Op 3 juli jl. heeft SIVON bekend gemaakt dat er nieuwe afspraken zijn gemaakt met Google over ChromeOS en Chromebrowser op Chromebooks (zie: SIVON, SURF en Google bereiken overeenkomst Terms of Service Google Chrome – SIVON). Dankzij deze afspraken is het nu mogelijk dat Google voortaan persoonsgegevens op Chromebooks verwerkt, in opdracht van het schoolbestuur. Google is voortaan verwerker en het schoolbestuur is verwerkingsverantwoordelijke. Om gebruik te maken van deze nieuwe afspraken heeft Google in augustus een nieuwe versie van ChromeOS en Chrome-browser op Chromebooks gelanceerd. Het advies van SIVON is om deze versie te gaan gebruiken. Hierbij is wel noodzakelijk dat de school Chromebooks in beheer heeft (of neemt als dat nog niet het geval is), hiervoor wordt Google Workspace for Education gebruikt.
Update DPIA Google Workspace for Education (WfE); afstemming met FG nodig.
Verder heeft SIVON een statusupdate gegeven over de resterende privacyrisico’s bij het gebruik van Google WfE (zie: Privacyrisico’s uit DPIA van 2021 Google Workspace for Education voldoende opgelost). Als het goed is, heeft uw schoolbestuur in voorgaande jaren al een DPIA uitgevoerd. Het goede nieuws van SIVON is, dat scholen Google WfE voorlopig mogen blijven gebruiken, omdat Google de resterende risico’s heeft verminderd. SIVON geeft aan dat schoolbesturen, op basis van de uitkomsten van het nieuwe verificatierapport en de handreiking lokale DPIA WfE, een aanvullende afweging moeten maken over het gebruik van Google WfE. Hiervoor kan een update van de reeds uitgevoerde DPIA worden uitgevoerd. Het advies is om hierover in overleg te gaan met uw eigen FG om de afwikkeling hiervan voor uw eigen organisatie te bepalen. Ook hier is dus actie van uw schoolbestuur nodig.
Actie schoolbesturen nodig; hulp van Privacy op School
Om verantwoord met Chromebooks te kunnen blijven werken moeten schoolbesturen o.b.v. het SIVON-advies zelf wel een aantal (technische) maatregelen uitvoeren. Dit kan de leverancier ook doen. Om schoolbesturen hierbij te ondersteunen heeft Privacy op School een checklist opgesteld; een praktisch hulpmiddel bij het uitvoeren van de maatregelen waarmee het schoolbestuur bovendien kan verantwoorden dat alle maatregelen zijn uitgevoerd. Deze checklist is een aanvulling op de uitgevoerde (of nog uit te voeren) DPIA op Google WfE. Verder ontwikkelt Privacy op School een aanvulling (addendum) voor Google WfE. Dit addendum kunt u gebruiken als u al een DPIA heeft uitgevoerd. Met de DPIA WfE, het addendum, en de checklist ChromeOS, kunt u gebruik blijven maken van Google op uw school. U kunt de checklist en addendum opvragen bij uw Functionaris Gegevensbescherming van Privacy op School. Ook kunnen zij deze updates samen met u uitvoeren. Bent u geen klant van Privacy op School? Stuur dan een mail naar info@privacyopschool.nl. Wij helpen u graag op weg.
Wat nog volgt: uitkomsten DTIA
Met dit alles is de ‘Google-kous’ nog niet af. SIVON geeft aan dat dit najaar de uitkomsten van het door SIVON uitgevoerde Data Transfer Impact Assessment (DTIA) worden verwacht. Hierbij worden privacyrisico’s onderzocht van doorgifte van persoonsgegevens door Google naar landen buiten de Europese Economische Ruimte (EER). Gegevens die in landen buiten de EER worden opgeslagen, vallen buiten de bescherming van de Algemene Verordening Gegevensbescherming. En uiteraard is het daarnaast nooit uit te sluiten dat nieuwe ontwikkelingen bij Google vragen om nieuwe maatregelen; SIVON geeft aan dit te blijven volgen.