Google biedt een breed pakket aan diensten aan. Het DPIA-onderzoek van SIVON richt zich op Google Workspace for Education.
Workspace for Education
In 2021 bleek uit een DPIA onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) dat er privacyrisico’s kleven aan het gebruik van Google G Suite (nu Workspace). In juli 2021 hebben SIVON en SURF een akkoord bereikt met Google. Daarmee zijn de hoge privacyrisico’s van Google Workspace for Education weggenomen. Lees de laatste update (mei 2022) over Workspace for Education.
Google Workspace aanbevolen beveiligingsinstellingen
Google Workspace biedt veel mogelijkheden om uw data te beschermen. In deze handleiding staan aanbevelingen hoe u de beveiliging optimaal kunt configureren.
Risico’s
Hieronder volgt een overzicht van de belangrijkste risico’s. Een volledige beschrijving van de risico’s vindt u in het DPIA-rapport.
De scope van de nieuwe Google overeenkomst beperkt zich tot de core Workspace diensten. Diensten zoals YouTube, maps, search en marketplace vallen hier niet onder. Voor deze diensten is Google nog steeds data controller en hebben scholen geen invloed op purpose limitation.
- mogelijke data “spil” tussen verschillende Google accounts;
- mogelijke data spil naar diensten waarvoor Google data controller is (onder andere enhanced spell checker);
- aanwezigheid gevoelige data in support tickets;
- persoonsgegevens in meta data (file names/folder names)
Maatregelen
Om Workspace for Education te blijven gebruiken, moet u zelf een aantal mitigerende maatregelen nemen:
- de juiste (technische) instellingen invoeren;
- de nieuwe Google voorwaarden accepteren;
- eigen specifieke restrisico’s in kaart brengen met een schoolspecifieke DPIA.
Bekijk de handleiding waarin staat hoe u deze maatregelen kunt doorvoeren.
Remediation
Om aan alle gestelde voorwaarden te voldoen gaat Google ook veranderingen aanbrengen in de dienst. Dit is de zogenaamde remediation-lijst “de nog te nemen maatregelen” na augustus 2021. De volledige Google mitigation list staat in het DPIA rapport.
| Toezegging | Status |
| Advertenties staan standaard uit | Completed |
| YouTube embedded player voldoet aan de nieuwe education voorwaarden | Completed |
| Purpose limitation diagnostic data | Completed |
| Onderbouwing door Google waarom bepaalde data ingeleverd kunnen worden bij inzage verzoeken | Deze informatie staat bij Data Access Request Form (url EN en NL), |
Artikelen over DPIA Google op sivon.nl
- Update mei 2022 (12 mei 2022)
- SIVON en SURF spreken Google aan op privacyrisico’s (10 maart 2021)
- Advies AP: Google Workspace op scholen kent teveel risico’s (8 juni 2021)
- Akkoord onderwijs met Google over privacyrisico’s (8 juli 2021)
- Google Workspace for Education blijven gebruiken? Voer eerst deze handelingen uit (23 augustus 2021)
- Privacy is de randvoorwaarde voor het gebruik van Google Workspace for Education (14 oktober 2021)
Updates Google Workspace for Education
Hou mij op de hoogte over de ontwikkelingen rondom Google Workspace for Education: