Google komt met een verwerkersversie van Chrome OS en browser. Deze versie is alleen beschikbaar op Chrome OS-devices die met een Chrome Enterprise licentie onder beheer staan. De verwerkersversie van Chrome browser is alleen beschikbaar voor browsers op een Chrome OS – device.
Risico’s
Het DPIA onderzoek op Chrome OS en Chrome browser is nog niet afgerond. In het DPIA-rapport Google Workspace for Education zijn maatregelen genoemd om de risico’s van het gebruik van ChromeOS in combinatie met Workspace te mitigreren. Deze risico’s kunnen weggenomen worden door de verwerkersversie van Chrome OS.
Ter verduidelijking: Chrome device management wordt uitgevoerd in Google workspace
Maatregelen:
- gebruik geen Google search;
- zet sharing van diagnostic data uit ter verbetering van Chrome OS;
- zet sharing van diagnostic data uit voor nieuwe content suggesties;
- dwing verified access af;
- selecteer het standaard security niveau van Chromebooks (disable enhance safe browsing);
- zet Chrome Sync uit;
- zet auto fill uit;
- zet data sharing uit voor betere zoek ervaring;
- zet data sharing uit voor betere performance;
- zet enhanced spell checker uit;
- blokkeer third party cookies.
Verwerkersversies Google ChromeOS en Chrome browser
Begin 2022 is SIVON gestart met een onderzoek naar mogelijke privacy issues binnen het besturingssysteem ChromeOS en de internetbrowser Chrome. Google heeft inmiddels in een publiek statement aangegeven een verwerkersversie te ontwikkelen. Met deze belangrijke koerswijziging behouden organisaties zoals onderwijsinstellingen volledige controle over de persoonsgegevens die binnen ChromeOS door Google worden verwerkt. Belangrijk om te vermelden is dat de verwerkersversie van ChromeOS alleen beschikbaar is voor Chromebooks die centraal worden beheerd via een Workspace account. De verwerkersversie is dus niet van toepassing op Chromebooks die niet via een Workspace account worden beheerd, en ook niet voor Chromebrowsers geïnstalleerd op Windows of Apple apparaten. Het gebruik van de Chrome browser op deze apparaten is niet onderzocht.
SIVON verwacht haar onderwijsinstellingen in de loop van het vierde kwartaal van 2022 een nieuwe verwerkersovereenkomst (‘terms of service’) voor ChromeOS en Chrome browser aan te kunnen bieden. SIVON en Google leggen de aanpassingen binnen ChromeOS vast in een zogenaamd commitment plan. Het ontwikkelen van een verwerkersversie voor ChromeOS vraagt van Google veel aanpassingen in de code van de bestaande software/code. Een (eerste) versie verwachten we rond augustus 2023. Deze versie is voldoende om de bestaande privacy risico’s te beperken.
Lokale DPIA door scholen
De afspraken die SIVON, SURF en SLM Rijk met Google hebben gemaakt, zijn alleen van toepassing als onderwijsinstellingen deze afspraken zelf ook accepteren. Vorig jaar hebben scholen een aangepaste overeenkomst ontvangen van Google. Aan het einde van dit jaar zullen scholen ook een aangepaste overeenkomst (’terms of service’) ontvangen voor ChromeOS en Chrome browser. Het is daarnaast belangrijk dat scholen zelf een schoolspecifieke (‘lokale’) DPIA uitvoeren. Scholen beoordelen daarin zelf of het gebruik van Workspace for Education (Plus) – en straks ChromeOS en Chrome-browser – in voldoende mate invulling geeft aan de bescherming van persoonsgegevens conform de AVG. SURF en SIVON hebben onderwijsinstellingen voor Workspace for Education hiervoor een compleet pakket aan documenten ter beschikking gesteld. Voor ChromeOS en Chrome browser wordt dit volgend jaar gepubliceerd.