Alles over de DPIA's op Google Workspace & ChromeOS

Google biedt een breed pakket aan diensten aan. Het DPIA-onderzoek van SIVON richt zich op Google Workspace for Education en ChromeOS met Chromebrowser op Chrome devices. Op basis van de afspraken met Google en de verificatie door onze externe privacypartners, concludeerden SIVON en SURF in juli 2023 dat Google voldoende maatregelen heeft genomen om de hoge risico’s uit de DPIA van 2021 te verminderen. Scholen kunnen Google Workspace dus voorlopig blijven gebruiken.

Informatiebeveiliging en privacy zijn echter een continu proces. Dit betekent dat je als eindverantwoordelijk schoolbestuur op de hoogte moet zijn van de laatste stand van zaken. Op deze pagina vind je antwoorden op een aantal belangrijke vragen: wat is de laatste stand van zaken? Wat kun/moet je als schoolbestuur zelf doen? Hoe kun je met ouders en verzorgers communiceren? Uiteraard kun je bij ons terecht met al je vragen en blijven we samen met onze partners constant in gesprek en onderhandeling met Google en andere techbedrijven en leveranciers

Stand van zaken Google Workspace for Education

In 2021 bleek uit een DPIA-onderzoek in opdracht van Rijksuniversiteit Groningen (RUG) en Hogeschool van Amsterdam (HvA) dat aan het gebruik van Google G Suite (nu Workspace) een aantal hoge privacyrisico’s kleven. In juli 2021 bereikten SIVON en SURF een  akkoord met Google over de maatregelen die Google moest nemen om deze risico’s zoveel mogelijk weg te nemen. In december 2022 leverde Google deze maatregelen op, maar na verificatie bleken deze inspanningen nog onvoldoende; hierover lees je meer in de update van april 2023.
Google heeft de resterende punten uiteindelijk volgens afspraak en binnen de deadline van 9 juni 2023 opgeleverd. Op basis van de afspraken met Google en de verificatie door onze externe privacypartners, concluderen SIVON en SURF dat scholen Google Workspace voorlopig kunnen blijven gebruiken.

Let op: om Google Workspace for Education veilig te blijven gebruiken, moet je als school zelf een aantal mitigerende maatregelen nemen (stap 1 en 2 heb je als het goed is al in 2021 doorgevoerd): 

voer de juiste (technische) instellingen uit door gebruik te maken van de instructies in deze  handleiding;
accepteer de educatievoorwaarden van Google;
informeer de medezeggenschapsraad en raad van toezicht met behulp van deze voorbeeldbrief;
infomeer medewerkers met behulp van deze voorbeeldbrief;
informeer ouders/verzorgers met met behulp van deze voorbeeldbrief;
breng eigen specifieke restrisico’s in kaart met een lokale DPIA (gebruik hiervoor de handreiking);
neem kennis van de aanvullende uitleg over transparantie van gegevensverwerkingen door Google Workspace for Education (bekijk hiervoor deze pagina);
neem de door Google Workspace aanbevolen beveiligingsinstellingen over zoals beschreven in deze handleiding met aanbevelingen.

Schoolbesturen zijn en blijven eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; jij besluit welke toepassingen jouw school gebruikt en onder welke voorwaarden. Binnenkort (voor eind juli) volgt het volledig geüpdatete verificatierapport met alle in 2021 geconstateerde privacyrisico’s en de door Google genomen maatregelen om deze af te dekken. Met dit rapport kun je als school zelf de afweging maken over het gebruik van Google Workspace.

Stand van zaken Google Chrome

In mei 2023 hebben SIVON en SURF overeenstemming bereikt met Google over de nieuwe Terms of Service (ToS) voor het gebruik van Chrome OS en Chrome-browser voor Chromebooks. Nadat je als schoolbestuur deze overeenkomst hebt geaccepteerd en de Chromebooks in beheer hebt genomen, is Google verwerker en ben jij als schoolbestuur verwerkersverantwoordelijke voor de verwerking van persoonsgegevens op Chromebooks (die draaien op ChromeOS) en in Chrome-browsers (die draaien op Chromebooks). Door deze overeenkomst te accepteren en bijbehorende maatregelen door te voeren, beperk je de privacyrisico’s voor scholieren en medewerkers bij het gebruik van Chromebooks met ChromeOS en de Chrome-browser.