terug

Google Workspace for Education blijven gebruiken? Voer eerst deze handelingen uit

In juli hebben SURF en SIVON een akkoord bereikt met Google waarmee de hoge privacyrisico’s in Google Workspace for Education worden weggenomen. Om Workspace for Education te blijven gebruiken, moet u zelf nog een aantal handelingen uitvoeren. In dit artikel leest u daar meer over.

Als u Google Workspace for Education wilt blijven gebruiken, dan moet u drie handelingen uitvoeren. U moet: 

  1. de juiste (technische) instellingen invoeren 
  2. de nieuwe Google voorwaarden accepteren
  3. een onderwijsspecifieke DPIA uitvoeren

Daarnaast is het belangrijk dat u kennis neemt van de inhoud van de Update DPIA report on Google Workspace for Education. Hierin wordt uitgelegd hoe de begin dit jaar geconstateerde hoge privacyrisico’s worden beperkt. Dat document is nodig bij het uitvoeren van de 3 stappen.

1. Google Workspace met juiste (technische) instellingen gebruiken 

De standaard instellingen van Google Workspace geven niet de hoogste bescherming van persoonsgegevens. Naast de nieuwe overeenkomst moeten ook een aantal instellingen gewijzigd worden in de Google Workspace Admin console om volledig aan de AVG te voldoen. Kennisnet, SIVON en SURF hebben een handleiding ontwikkeld waarin deze maatregelen beschreven staan. Deze maatregelen zijn ook beschikbaar voor de ict-leveranciers die schoolbesturen kunnen ondersteunen met het aanpassen van deze instellingen. Neem de tijd om alle instellingen goed te zetten en op de juiste wijze te communiceren naar uw medewerkers.

Als u voor Google Workspace gebruik maakt van de diensten van ict-leveranciers, dan raden wij aan hiermee in gesprek te gaan voor het doorvoeren van de instellingen. Wij adviseren deze instellingen met enige regelmaat te controleren aangezien clouddiensten zoals Google Workspace voortdurend in ontwikkeling zijn. Een nieuwe release kan gevolgen hebben voor de instellingen.

Bekijk de Technische handleiding voor Google Workspace for Education

2. De nieuwe Google voorwaarden accepteren 

SURF en SIVON hebben namens de hele onderwijssector aanvullende juridische voorwaarden afgesproken met Google om de hoge privacyrisico’s voor gebruikers te beperken. Google heeft op 10 augustus 2021 alle bekende it administrators (systeembeheerders) van Workspace for Education (Plus) een e-mail gestuurd met informatie over het accepteren van de nieuwe overeenkomst met Google. De e-mail is afkomstig van het e-mailadres Google-for-EDU-NL[AT]google.com (controleer uw spam-box hierop).

Deze gewijzigde overeenkomst moet door uw onderwijsinstelling geaccepteerd worden. Het bevoegd gezag – het schoolbestuur of het college van bestuur – moet hiervoor akkoord geven. Daarnaast zal uw functionaris voor gegevensbescherming (fg) ook hierover een advies geven. Met het akkoord van het bevoegd gezag kan de nieuwe overeenkomst met Google worden geaccepteerd. Volg de aanwijzingen in de e-mail van Google over het accepteren van de voorwaarden.

Google heeft een handleiding beschikbaar gesteld waarin wordt uitgelegd hoe onderwijsinstellingen akkoord moeten gaan met de nieuwe voorwaarden. Volg de stappen in deze handleiding om op de juiste wijze akkoord te gaan met de gewijzigde voorwaarden. 

3. Een schoolspecifieke DPIA uitvoeren 

SIVON en SURF hebben goede afspraken gemaakt over het wegnemen van de hoge risico’s bij het gebruik van Google Workspace. Het overzicht van maatregelen vindt u terug in de Update on report Google Workspace for Education DPIA. De AVG schrijft echter voor dat elke onderwijsinstelling zelf een eigen risicoafweging moeten maken. Dit heeft niet alleen te maken met de formele verantwoordelijkheid van het schoolbestuur, maar ook met de specifieke manier waarop Google Workspace for Education binnen uw organisatie wordt ingezet en de maatregelen die daarbij zijn genomen.

Om schoolbesturen te ondersteunen met het opstellen van een onderwijsspecifieke DPIA hebben Kennisnet, SIVON en SURF een handreiking ontwikkeld. Het doel van deze handreiking is dan ook om onderwijsinstellingen te ondersteunen bij het uitvoeren van deze eigen risicoanalyse en vast te stellen of er in hun specifieke situatie sprake is van additionele risico’s.

In de handreiking is gebruik gemaakt van de informatie die is opgenomen in de landelijk uitgevoerde DPIA op Workspace for Education. Onderwijsinstellingen bepalen op basis daarvan zelf welke beschreven verwerkingen, risico’s en maatregelen op de eigen situatie van toepassing zijn. U voegt ook eventuele ontbrekende verwerkingen, risico’s en maatregelen toe. Op basis van die informatie stelt het schoolbestuur uiteindelijk vast welke (resterende) risico’s bij het gebruik van Google Workspace for Education op de eigen specifieke situatie van toepassing zijn, welke maatregelen nodig zijn om die risico’s weg te nemen en – tot slot – of er nog hoge restrisico’s overblijven. Met die informatie besluit het bevoegd gezag (schoolbestuur, college van bestuur) over (voortzetting van) het gebruik van Google Workspace for Education (Plus) binnen de onderwijsinstelling.

Bekijk de Handreiking onderwijsspecifieke DPIA Google Workspace for Education