Zowel het ministerie van Justitie en Veiligheid als OCW hebben op 1 maart jl. de Tweede Kamer per brief geïnformeerd over de DPIA van Google. Een DPIA is een risicoanalyse op verwerkingen met een hoog risico. Meer informatie daarover is hier te vinden.
DPIA van Google
Uit de uitgevoerde DPIA blijkt dat er hoge privacy risico’s zijn bij het gebruik van Google G Suite en G Suite for Education. Deze risico’s hebben betrekking op o.a. een gebrek aan transparantie, gebrek aan juiste juridische grondslag en ontbrekende van mogelijkheden voor privacy vriendelijke instellingen. Omdat deze privacyrisico’s resteren heeft de overheid een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (AP) aangevraagd. Dit is een procedure die gestart wordt als er hoge privacyrisico’s overblijven na uitvoering van een DPIA.
Een belangrijk risico betreft de omgang met data die wordt verzameld bij het gebruiken van de Googleproducten door leerlingen en medewerkers (metadata of gebruiksdata). Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor deze metadata. Dit betekent dat zij zelf mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker hiervoor om toestemming te vragen. Dat betekent dat onderwijsinstellingen die Google G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt.
Google heeft zelf al een statement gepubliceerd.
Wat betekent dit voor de scholen die Google gebruiken?
Het is op dit moment onduidelijk of Google de dienstverlening gaat aanpassen. Wij adviseren scholen vooralsnog echter om niet per direct stoppen met het gebruik van Google G Suite, om de continuïteit van het onderwijs niet in gevaar te brengen. De gesprekken met Google over het aanpassen van hun beleid lopen nog en ook is de AP gevraagd om advies uit te brengen. Het advies is daarom om deze ontwikkelingen vooralsnog af te wachten. We adviseren scholen die overwegen te starten met Google wel om die plannen tot nader order op te schorten. Dit is lijn met het advies vanuit SURF en SIVON.
Wat kun je als schoolbestuur nu het beste doen?
Er kan door het nieuws onrust ontstaan bij ouders en medewerkers. U kunt bovenstaand advies eventueel delen en voor meer informatie doorverwijzen naar de FG. Daarnaast is het goed om na te gaan in welke mate er gebruik wordt gemaakt van Google binnen de organisatie.
Privacy op School zal jullie uiteraard op de hoogte houden van relevante ontwikkelingen en voorzien van advies. Er wordt ook informatie verspreid via de onderwijsraden en SIVON.
Zie ook de volgende FAQ.
Lees het artikel van Kennisnet over wat je kan doen.