Het is volgens de Algemene Verordening Gegevensbescherming belangrijk dat gebruikers van Google Workspace for Education, weten welke informatie Google verzamelt en gebruikt. Betrokkenen zoals leerlingen, hun ouders en medewerkers hebben het recht om inzage te vragen in die informatie.
De informatie die Google verstrekt over de gegevens die zij verzamelt, bewaart en vernietigt, is niet altijd even duidelijk. Het gaat hierbij niet alleen om de gegevens die gebruikers zelf invoeren (bijvoorbeeld e-mail of bestanden in Google Docs), maar ook diagnostische informatie. Om scholen hier inzicht in te geven, heeft SIVON op deze pagina die informatie inzichtelijk bij elkaar gezet. Op deze pagina vind je meer informatie over:
- privacyvoorwaarden Workspace for Education voor Nederlandse onderwijsinstellingen;
- inzage in gegevens (inzage voor gebruikers & inzage-tooling voor beheerders);
- verwerking van contentdata van spell-check functie;
- bewaartermijnen;
- leveranciers (sub-verwerkers) van Google.
Privacyvoorwaarden gebruikers:
Google Cloud Privacy Notice (addendum)
Scholen hebben in 2021 een apart contract geaccepteerd voor Nederlandse onderwijsinstellingen. Dit zijn voorwaarden die door SIVON en SURF met Google zijn afgestemd. Deze zijn niet online beschikbaar. De standaardcontractvoorwaarden voor Google Workspace for Education zijn dus niet van toepassing.
Voor gebruikers van Google-diensten, heeft Google een privacy-toelichting gemaakt die Google Cloud Privacy Notice (GCPN) wordt genoemd. Voor Nederlandse gebruikers van Workspace for Education heeft Google een aanvulling gemaakt op deze GCPN. Die wordt GCPN Addendum genoemd.
Deze link kunnen scholen met al hun gebruikers (leerlingen, hun ouders en medewerkers) delen. SIVON heeft hiervoor een aantal voorbeeldbrieven gemaakt, die je vindt op de pagina ‘Alles over de DPIA’s op Google Workspace for Education en ChromeOS‘.
Inzage in gegevens
Google stelt verschillende tooling beschikbaar aan gebruikers en administrators om invulling te geven aan inzageverzoeken. Hieronder een overzicht van de tools die beschikbaar zijn en welke data je hiermee kunt ophalen:
Tooling voor gebruikers
Voor gebruikers is het mogelijk om:
- zelf de eigen gegevens in te zien via het Google-account;
- een inzageverzoek in te dienen bij Google.
Gebruikers kunnen zelf data inzien met hun Google-account door de volgende stappen te volgen:
- log in bij Google met je Google-account;
- klik op het icoon naam/afbeelding rechtsboven;
- selecteer ‘Manage your Google Account’;
- selecteer de optie ‘Data & privacy’.
Het type data dat beschikbaar is via Account-menu:
- Activity Data, waaronder browse-geschiedenis, zoekopdrachten en app-gebruik;
- profieldata;
- locatiedata (als dit aan staat).
Je kunt hier ook alle content/data downloaden.
Als je klikt op ‘Download your data’, word je doorverwezen naar takeout.google.com. Takeout is inmiddels een core workspace service en kun je dus gebruiken onder de education voorwaarden.
Het type data dat beschikbaar is via Takeout:
- Content Data;
- Account Data;
- Play Store;
- Access Log Activity.
Gebruikers kunnen ook zelf een inzage verzoek indienen bij Google via dit online formulier. Hiermee kun je als gebruiker alle beschikbare persoonsgegevens opvragen die Google verwerkt als gegevensbeheerder met betrekking tot het Workspace for Education account, met uitzondering van de inhoudsgegevens en activiteitenlogboeken die de gebruiker kan downloaden via de Takeout-tooling (zoals beschreven hierboven).
Tooling voor beheerders
Administrators hebben verschillende tools tot hun beschikking om te voldoen aan inzageverzoeken:
- Diagnostic Information Tool (DIT);
- aanvullend handmatig inzageverzoek door de beheerder (super-administrator);
- Domain Wide Take out (Data Export);
- inzage in auditlogging: BigQuery.
Diagnostic Information Tool (DIT)
Onder het menu ‘Reporting’ staat de ‘Diagnostic Information Tool (DIT)‘. Deze tool is ontwikkeld om transparantie te geven over telemetrische gegevens.
Het type data dat beschikbaar is via de DIT:
- Telemetry Data limited to the last 24 hours;
- Domain Wide Take out (Data Export).
Met Domain Wide Take out (Data Export) kan data van de hele organisatie, groepen of individuen gedownload worden. Hoe je Data Export kunt gebruiken, lees je in de volgende paragraaf.
Het type data dat beschikbaar is via de Data Export:
Content and Diagnostic Data.
Aanvullend handmatig inzageverzoek door de beheerder (super-administrator)
Tot slot kan de super admin van een workspace account nog een (handmatig) inzageverzoek indienen bij Google. Bijvoorbeeld om telemetry gegevens ouder dan 24 uur op te vragen. Een inzageverzoek wordt DSAR genoemd: data subject access request.
Als een leerling, diens ouder of medewerkers (betrokkene voor wie de school verwerkingsverantwoordelijke is) een inzageverzoek indient voor historische diagnostische informatie over hem of haar, dan kan de beheerder van de school met de hoogste autorisatie (superadministrator genoemd; superbeheerder) dit aanvragen bij Google. Het gaat om informatie die niet die beschikbaar is via andere tooling zoals de Diagnostic Information Tool. De superbeheerder volgt de volgende stappen:
De beheerder neemt contact op met het Cloud Data Protection Team, terwijl hij/zij is aangemeld met zijn/haar super-administrator/beheerdersaccount).
Om Google in staat te stellen het verzoek efficiënt door te sturen naar de relevante teams en binnen het aangegeven tijdsbestek op het verzoek te reageren, moet de superbeheerder de volgende informatie verstrekken via het veld ‘Gedetailleerde beschrijving’ (in het hierboven beschreven formulier):
- naam en gebruikers-ID (e-mailadres) van de betrokkene;
- datumbereik voor de diagnostische informatie die de gebruiker/klant opvraagt;
- kopie van het inzageverzoek van de betrokkene (zoals een brief of e-mail). Dat verzoek kan ook van de functionaris gegevensbescherming (FG) afkomstig zijn. Het gaat alleen om het verzoek om inzage, de rest van het verzoek mag zwart gemaakt worden.
Bij het indienen van het formulier wordt een support case aangemaakt die automatisch een melding genereert in de e-mail inbox van de hoofdbeheerder. De superbeheerder moet een kopie van de DSAR van de betrokkene bijvoegen door te antwoorden op de automatische melding. De gebruiker/klant moet alle informatie die geen verband houdt met de DSAR verwijderen. Google verstrekt de gebruiker/klant vervolgens binnen een periode van maximaal 30 kalenderdagen na de melding een export van de gevraagde diagnostische informatie in een CSV-bestand.
Gebruik van Domain Wide Take Out
Domain Wide Take Out is de exporttool. Admins kunnen die vinden in het hoofdmenu (‘Home’).
Om Domain Wide Take Out te gebruiken, moet de admin-gebruiker eerst de Google Cloud Platform (GCP) voorwaarden accepteren. Google Cloud Platform moet ook aangezet worden onder additional services. Zet deze service alleen aan voor admin-users. Hiermee worden privacyrisico’s voldoende beperkt.
Administrators moeten gemarkeerd zijn als ouder dan 18. Als het hele domein op K-12 ingesteld is, zal er voor admins dus een uitzondering gemaakt worden. Dit kan bijvoorbeeld door admin in een organisational unit te plaatsen en gebruikers van deze organisational unit te markeren als ouder dan 18. In de Google help center artikelen wordt de term ‘administrator groups’ gebruikt.
Voor een take out bij meer dan 1000 gebruikers is interventie van support van Google nodig om dit mogelijk te maken. Via de admin-console krijgt de administrator hier informatie over. We adviseren om pseudonieme admin accounts aan te maken voor deze handelingen, omdat Google ook over het verzoek van de beheerder informatie verzamelt en dit valt onder GCP.
Auditlogging: BigQuery
Google heeft een verbetering aangebracht met betrekking tot toegang tot (audit)logging. Beheerders kunnen auditlogs eenvoudiger opslaan en doorzoeken in een (eigen) dataruimte bij Google Cloud via de BigQuery exporttool. Google biedt geen standaardoptie om loggegevens van één betrokkene (leerling, ouder, medewerker) te exporteren via de Domain Wide Takeout-tool, alleen voor de organisatie of groepen binnen de organisatie. Wanneer systeembeheerders een inzageverzoek ontvangen van een student of medewerker, moeten ze alle audit logs exporteren en deze doorzoeken naar gegevens over één persoon. Het selecteren van de audit log gegevens met betrekking tot 1 specifiek individu is veel eenvoudiger met BigQuery.
BigQuery is de database van Google (gehoste MySQL). Om BigQuery in te schakelen, moet de beheerder eerst de aanvullende dienst (additional service) ‘Google Cloud Platform’ inschakelen. Zet deze dienst alleen aan voor administrators.
De beheerder moet eerst akkoord gaan op de Servicevoorwaarden van het Google Cloud Platform. De afspraak met Google is dat alle gegevens die door klanten op het cloudplatform worden opgeslagen, Content Data zijn voor Google en vallen onder de contractvoorwaarden van Workspace for Education. Het Google Cloud Verwerkingsaddendum verduidelijkt dat Google deze Inhoudsgegevens als verwerker zal verwerken voor de doeleinden die zijn opgenomen in zijn eigen wereldwijde Cloud Verwerkingsaddendum.
Volg deze instructies om BigQuery te gebruiken.
Verwerking van contentdata van spell-check functie
Google verwerkt inhoudelijke gegevens bij de spellingscontrole. Google geeft suggesties voor spelling en grammatica wanneer een gebruiker een document of e-mail schrijft of bewerkt. Deze functie bestaat uit een combinatie van server- en client-side verwerking. De spelling- en grammatica-suggesties worden gegenereerd met behulp van geavanceerde algoritmes op de server van Google, en die gebruiken delen van de inhoud die gebruikers op hun apparaten schrijven. Deze informatie wordt ‘in realtime’ geanalyseerd.
Deze spelling- en grammatica-suggesties worden aan de gebruiker gepresenteerd door een woord of zin te onderstrepen. Als een gebruiker een van de spelling- of grammaticasuggesties selecteert, presenteert de service een of meer wijzigingsvoorstellen en de optie om de suggestie te negeren. De service registreert de selectie van de gebruiker op het apparaat van de gebruiker, samen met het relevante deel van de inhoud dat werd gebruikt om de suggestie te doen. Deze gelogde gegevens worden naar de server gestuurd waar ze worden verwerkt om ervoor te zorgen dat deze functie goed werkt; het loggen welke suggesties worden geaccepteerd, afgewezen of genegeerd is essentieel voor de betrouwbaarheid, effectiviteit en werking van deze functie.
Hierdoor kunnen gelogde gegevens (inclusief het relevante deel van de inhoud) worden weergegeven in de gegevensexport bij gebruik van de Diagnostic Information Tool. Dit kan verwarrend zijn: in diagnostische informatie is dus door gebruikers ingevoerde informatie te vinden. Het privacyrisico hiervan is beperkt. Deze logbestanden zijn tijdelijk van aard en worden maximaal 30 dagen bewaard. Ze worden verzameld, geanonimiseerd of gepseudonimiseerd, en samengevoegd om de informatie te verschaffen die nodig is om de spelling- en grammaticacontrole uit te voeren. Het document van de gebruiker zelf bewaart geen gegevens over spellingsuggesties en interacties.
Meer informatie hierover geeft Google in deze blog.
Bewaartermijnen
In deze paragraaf geven we een overzicht van de bewaartermijnen die Google hanteert. Dit is ter verduidelijking van de informatie die Google publiceert.
Customer Data & Customer Personal Data
Customer Data zijn gegevens die door of namens de school of zijn eindgebruikers zijn verstrekt aan Google onder het account; of gegevens die zijn ingediend, opgeslagen, verzonden of ontvangen door of namens de school of zijn eindgebruikers via Google Workspace of Cloud Identity onder het account.
Verwijdering door school
Google stelt een school in staat om gegevens tijdens de looptijd/gebruik van de dienst te verwijderen op een manier die overeenkomt met de functionaliteit van de services. Als de school gegevens verwijdert tijdens de looptijd/gebruik van de dienst en door de school niet kunnen worden hersteld, vormt dit gebruik een opdracht aan Google om de betreffende gegevens te verwijderen uit de systemen van Google in overeenstemming met de toepasselijke wetgeving. Google zal zo snel als redelijkerwijs mogelijk is en binnen een periode van maximaal 180 dagen aan deze Instructie voldoen, tenzij Europese wetgeving opslag vereist.
Processor Service Data
Processor Service Data omvat Diagnostic Data (including telemetry data), Support Data, Feedback Data en data over gekozen settings/configuration. In overeenstemming met de Google Cloud Privacy Notice is de maximale periode dat Google diagnostische informatie mag bewaren waarmee een gebruiker kan worden geïdentificeerd 180 dagen (Google kan bijvoorbeeld IP-adressen en apparaat identificatoren langer dan 180 dagen bewaren wanneer dit nodig is om ongewenste, ongevraagde of gevaarlijke berichten – zoals spam, phishing en malware – te identificeren en te voorkomen dat deze de Gmail-inbox van gebruikers bereiken). In de praktijk wordt deze diagnostische informatie echter bewaard voor kortere perioden van 30 tot 63 dagen, waarna de informatie wordt geanonimiseerd of verwijderd. Deze Service Data wordt dus 30, 63 of 180 dagen (of iets daar tussen in) bewaard. Scholen moeten er daarom van uit gaan dat de retentietermijn voor alle Service Data die niet onder een uitzonderingssituatie valt de maximale termijn van 180 dagen wordt bewaard. 180 dagen is voor dit soort data geen onredelijke termijn.
Auditlog data bewaartermijnen die Google toepast op de verschillende auditlogs waar beheerders toegang toe hebben, zijn weergegeven in de onderstaande tabel. Google legt uit dat de bewaartijd voor elk rapport of auditlog dat niet in de tabel wordt genoemd zes maanden is.
Log events name | Lag time |
Access Transparency log events | Near real time (couple of minutes) |
Admin log events | Near real time (couple of minutes) |
Assignments log events | Near real time (couple of minutes) |
Calendar log events | Tens of minutes (can also go up to a couple of hours) |
Chat log events | Near real time (couple of minutes) |
Chrome log events | Near real time (couple of minutes) |
Classroom log events | Near real time (couple of minutes) |
Cloud Search log events | Up to a few hours |
Context Aware Access log events | Near real time (couple of minutes) |
Currents log events | 1–3 days |
Devices log events | Near real time (couple of minutes) |
Directory Sync log events | Near real time (couple of minutes) |
Drive log events | Near real time (couple of minutes) |
Gmail log events | Near real time (couple of minutes) |
Groups log events | Tens of minutes (can also go up to a couple of hours) |
Jamboard log events | Near real time (couple of minutes) |
Keep | Near real time (couple of minutes) |
LDAP log events | Near real time (couple of minutes) |
Looker Studio log events | Near real time (couple of minutes) |
Meet log events | Near real time (couple of minutes) |
Meet quality | Near real time (couple of minutes) |
OAuth | Up to a few hours |
Rules log events | Near real time |
SAML log events | Near real time (couple of minutes) |
Takeout log events | Event when Takeout process starts: Near real time Event when the Takeout process finishes: Depends on the size of the data, up to many days |
Tasks log events | Near real time (couple of minutes) |
Token log events | A couple of hours |
User log events | Login events: Up to a few hours User account events: Tens of minutes |
Voice log events | Near real time |
Leveranciers (subverwerkers) van Google
Onder de AVG is Google verplicht informatie te geven over de leveranciers die door Google worden gebruikt. Voor Nederlandse onderwijsinstellingen die Workspace for Education gebruiken, is Google verwerker geworden. De leveranciers worden daarom subverwerkers genoemd. Deze pagina met subverwerkers is specifiek voor Nederlandse onderwijsinstellingen gemaakt.
Op de nieuwe subprocessor pagina heeft Google een limitatieve lijst opgenomen met subverwerkers plus een toelichting over Customer Data en Service Data die door deze subverwerkers verwerkt wordt. Hoewel de informatievoorziening over subverwerkers hiermee is verbeterd, valt het volgende op:
a.) in de kolom ‘Activity’ voor subverwerkers die ‘Technical Support’ leveren verwijst Google naar de voorwaarden van die diensten. Indien de kolom ‘Activity’ bedoeld wordt als limitatieve lijst dan zijn wij het eens dat voldoende duidelijk is dat de subverwerkers niet ook nog andere activiteiten uitvoeren. Als Google doelt op de uitleg in de toelichting op de verwerking van Service Data, dan is dat op basis van de gepubliceerde tekst niet duidelijk dat / of die lijst limitatief is. Bovendien lijkt deze toelichting op de verwerking van Service Data enkel te zien op de activiteit ‘Technical Support’, en niet op de activiteiten ‘Service Maintenance’ en ‘Data Center Operations’. Wij vinden de uitleg die Google geeft over de activiteiten die verwerkers uitvoeren beperkt. Dit geldt vooral voor ‘Service Maintenance’ en ‘Data Center Operations’ en in mindere mate voor ‘Technical Support’, waar het niet duidelijk is of/dat de informatie in de toelichting op de verwerking van Service Data limitatief is. Hoewel verduidelijking van de tekst noodzakelijk is, zien wij geen reden dit op zichzelf als een hoog risico te kwalificeren
b.) de informatie van Google bevat geen algemene omschrijving van de Service Data; Google legt uit waarom subverwerkers Service Data verwerken en geeft bij elk van die doelen een voorbeeld inclusief Service Data. Google heeft geen informatie opgenomen over logs
Google is hiermee nog niet volledig transparant. Dat levert geen hoog privacyrisico op omdat de huidige tekst transparantie biedt over de leveranciers van Google en de gepubliceerde informatie een beeld geeft van de door subverwerkers verwerkte gegevens. Door middel van de doelomschrijving en de voorbeelden in de toelichting op de verwerking van Service Data, in combinatie met het feit dat de subverwerkers gebonden zijn aan de contractuele afspraken omtrent doelbeperking en verwerkersrol voor Service Data, classificeren we dit niet meer als een hoog risico. We blijven met Google in gesprek om de informatie over haar leveranciers te (blijven) verbeteren.