Alles over de DPIA’s op Google Workspace & ChromeOS

Google biedt een breed pakket aan diensten aan. Het DPIA-onderzoek van SIVON en SURF richt zich op Google Workspace for Education en ChromeOS met Chromebrowser op Chrome devices. Google Workspace kan veilig gebruikt worden binnen het onderwijs. Dat meldt het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) op basis van onderzoek van SURF en SIVON op 27 juni 2024 aan de Tweede Kamer. De afgelopen jaren onderzochten SURF en SIVON de data en privacyrisico’s bij het gebruik van Google Workspace in het onderwijs. Voor veilig gebruik moeten scholen wel zelf maatregelen nemen. SURF en SIVON ondersteunen de scholen hierbij. 

Lees meer over het veilig gebruik kunnen maken van Google Workspace for Education en ChromeOS.

Informatiebeveiliging en privacy zijn echter een continu proces. Dit betekent dat je als eindverantwoordelijk schoolbestuur op de hoogte moet zijn van de laatste stand van zaken. Op deze pagina vind je antwoorden op een aantal belangrijke vragen: wat is de laatste stand van zaken? Wat kun/moet je als schoolbestuur zelf doen? Hoe kun je met ouders en verzorgers communiceren? Uiteraard kun je bij ons terecht met al je vragen en blijven we samen met onze partners constant in gesprek en onderhandeling met Google en andere techbedrijven en leveranciers.

Mitigerende maatregelen die je als school moet nemen

Let op: om Google Workspace for Education veilig te blijven gebruiken, moet je als school zelf een aantal mitigerende maatregelen nemen.

  1. Voer de juiste (technische) instellingen uit door gebruik te maken van de instructies in de handleiding Google Workspace for Education 2024 (update van handleiding 2021).
  2. Accepteer de educatievoorwaarden van Google (is als het goed is al in 2021 doorgevoerd).
  3. Voer de lokale DPIA uit.
  4. Informeer de medezeggenschapsraad en raad van toezicht met behulp van deze voorbeeldbrief.
  5. Infomeer medewerkers met behulp van deze voorbeeldbrief.
  6. Informeer ouders/verzorgers met met behulp van deze voorbeeldbrief.
  7. Breng eigen specifieke restrisico’s in kaart met een lokale DPIA (gebruik hiervoor de handreiking).
  8. Neem kennis van de aanvullende uitleg over transparantie van gegevensverwerkingen door Google Workspace for Education (bekijk hiervoor deze pagina).
  9. Neem de door Google Workspace aanbevolen beveiligingsinstellingen over zoals beschreven in deze handleiding met aanbevelingen.

Schoolbesturen zijn en blijven eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; jij besluit welke toepassingen jouw school gebruikt en onder welke voorwaarden.

Stand van zaken Google Chrome

In mei 2023 hebben SIVON en SURF overeenstemming bereikt met Google over de nieuwe Terms of Service (ToS) voor het gebruik van Chrome OS en Chrome-browser voor Chromebooks. Nadat je als schoolbestuur deze overeenkomst hebt geaccepteerd en de Chromebooks in beheer hebt genomen, is Google verwerker en ben jij als schoolbestuur verwerkersverantwoordelijke voor de verwerking van persoonsgegevens op Chromebooks (die draaien op ChromeOS) en in Chrome-browsers (die draaien op Chromebooks). Door deze overeenkomst te accepteren en bijbehorende maatregelen door te voeren, beperk je de privacyrisico’s voor scholieren en medewerkers bij het gebruik van Chromebooks met ChromeOS en de Chrome-browser. 

Update 27 juni 2024

Google heeft op verzoek een speciale modus in ChromeOS ontwikkeld, waardoor ook dit veilig te gebruiken blijft binnen het onderwijs. Schoolbesturen dienen wel zelf nog maatregelen te nemen om ChromeOS veilig te kunnen gebruiken. SIVON en SURF hebben een handleiding geschreven om scholen te ondersteunen bij het doorvoeren van de maatregelen.  

Update 9 oktober 2024

SIVON heeft op 23 september 2024 een overeenkomst gesloten met Google om het voor schoolbesturen laagdrempeliger te maken om over te stappen naar een betaalde versie zodat alle noodzakelijke instellingen kunnen worden aangepast. Deze overeenkomst voor het funderend onderwijs geldt alleen voor de Plus licentie van Google Workspace for Education en is beschikbaar gesteld voor alle resellers van Google Workspace for Education. De Standard licentie voldoet ook om alle maatregelen te nemen, maar daarvoor biedt Google geen korting aan.

Additionele korting voor SIVON leden  
 
SIVON probeert door een collectieve inkoop bij marktpartijen extra korting te bedingen voor zowel de Standard als Plus licentie.
We zijn het traject voor collectieve inkoop op dit moment aan het voorbereiden en raden leden van SIVON aan om de resultaten hiervan af te wachten. Wanneer je als school afwacht, kan je dit aangeven in je lokale DPIA. Over de uitkomsten van dit traject melden we medio november meer.  

Lees het hele bericht.  

Alle belangrijke documenten op een rij

Downloads juni 2024

Workspace for Education

Chrome

Proces afgelopen jaren

In 2021 bleek uit een DPIA-onderzoek in opdracht van Rijksuniversiteit Groningen (RUG) en Hogeschool van Amsterdam (HvA) dat aan het gebruik van Google G Suite (nu Workspace) een aantal hoge privacyrisico’s kleven. In juli 2021 bereikten SIVON en SURF een  akkoord met Google over de maatregelen die Google moest nemen om deze risico’s zoveel mogelijk weg te nemen. In december 2022 leverde Google deze maatregelen op, maar na verificatie bleken deze inspanningen nog onvoldoende; hierover lees je meer in de update van april 2023.
Google heeft de resterende punten uiteindelijk volgens afspraak en binnen de deadline van 9 juni 2023 opgeleverd. Op basis van de afspraken met Google en de verificatie door onze externe privacypartners, concluderen SIVON en SURF dat scholen Google Workspace voorlopig kunnen blijven gebruiken.

De afgelopen jaren namen SIVON en SURF Google Workspace voor gebruik binnen het onderwijs en onderzoek onder de loep. Via zogeheten DPIA’s en DTIA’s werd onderzocht of er privacyrisico’s waren bij het gebruik van Workspace en Chrome OS. In deze onderzoeken wordt zowel een juridische toets gedaan als dat er technisch wordt gekeken naar hoe persoonsgegevens binnen de toepassingen worden gebruikt. Het volledige traject van Google Workspace en Chrome OS is na 4 jaar afgerond. SURF en SIVON blijven met Google in gesprek om te controleren of Google blijft voldoen aan de gemaakte afspraken.