment

Een DPIA wordt ook wel gegevensbeschermingseffectbeoordeling genoemd. Volgens de AVG moet een schoolbestuur organisatorische en technische maatregelen nemen om persoonsgegevens van leerlingen en medewerkers te beschermen. Om er achter te komen wat de juiste maatregelen zijn, moet je weten wat de risico’s zijn. Dat gebeurt via een DPIA. Er wordt onderzocht op welke manier de persoonsgegevens worden verwerkt, en wat het effect is op de bescherming van die gegevens. Met de uitkomsten van dit onderzoek kunnen de gevonden risico’s worden beperkt door er (beveiligings-)maatregelen aan te koppelen. De methodiek van een DPIA is te vergelijken met die van een risico-analyse.


Aanpassingen bij Microsoft

Met een combinatie van technische, organisatorische en contractuele maatregelen heeft Microsoft rond de zomer van dit jaar de verschillende privacyrisico’s verholpen die waren geconstateerd in de DPIA. Microsoft overlegt op dit moment met het Rijk, VNG en Surfnet over aanpassingen in de voorwaarden. Hopelijk leidt dit overleg er toe dat dit jaar de contracten kunnen worden aangepast zodat het gebruik van Microsoft Office voldoet aan de AVG. Microsoft is dan alleen nog verwerker voor al haar online diensten. Er wordt nog besproken of en hoe Microsoft haar diensten Office Online, mobiele Office apps en Windows 10 Enterprise zal wijzigen.


Nederland is één van de eerste landen die een brede DPIA op de diensten van Microsoft heeft uitgevoerd. De hoop en verwachting is dat de wijzigingen die met het Rijk, VNG en Surfnet zijn besproken, in heel Europa worden uitgerold door Microsoft. Deze DPIA’s zijn gestart omdat rijksambtenaren gebruik maken van producten en diensten van Microsoft. De vraag is of het ministerie van VenJ ook aan de slag zal gaan met een DPIA bij Google en Apple, nu het gebruik van deze leveranciers door het Rijk minder of afwezig is. Met de opgedane ervaring met de DPIA’s bij Microsoft, zou het zeker prettig zijn voor ‘de bv Nederland’ als het ministerie een volgende stap zet naar de partijen Google en Apple.


G Suite for Education

G Suite for Education biedt mogelijkheden tot communicatie, leermogelijkheden, administratieve taken en documentverwerking. De lage kosten van het pakket, de integratie met Chromebooks en de toegankelijke cloudomgeving van het pakket zorgen ervoor dat steeds meer scholen gebruik maken van G Suite for Education, vaak in combinatie met het gebruik van Chromebooks. In het hoger onderwijs of mbo wordt niet zo veel gebruik gemaakt van G Suite for Education, terwijl het gebruik van Chromebooks zekerwel toeneemt.

Lees ook


Privacyrisico’s

Voor het gebruik van Microsoftproducten, nemen schoolbesturen licenties af en betalen daarvoor. Het beeld dat bestond was dat de privacyrisico’s van producten van Microsoft beperkt waren omdat Microsoft daarmee niet afhankelijk is van de handel in data en haar inkomsten genereert met de verkoop van licenties. Toch bleek Microsoft op grote schaal persoonsgegevens over het gedrag van individuele werknemers te verzamelen en bewaren, zonder daarover de nodige informatie te geven.



Dat roept bij onze klanten de vraag op hoe het dan zit met de privacyrisico’s bij Google. Dit bedrijf levert G Suite for Education gratis, en doet de de belofte dat leerlingen en studenten gevrijwaard blijven van advertenties en dat de data niet voor advertentiedoeleinden wordt gebruikt. De betaalde variant, G Suite Enterprise voor Education kent naast de basisfunctionaliteiten onder meer de optie om de persoonsgegevens in Europa op te slaan. Of dat voldoende tegemoet komt aan de eisen van de AVG, is de vraag. Google is regelmatig onderwerp van onderzoek bij databeschermingsautoriteiten, terwijl Google meldt dat de toezichthouders van o.a. Spanje en Ierland hebben geoordeeld dat Google voldoet aan de AVG. Ook al hoeft er niet veel twijfel te zijn over het gebruik van Google-producten, de AVG verplicht organisaties wel om zelf een DPIA uit te voeren en te onderzoeken wat de privacyrisico’s zijn. In het licht van de uitkomsten van de DPIA’s bij Microsoft, is het zeker tijd dat de krachten worden gebundeld en dat wordt vastgesteld wat de privacyrisico’s zijn en in hoeverre G Suite for Education en Chrome voldoen aan de AVG.


Het ligt voor de hand om bij leveranciers zoals Microsoft, Google en Apple, samen op te trekken met alle onderwijssectoren én de Rijksoverheid (ministerie V en J, ministerie van OCW). Daarmee wordt een samenwerking en inkoopkracht georganiseerd waar deze technologie-giganten - voor Nederland en breder in Europa - een waardige gesprekspartner in kunnen vinden.


Samenwerking met DPIA’s

Bij het samen uitvoeren van DPIA’s, zijn de ogen gevestigd op Sivon, Kennisnet en sectorraden die tijdens het landelijk IBP congres van oktober hebben laten weten in het onderwijs gezamenlijk DPIA’s te willen gaan uitvoeren. De recente mededeling daarover van de PO-Raad is hoopgevend.


Privacy op School

Het heeft ook onze voorkeur om de krachten en expertise te bundelen. Dat bespaart schoolbesturen kosten, en voor leveranciers wordt voorkomen dat zij vele malen dezelfde vragen van schoolbesturen moeten beantwoorden. Door deze samenwerking van schoolbesturen en ondersteunende organisaties, wordt gestimuleerd dat DPIA’s op eenzelfde wijze worden uitgevoerd, en het helpt de samenwerking op het gebied van IBP. Het levert het onderwijs een gezamenlijke inkoopkracht op. Samen optrekken bij DPIA’s helpt alle schoolbesturen en is in het belang van het onderwijs. Als Privacy op School leveren we daar ook graag een bijdrage aan.


We houden u de komende tijd op de hoogte over deze DPIA’s in onze nieuwsbrieven en via onze website. We helpen u graag met met de uitleg hoe u de landelijk uit te voeren DPIA’s op en in uw organisatie kunt gebruiken. Ook voor alle overige DPIA's (zoals voor cameratoezicht) kunt u bij ons terecht.


Tonny Plas

Functionaris Gegevensbescherming/IBP-adviseur