Veilig blijven werken met Google, kan dat wel?
22 september 2021

Dit artikel oorspronkelijk geschreven voor en gepubliceerd door Breens.nl

Veel scholen werken al jaren met Google Workspace. Google Classroom, Drive en Meet hebben, zeker tijdens de coronapandemie, hun meerwaarde bewezen. Ook wordt binnen veel scholen gewerkt met gebruiks- en prijsvriendelijke Chromebooks. Waarom moeten schoolbesturen dan nu opeens in actie komen? En hoe haalbaar zijn de maatregelen die scholen moeten nemen?

Stel dat u als school alle gegevens van leerlingen en personeel op papier zou bewaren. U komt kasten tekort om het op te slaan, daarom schakelt u een bedrijf in dat grote en goedkope kasten beschikbaar stelt. De kasten van dit bedrijf staan niet in de school, maar op allerlei locaties die u als school niet kent. De voordelen van deze externe opslag wegen echter zwaarder: Er is meer ruimte op school, je kunt zoveel opslaan als je maar wilt en gelukkig kan de informatie makkelijk uit de kasten gehaald worden als een leerling of medewerker van de school hierom vraagt. De papieren documenten kunnen in ‘no time’ bij u als school worden bezorgd.

Het bedrijf houdt bij aan wie en waar de papieren worden bezorgd en wat en hoelang er met de bezorgde papieren iets wordt gedaan. Voordat de papieren bezorgd worden, leest het bedrijf de inhoud nog even tegen op spellingsfouten, tenzij u had aangegeven dat u dit niet wilt. Het bedrijf ziet dit als een stukje extra service.

Wat u misschien niet weet, is dat het bedrijf ook andere activiteiten onderneemt. Behalve het verhuren van handige en goedkope kasten, verkoopt het bedrijf informatie over gebruikers en hun gebruik van de papieren aan andere organisaties. Het is echter niet helemaal duidelijk welke informatie dit betreft, laat staan aan wie dit wordt verkocht. Het bedrijf vindt ook dat u als schoolbestuur hier niet over gaat, dit bepalen zij.

Zou u zaken willen doen met dit bedrijf? En als het uw eigen gegevens betreft?

Waarom moet u in actie komen?

Dit voorjaar heeft de Autoriteit Persoonsgegevens (AP) te kennen gegeven dat de ‘kasten’ van Google, ook wel Google Workspace for Education genoemd, niet veilig zijn en voldoen daarmee niet aan de privacy wetgeving. De belangrijkste risico’s hebben te maken met de gegevens die Google verzameld over het gebruik. Dit wordt ook wel ‘metadata’ of ‘gebruiksdata’ genoemd. Dit betreffen bijvoorbeeld gegevens over het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt, waar en op welk apparaat er welke woorden getypt worden. Daarnaast ziet Google zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij gegevens verzamelt en op welke manier dat gebeurt. Volgens de AP moet altijd duidelijk zijn om welke gegevens het gaat. Zo niet, dan is dit in strijd met de Algemene Verordening Gegevensbescherming (AVG).

Wat moet u regelen en wat betekent dat?

Tekenen aanvullende voorwaarden

Allereerst moet er een aanvullende voorwaarden getekend worden. Hiermee wordt bekrachtigd dat Google een verwerker is voor de data van u als klant (customer personal data). De school moet in voorwaarden aangeven welke gegevens in Google verwerkt worden. Google stelt niet voor alle data verwerker te zijn. Voor zogenaamde Service data die ze gebruiken voor ‘legitimate business purposes’ zeggen ze zelf Verantwoordelijke te blijven, maar dit niet te gebruiken voor advertenties en ‘profiling’. De wettelijk vertegenwoordiger van de school moet de overeenkomst tekenen, de school (admin account) die een omgeving van Google gebruikt (tenant), krijgt echter per e-mail het verzoek om te ondertekenen. Het is dus belangrijk om de scholen binnen uw bestuur goed te instrueren.

Wij raden aan om Google niet meer te gebruiken voor het opslaan van bijzondere persoonsgegevens die meestal terug te vinden zijn in leerling- en personeelsdossiers. Doe dit alleen nog in de leerlingadministratie- en personeelsadministratiesystemen.
Let op: Aanvullende diensten van Google, zoals Google Maps, Youtube, etc. vallen niet onder de overeenkomst. Voor het gebruik van aanvullende service van Google heeft u toestemming nodig van ouders, of van de leerlingen zelf als ze 16 jaar of ouder zijn.

Technische instellingen

Google kan alleen veilig gebruikt worden als er een aantal technische instellingen zijn gedaan. Dit zijn vooral de instellingen die mogelijk een hoge impact hebben op het gebruik.Ik licht een aantal toe:

  • Fictieve gebruikersnamen kiezen: E-mailadressen van leerlingen met voor- en achternaam worden met name in het basisonderwijs nog veel gebruikt. In het voortgezet onderwijs wordt veelal gewerkt met nummers of afkortingen.
  • Geografische locatie dataopslag binnen EER : Dit kan alleen als je de betaalde versie gebruikt van Google Workspace (Standard of Plus). Er worden momenteel gesprekken gevoerd met Google om dit ook voor de gratis versie mogelijk te maken.
  • Spellingscontrole uitschakelen: In GDocs, Gmail en de Chromebrowser wordt de spelling niet meer gecontroleerd.
  • Inloggen bij de Chromebrowser uitschakelen: Hierdoor kan er minder makkelijk gewerkt worden met het downloaden en opslaan van bestanden in de GDrive. Ook zijn favoriete webpagina’s en persoonlijk ingestelde tabbladen niet meer beschikbaar. Single Sign On werkt soms ook niet meer.
  • Cookies uitschakelen: Hierdoor kunnen leerlingen mogelijk niet meer automatisch inloggen in de leeromgeving of werken hun digitale leermiddelen niet optimaal.
  • Chromebrowser niet gebruiken: Het wachten is op een AVG-proof Chromebrowser. Google werkt hier nog aan. Op andere devices dan een Chromebook, moet gekozen worden voor een andere browser. Er loopt nog een apart onderzoek naar de veiligheid van Chromebooks.

Voer een schoolspecifieke DPIA uit

Met een DPIA (‘Data Protection Impact Assessment’) worden tenslotte de risico’s in kaart gebracht en de rechtmatigheid van de verwerking onderbouwd. U zult volgens de Autoriteit Persoonsgegevens (AP) het gebruik van Google op basis hiervan moeten heroverwegen.

De restrisico’s kunnen pas worden bepaald als u weet of bovenstaande instellingen doorgevoerd kunnen worden. Op basis van de DPIA worden ook andere (organisatorische) maatregelen bepaald, denk aan het beperken van het gebruik van persoonsgegevens in bestandsnamen, het tijdig wissen van gegevens, de organisatie van accountbeheer, etc.

Het uitvoeren van een DPIA kunt u het beste laten uitvoeren door een deskundige. Op basis hiervan kunt u het gebruik van Google als schoolbestuur verantwoorden als een AP hierom vraagt. Neem contact op via info@privacyopschool.nl voor meer informatie of kijk op de website van Privacy op School.

Impact

Het is duidelijk dat genoemde maatregelen (grote) impact hebben op het gebruik van Google in het onderwijs. Voor de ene school meer dan voor de andere, afhankelijk van de mate waarin Google gebruikt wordt. Op dit moment is er nog veel onduidelijk. Langzaam rijst de vaag of Google nog wel een bruikbaar product blijft als alle instellingen worden doorgevoerd. Het niet inschakelen van deze instellingen, zorgt er volgens SIVON en SURF voor dat de privacyrisico’s niet worden verkleind. Maar in hoeverre is dit haalbaar? Dat zal de komende tijd moeten blijken.