In juli 2021 hebben SIVON en Google een belangrijke overeenkomst bereikt over het gebruik van Google Workspace for Education door onderwijsinstellingen. Het gaat om een set contractuele, organisatorische en technische maatregelen. Sindsdien zijn we in nauw contact met Google om erop toe te zien dat zij onze afspraken nakomen en bespreken we aanverwante dossiers zoals Google ChromeOS en de Chrome browser. In dit artikel informeren wij u als belangenbehartiger over de huidige stand van zaken.
Google heeft ons destijds toegezegd dat zij alle te nemen stappen om hoge privacy risico’s te minimaliseren voor het einde van 2022 heeft afgerond. Met nog drie maanden voor de boeg, gaan wij ervan uit dat dit gaat lukken en dat de scholen in kwestie Workspace for Education veilig kunnen blijven gebruiken.
Internationale aandacht
Diverse Europese landen en regeringen hebben voordeel van de privacy afspraken die SIVON met Google heeft gemaakt. Deze doorbraak heeft ertoe geleid dat Google in maart 2022 heeft aangegeven de privacy bescherming wereldwijd te gaan verbeteren.
DTIA: onderzoek uitwisselen gegevens met Google in de VS
Bij het gebruik van Workspace for Education wordt een deel van de Europese gegevens uitgewisseld met Google in de Verenigde Staten. Eén van de eisen van de Algemene verordening gegevensbescherming (AVG) is dat het gebruik van persoonsgegevens buiten de EU aan hetzelfde beschermingsniveau moet voldoen als wanneer deze data binnen de EU zou worden gebruikt. SIVON onderzoekt de doorgifte van gegevens buiten de EU door middel van een Data Transfer Impact Assessment (DTIA) voor Google Workspace for Education. Hierbij toetsen we welke persoonsgegevens worden uitgewisseld met een land buiten de Europese Economische Ruimte (EER) en of er voldoende passende waarborgingsmaatregelen zijn. Bij deze waarborgen gaat het bijvoorbeeld om technische maatregelen als encryptie of het gebruik van de door de Europese Commissie voorgeschreven standaard contractuele bepalingen (SCC’s). Mocht het nodig zijn, dan maken we aanvullende afspraken met Google. Zo zorgen we dat scholen Workspace for Education kunnen blijven gebruiken. Deze DTIA wordt uitgevoerd in samenwerking met onderwijspartner SURF en SLM Rijk (onderdeel van het ministerie van Justitie en Veiligheid). Recent zijn Microsoft Teams, SharePoint, OneDrive en ZOOM onderzocht, waarbij een soortgelijke DTIA onderdeel uitmaakte van de DPIA. De uitkomsten van de DTIA op Workspace for Education volgen naar verwachting begin 2023.
Verwerkersversies Google ChromeOS en Chrome browser
Begin 2022 is SIVON gestart met een onderzoek naar mogelijke privacy issues binnen het besturingssysteem ChromeOS en de internetbrowser Chrome. Google heeft inmiddels in een publiek statement aangegeven een verwerkersversie te ontwikkelen. Met deze belangrijke koerswijziging behouden organisaties zoals onderwijsinstellingen volledige controle over de persoonsgegevens die binnen ChromeOS door Google worden verwerkt. Belangrijk om te vermelden is dat de verwerkersversie van ChromeOS alleen beschikbaar is voor Chromebooks die centraal worden beheerd via een Workspace account. De verwerkersversie is dus niet van toepassing op Chromebooks die niet via een Workspace account worden beheerd, en ook niet voor Chromebrowsers geïnstalleerd op Windows of Apple apparaten. Het gebruik van de Chrome browser op deze apparaten is niet onderzocht.
SIVON verwacht haar onderwijsinstellingen in de loop van het vierde kwartaal van 2022 een nieuwe verwerkersovereenkomst (‘terms of service’) voor ChromeOS en Chrome browser aan te kunnen bieden. SIVON en Google leggen de aanpassingen binnen ChromeOS vast in een zogenaamd commitment plan. Het ontwikkelen van een verwerkersversie voor ChromeOS vraagt van Google veel aanpassingen in de code van de bestaande software/code. Een (eerste) versie verwachten we rond augustus 2023. Deze versie is voldoende om de bestaande privacy risico’s te beperken.
Lokale DPIA door scholen
De afspraken die SIVON, SURF en SLM Rijk met Google hebben gemaakt, zijn alleen van toepassing als onderwijsinstellingen deze afspraken zelf ook accepteren. Vorig jaar hebben scholen een aangepaste overeenkomst ontvangen van Google. Aan het einde van dit jaar zullen scholen ook een aangepaste overeenkomst (’terms of service’) ontvangen voor ChromeOS en Chrome browser. Het is daarnaast belangrijk dat scholen zelf een schoolspecifieke (‘lokale’) DPIA uitvoeren. Scholen beoordelen daarin zelf of het gebruik van Workspace for Education (Plus) – en straks ChromeOS en Chrome-browser – in voldoende mate invulling geeft aan de bescherming van persoonsgegevens conform de AVG. SURF en SIVON hebben onderwijsinstellingen voor Workspace for Education hiervoor een compleet pakket aan documenten ter beschikking gesteld. Voor ChromeOS en Chrome browser wordt dit volgend jaar gepubliceerd.