Google biedt een breed pakket aan diensten aan. Het DPIA-onderzoek van SIVON en SURF richt zich op Google Workspace for Education en ChromeOS met Chromebrowser op Chrome devices. Google Workspace kan veilig gebruikt worden binnen het onderwijs. Dat meldt het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) op basis van onderzoek van SURF en SIVON op 27 juni 2024 aan de Tweede Kamer. De afgelopen jaren onderzochten SURF en SIVON de data en privacyrisico’s bij het gebruik van Google Workspace in het onderwijs. Voor veilig gebruik moeten scholen wel zelf maatregelen nemen. SURF en SIVON ondersteunen de scholen hierbij.
Lees meer over het veilig gebruik kunnen maken van Google Workspace for Education en ChromeOS.
Informatiebeveiliging en privacy zijn echter een continu proces. Dit betekent dat je als eindverantwoordelijk schoolbestuur op de hoogte moet zijn van de laatste stand van zaken. Op deze pagina vind je antwoorden op een aantal belangrijke vragen: wat is de laatste stand van zaken? Wat kun/moet je als schoolbestuur zelf doen? Hoe kun je met ouders en verzorgers communiceren? Uiteraard kun je bij ons terecht met al je vragen en blijven we samen met onze partners constant in gesprek en onderhandeling met Google en andere techbedrijven en leveranciers
Mitigerende maatregelen die je als school moet nemen
Let op: om Google Workspace for Education veilig te blijven gebruiken, moet je als school zelf een aantal mitigerende maatregelen nemen.
- Voer de juiste (technische) instellingen uit door gebruik te maken van de instructies in de handleiding Google Workspace for Education 2024 (update van handleiding 2021).
- Accepteer de educatievoorwaarden van Google (is als het goed is al in 2021 doorgevoerd).
- Voer de lokale DPIA uit.
- Informeer de medezeggenschapsraad en raad van toezicht met behulp van deze voorbeeldbrief.
- Infomeer medewerkers met behulp van deze voorbeeldbrief.
- Informeer ouders/verzorgers met met behulp van deze voorbeeldbrief.
- Breng eigen specifieke restrisico’s in kaart met een lokale DPIA (gebruik hiervoor de handreiking).
- Neem kennis van de aanvullende uitleg over transparantie van gegevensverwerkingen door Google Workspace for Education (bekijk hiervoor deze pagina).
- Neem de door Google Workspace aanbevolen beveiligingsinstellingen over zoals beschreven in deze handleiding met aanbevelingen.
Schoolbesturen zijn en blijven eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; jij besluit welke toepassingen jouw school gebruikt en onder welke voorwaarden.
Stand van zaken Google Chrome
In mei 2023 hebben SIVON en SURF overeenstemming bereikt met Google over de nieuwe Terms of Service (ToS) voor het gebruik van Chrome OS en Chrome-browser voor Chromebooks. Nadat je als schoolbestuur deze overeenkomst hebt geaccepteerd en de Chromebooks in beheer hebt genomen, is Google verwerker en ben jij als schoolbestuur verwerkersverantwoordelijke voor de verwerking van persoonsgegevens op Chromebooks (die draaien op ChromeOS) en in Chrome-browsers (die draaien op Chromebooks). Door deze overeenkomst te accepteren en bijbehorende maatregelen door te voeren, beperk je de privacyrisico’s voor scholieren en medewerkers bij het gebruik van Chromebooks met ChromeOS en de Chrome-browser.
Update 27 juni 2024
Google heeft op verzoek een speciale modus in ChromeOS ontwikkeld, waardoor ook dit veilig te gebruiken blijft binnen het onderwijs. Schoolbesturen dienen wel zelf nog maatregelen te nemen om ChromeOS veilig te kunnen gebruiken. SIVON en SURF hebben een handleiding geschreven om scholen te ondersteunen bij het doorvoeren van de maatregelen.
Alle belangrijke documenten op een rij
Downloads juni 2024
- Handleiding ChromeOS en Chromebrowser 2024
- Technische handleiding voor Google Workspace for Education
- Lokale DPIA
- DTIA Google Meet Workspace for Education
- New findings verification review Google Workspace for Education
- Updated Verification Report Workspace for Education
- Verification report Processor version Google Chrome for education
- voorbeeldbrief medezeggenschapsraad en raad van toezicht
- voorbeeldbrief medewerkers
- voorbeeldbrief ouders/verzorgers
Workspace for Education
- update DPIA-rapport Google Workspace for Education (van 2 augustus 2021)
- verificatierapport DPIA Google Workspace for Education
- uitleg transparantie gegevensverwerkingen Google Workspace voor Education
- handreiking lokale DPIA Workspace for Education 2023
- technische handleiding Google Workspace for Education
Chrome
Proces afgelopen jaren
In 2021 bleek uit een DPIA-onderzoek in opdracht van Rijksuniversiteit Groningen (RUG) en Hogeschool van Amsterdam (HvA) dat aan het gebruik van Google G Suite (nu Workspace) een aantal hoge privacyrisico’s kleven. In juli 2021 bereikten SIVON en SURF een akkoord met Google over de maatregelen die Google moest nemen om deze risico’s zoveel mogelijk weg te nemen. In december 2022 leverde Google deze maatregelen op, maar na verificatie bleken deze inspanningen nog onvoldoende; hierover lees je meer in de update van april 2023.
Google heeft de resterende punten uiteindelijk volgens afspraak en binnen de deadline van 9 juni 2023 opgeleverd. Op basis van de afspraken met Google en de verificatie door onze externe privacypartners, concluderen SIVON en SURF dat scholen Google Workspace voorlopig kunnen blijven gebruiken.
De afgelopen jaren namen SIVON en SURF Google Workspace voor gebruik binnen het onderwijs en onderzoek onder de loep. Via zogeheten DPIA’s en DTIA’s werd onderzocht of er privacyrisico’s waren bij het gebruik van Workspace en Chrome OS. In deze onderzoeken wordt zowel een juridische toets gedaan als dat er technisch wordt gekeken naar hoe persoonsgegevens binnen de toepassingen worden gebruikt. Het volledige traject van Google Workspace en Chrome OS is na 4 jaar afgerond. SURF en SIVON blijven met Google in gesprek om te controleren of Google blijft voldoen aan de gemaakte afspraken.
