Google heeft ingestemd met belangrijke privacyverbeteringen in Google Workspace for Education- voor scholen en universiteiten in Nederland. Na intensieve onderhandelingen met vertegenwoordigers van de scholen en instellingen voor hoger onderwijs in Nederland heeft Google ermee ingestemd de hoge gegevensbeschermingsrisico's als gevolg van het gebruik van Google Workspace for Education te verlagen. Deze risico’s zijn beschreven in een DPIA die Privacy Company heeft uitgevoerd voor twee universiteiten.
Dankzij de positieve uitkomst van de onderhandelingen is mogelijke handhaving door de Autoriteit Persoonsgegevens (AP) voorkomen. Naar aanleiding van een vraag om advies van SIVON en SURF, de twee coöperaties die scholen en instellingen voor hoger onderwijs ondersteunen bij IT-aankopen, heeft de AP op 31 mei 2021 scholen gewaarschuwd. De AP heeft de verantwoordelijke twee ministers van Onderwijs geadviseerd om vóór de start van het nieuwe schooljaar te stoppen met het gebruik van Google Workspace for Education als de problemen niet konden worden opgelost.
In Nederland gebruikt 52% van de basisscholen en 36% van de middelbare scholen Google Workspace for Education, sommige faculteiten van 4 van de 14 universiteiten en 4 van de 36 door de overheid gefinancierde hogescholen, zo blijkt uit antwoorden op vragen van SURF en SIVON. In de praktijk zou het advies van de AP betekenen dat scholen en hun beheerders, die al overbelast zijn door een intensief jaar van online-onderwijs, tijdens hun zomervakantie hadden moeten overschakelen op nieuwe software.
Google zal de risico's beperken door een aantal maatregelen. De risico's zullen worden beperkt voor zowel de gratis (Fundamental) als de betaalde (Standard en Plus) versie van de diensten. De enige twee privacy-relevante verschillen tussen de gratis en de betaalde versie zijn dat betalende klanten ervoor kunnen kiezen om inhoudelijke gegevens in bepaalde Core Services alleen op te slaan in datacentra in de EU (en dus niet in de VS), en dat zij toegang hebben tot meer beveiligingsfuncties, zoals apparaat beheer. Parallel zijn onderhandelingen gevoerd door het Strategisch LeveranciersManagement van de Nederlandse Rijksoverheid (SLM Rijk).
De contractuele, organisatorische en technische maatregelen die Google treft om de 8 hoge gegevensbeschermingsrisico's te beperken, zijn uitvoerig beschreven in de Update DPIA voor SURF en SIVON en samengevat in een tabel aan het eind van dat rapport. Deze blog noemt vier highlights.
1. Google heeft ermee ingestemd op te treden als gegevensverwerker voor de Diagnostische Gegevens over het individuele gebruik van de diensten. In de rol van gegevensverwerker mag Google de persoonsgegevens alleen verwerken voor de drie (vaste) doeleinden waarvoor de scholen en universiteiten toestemming hebben gegeven, in plaats van de huidige 17 dynamische doeleinden. Google zal de persoonsgegevens van de Klant (dat wil zeggen, de leerlingen, studenten, leraren en systeembeheerders van de scholen en universiteiten) en de Google Account gegevens in de Core Services alleen verwerken als gegevensverwerker, voor de drie hieronder genoemde doeleinden, en alleen wanneer dat noodzakelijk is:
Deze verbetering verlaagt drie van de bekende hoge risico's voor de gegevensbescherming:
(i) verlies van controle over de Diagnostische Gegevens, omdat de doeleinden van Google niet specifiek waren, en vaag, en op elk moment konden worden gewijzigd,
(ii) gebrek aan doelbinding van de Diagnostische Gegevens, omdat scholen en universiteiten Google niet konden instrueren om de gegevens alleen voor de door hen toegestane doelen te verwerken, en Google zich het recht voorbehield om leerlingen en studenten toestemming te vragen voor onbekende nieuwe doelen;
(iii) het ontbreken van een grondslag, omdat scholen geen rechtsgeldige, vrij gegeven, toestemming van de (ouders van de) kinderen kunnen verkrijgen. Vóór de onderhandelingen waren de scholen en universiteiten juridisch gezien gezamenlijk verantwoordelijk met Google voor de verwerking, maar noch Google noch de instellingen konden de gegevensverwerking baseren op een andere rechtsgrondslag dan toestemming.
De volledige aanpassing naar de rol van gegevensverwerker vergt aanzienlijke technische en organisatorische wijzigingen in de systemen en processen van Google en kan daarom niet van de ene dag op de andere worden doorgevoerd. De hoge risico's zullen echter voor het begin van het nieuwe schooljaar worden beperkt.
2. Totdat Google een verwerkers-versie van de Chromebooks en de Chrome-browser aanbiedt, kunnen scholen en universiteiten risicobeperkende technische maatregelen nemen, zoals vermeld aan het eind van deze blogpost. Dat Google een verwerkersversie gaat ontwikkelen is een belangrijke toezegging, met name voor basisscholen in Nederland, aangezien veel scholen Chromebooks gebruiken en veel ouders tijdens de pandemie Chromebooks voor thuis hebben aangeschaft. Als verwerkingsverantwoordelijke staat Google zichzelf toe om de persoonsgegevens die via de Chromebook en de browser worden verzameld, zoals over het websurfgedrag van kinderen, te verwerken voor 33 brede commerciële doeleinden, waaronder veel marketingdoeleinden, gedragsadvertenties, bedrijfsontwikkeling en onderzoek.
3. Google blijft de verantwoordelijke voor de diensten die zij Additional Services noemt, zoals YouTube, Search, Scholar, Photos en Maps. Zoals hierboven vermeld, staat Google zichzelf toe als verantwoordelijke om de persoonsgegevens te verwerken voor 33 brede commerciële doeleinden. Google beschermt kinderen en studenten wel wanneer zij Search gebruiken: zij worden automatisch uitgelogd van hun Workspace for Education account wanneer zij de zoekmachine gebruiken. Dit betekent dat Google deze gegevens behandelt alsof ze van een anonieme gebruiker afkomstig zijn. Hierdoor kan Google de gegevens niet gebruiken voor gepersonaliseerde advertenties. Helaas biedt Google deze privacybeschermende maatregel niet aan voor YouTube, Foto's, Scholar of Kaarten. Daarom moeten scholen en universiteiten gebruik maken van de optie om technisch de toegang te blokkeren tot de Additional Services voor de scholieren en studenten. Kinderen en studenten kunnen na zo'n blokkering nog steeds Google Search gebruiken, maar als ze andere Additional Services willen gebruiken, moeten zij een eigen (privé) Google account aanmaken. Scholen kunnen YouTube alleen blijven gebruiken als ze geselecteerde video's insluiten in de Core Services, zoals Classroom of Slides. Google heeft bevestigd dat alle cookies in zulke ‘embedded’ video’s zullen voldoen aan de overeengekomen maatregelen, uiterlijk voor aanvang van het nieuwe schooljaar.
4. Google heeft toegezegd transparanter te worden. Google zal aanzienlijk meer documentatie publiceren over de verschillende soorten persoonsgegevens die hij verzamelt over het individuele gebruik van zijn diensten (de Diagnostische Gegevens). Google zal een gegevensinspectietool ontwikkelen waarmee admins de documentatie kunnen vergelijken met de gegevens die daadwerkelijk door Google zijn opgeslagen. Google zal het ook eenvoudiger maken voor systeembeheerders om te voldoen aan verzoeken van leerlingen en studenten om toegang te krijgen tot gegevens. Tenslotte zal Google gedetailleerde informatie verstrekken over de subverwerkers voor de Diagnostische Gegevens.
Google heeft ingestemd met een veel langere lijst van gedetailleerde maatregelen. Deze worden in detail beschreven in het Update DPIA rapport. Samen beperken deze maatregelen alle bekende hoge privacyrisico's die in de oorspronkelijke DPIA zijn vastgesteld, maar alleen als de scholen en universiteiten het nieuwe contract tekenen met de privacywijzigingen, zij de aanbevolen (technische en organisatorische) maatregelen uitvoeren uit de checklist aan het eind van deze blogpost en ze beoordelen of er specifieke aanvullende risico's zijn die verband houden met hun type school en inzet.
De oorspronkelijke DPIA werd opgeleverd in juni 2020, en bijgewerkt in maart 2021 na een eerste onderhandelingsronde met Google. Deze onderhandelingen leiden slechts tot het mitigeren van 2 van de 10 geïdentificeerde hoge risico's. Vanwege de resterende hoge risico's hebben SURF en SIVON advies gevraagd aan de AP. Zie de vorige blogpost over dit onderwerp: Onderzoek Google Workspace (G Suite) Enterprise: Rijk vraagt advies Autoriteit Persoonsgegevens over hoge privacyrisico’s. Google heeft deze diensten inmiddels hernoemd in Workspace for Education Fundamentals (de gratis versie) en de betaalde versies Workspace for Education Standard en Workspace for Education Plus.
De AP adviseert de scholen en de twee ministers van Onderwijs om een aantal maatregelen te nemen, waaronder een beoordeling van de specifieke risico's voor kinderen. Deze groep betrokkenen maakte geen deel uit van de oorspronkelijke DPIA (voor de twee universiteiten), maar zoals de AP opmerkt, is een zorgvuldige analyse vereist van de specifieke risico's voor kinderen, en van de impact die deze risico's hebben op kinderen van verschillende leeftijden. De Update DPIA bevat een apart hoofdstuk over de risico's voor drie leeftijdsgroepen van kinderen (leeftijd 6-9, 9-12 en 13-16), en beschrijft hoe scholen en universiteiten de resterende risico's kunnen mitigeren.
De AP benadrukt dat scholen een zelfstandige plicht hebben om een DPIA te doen. Zij kunnen niet volstaan met een verwijzing naar de initiële DPIA voor de twee universiteiten en de analyse in het update DPIA rapport. Elke school en universiteit is verantwoordelijk, en kan worden aangesproken, om mogelijke extra risico's voor de rechten en vrijheden van de leerlingen/studenten en medewerkers in kaart te brengen, en om te bepalen of het feitelijk gebruik van Workspace for Education AVG-proof is. SURF en SIVON hebben hulpmiddelen ontwikkeld voor de onderwijsinstellingen om hen te helpen aan deze verplichting te voldoen.
Onderstaande maatregelen moeten in principe worden genomen door systeembeheerders van zowel scholen als universiteiten. De term 'scholen' omvat scholen in het basis- en voortgezet onderwijs in Nederland, inclusief scholen voor speciaal onderwijs. Google gebruikt de Amerikaanse term K-12, waarmee Google scholen bedoelt met leerlingen onder de 18 jaar. Wanneer de aanbevolen maatregelen verschillen, bijvoorbeeld omdat Google in de K-12 versie van Workspace for Education wat privacyvriendelijker instellingen gebruikt, wordt de verantwoordelijkheid toegewezen door het woord 'scholen' of 'universiteiten' te onderstrepen.
Algemene eisen
Doelbinding
Transparantie
Chromebooks en de Chrome-browser
Controle over subverwerkers
Risico's met betrekking tot de doorgifte van gegevens naar de VS