Na intensieve discussies van de afgelopen weken is overeenstemming bereikt met Google over het mitigeren van hoge privacy-risico’s met betrekking tot het gebruik van Workspace for Education Plus (voorheen G Suite Education for Enterprise) en Workspace Education Fundamentals (de gratis variant, voorheen G Suite for Education) door onderwijsinstellingen in Nederland. Deze hoge risico’s zijn aan het licht gekomen bij een Data Protection Impact Assessment (DPIA) uitgevoerd in 2020 – 2021. Naar aanleiding van de resultaten van deze DPIA hebben SURF en SIVON de Autoriteit Persoonsgegevens (AP) om advies gevraagd. In het advies van 31 mei heeft de AP aangegeven dat alle hoge risico’s op het gebied van gegevensbescherming uiterlijk aan het begin van het schooljaar 2021/2022 voldoende moeten zijn gemitigeerd, anders moeten scholen stoppen met het gebruik van Workspace for Education.
SURF en SIVON zijn verheugd te kunnen melden dat er overeenstemming is bereikt met Google over een uitgebreide set contractuele, organisatorische en technische maatregelen. Deze maatregelen mitigeren alle in de DPIA geïdentificeerde hoge privacy-risico’s in voldoende mate.
ChromeOS, Google Cloud Platform en andere Google-services
De meeste afgesproken maatregelen gelden voor de kerndiensten (core services) in Workspace for Education (bijvoorbeeld Classroom en Gmail). Google verplicht zich om de gesprekken met SURF en SIVON voort te zetten over andere Google-diensten die regelmatig in het onderwijs worden gebruikt, zoals Google Cloud Platform en ChromeOS (het besturingssysteem voor de Chromebooks).
Vervolgstappen
De komende 2 weken gaan SURF en SIVON verder met Google in gesprek om de onderhandelingsresultaten te verfijnen en overeenstemming te bereiken over de manier waarop bestaande contracten worden aangepast of gemigreerd naar de nieuwe afspraken. Ons doel is om dit op 21 juli af te ronden. SURF en SIVON geven onderwijsinstellingen voor het begin van het volgende schooljaar instructies hoe ze ervoor kunnen zorgen dat deze wijzigingen op hun contracten van toepassing zijn.
Naast de maatregelen die Google heeft geïmplementeerd, vereist het mitigeren van de hoge gegevensbeschermingsrisico’s ook dat onderwijsinstellingen de juiste beheerdersinstellingen en bepaalde organisatorische maatregelen toepassen. SURF en SIVON leveren de nodige documentatie aan voor Werkplekbeheerders (administrators) om die maatregelen te kunnen nemen.
SURF en SIVON voorzien de onderwijsinstellingen van een compleet pakket van alle documenten en informatie die zij nodig hebben om te beoordelen of het gebruik van Workspace for Education (Plus) – rekening houdend met hun specifieke invulling en gebruik van Workspace for Education (Plus) – in voldoende mate invulling geeft aan de bescherming van persoonsgegevens conform de AVG. Na 21 juli volgt hier snel naar verwachting meer nieuws over.
SURF en SIVON blijven samenwerken met Google
Kijkend naar de risico’s en issues die tijdens de DPIA naar voren zijn gekomen en de acties die Google heeft ondernomen of aangekondigd, kunnen SURF en SIVON bevestigen dat Google deze onderwerpen aanpakt. Gezien het belang van het gebruik van Google-diensten in onderwijsinstellingen, blijven SURF en SIVON namens het onderwijs Google monitoren en met Google spreken over privacy-issues. Zo wordt er een DPIA op Chrome browser en Chrome OS worden uitgevoerd en worden deze resultaten besproken met Google op een vergelijkbare manier als bij Workspace for Education (Plus).