Google verhelpt 8 hoge privacyrisico's voor Workspace for Education

Google heeft ingestemd met belangrijke privacyverbeteringen in Google Workspace for Education- voor scholen en universiteiten in Nederland. Na intensieve onderhandelingen met vertegenwoordigers van de scholen en instellingen voor hoger onderwijs in Nederland heeft Google ermee ingestemd de hoge gegevensbeschermingsrisico's als gevolg van het gebruik van Google Workspace for Education te verlagen. Deze risico’s zijn beschreven in een DPIA die Privacy Company heeft uitgevoerd voor twee universiteiten.

Dankzij de positieve uitkomst van de onderhandelingen is mogelijke handhaving door de Autoriteit Persoonsgegevens (AP) voorkomen. Naar aanleiding van een vraag om advies van SIVON en SURF, de twee coöperaties die scholen en instellingen voor hoger onderwijs ondersteunen bij IT-aankopen, heeft de AP op 31 mei 2021 scholen gewaarschuwd. De AP heeft de verantwoordelijke twee ministers van Onderwijs geadviseerd om vóór de start van het nieuwe schooljaar te stoppen met het gebruik van Google Workspace for Education als de problemen niet konden worden opgelost. 

Meerderheid lagere scholen gebruikt Google Workspace for Education

In Nederland gebruikt 52% van de basisscholen en 36% van de middelbare scholen Google Workspace for Education, sommige faculteiten van 4 van de 14 universiteiten en 4 van de 36 door de overheid gefinancierde hogescholen, zo blijkt uit antwoorden op vragen van SURF en SIVON. In de praktijk zou het advies van de AP betekenen dat scholen en hun beheerders, die al overbelast zijn door een intensief jaar van online-onderwijs, tijdens hun zomervakantie hadden moeten overschakelen op nieuwe software.

Google zal de risico's beperken door een aantal maatregelen. De risico's zullen worden beperkt voor zowel de gratis (Fundamental) als de betaalde (Standard en Plus) versie van de diensten. De enige twee privacy-relevante verschillen tussen de gratis en de betaalde versie zijn dat betalende klanten ervoor kunnen kiezen om inhoudelijke gegevens in bepaalde Core Services alleen op te slaan in datacentra in de EU (en dus niet in de VS), en dat zij toegang hebben tot meer beveiligingsfuncties, zoals apparaat beheer. Parallel zijn onderhandelingen gevoerd door het Strategisch LeveranciersManagement van de Nederlandse Rijksoverheid (SLM Rijk). 

‍

Mitigerende maatregelen Google

De contractuele, organisatorische en technische maatregelen die Google treft om de 8 hoge gegevensbeschermingsrisico's te beperken, zijn uitvoerig beschreven in de Update DPIA voor SURF en SIVON en samengevat in een tabel aan het eind van dat rapport. Deze blog noemt vier highlights.

1. Google heeft ermee ingestemd op te treden als gegevensverwerker voor de Diagnostische Gegevens over het individuele gebruik van de diensten. In de rol van gegevensverwerker mag Google de persoonsgegevens alleen verwerken voor de drie (vaste) doeleinden waarvoor de scholen en universiteiten toestemming hebben gegeven, in plaats van de huidige 17 dynamische doeleinden. Google zal de persoonsgegevens van de Klant (dat wil zeggen, de leerlingen, studenten, leraren en systeembeheerders van de scholen en universiteiten)  en de Google Account gegevens in de Core Services alleen verwerken als gegevensverwerker, voor de drie hieronder genoemde doeleinden, en alleen wanneer dat noodzakelijk is: 

1. om de Services en Technische Ondersteuningsservices waarop de Klant geabonneerd is, te leveren, te onderhouden en te verbeteren;
2. om veiligheidsbedreigingen, risico's, bugs en andere anomalieën te identificeren, aan te pakken en te verhelpen
3. om updates te ontwikkelen, te leveren en te installeren voor de Diensten waarop de Klant geabonneerd is (met inbegrip van nieuwe functionaliteit met betrekking tot de Diensten waarop de Klant geabonneerd is).

Deze verbetering verlaagt drie van de bekende hoge risico's voor de gegevensbescherming: 

(i) verlies van controle over de Diagnostische Gegevens, omdat de doeleinden van Google niet specifiek waren, en vaag, en op elk moment konden worden gewijzigd, 

(ii) gebrek aan doelbinding van de Diagnostische Gegevens, omdat scholen en universiteiten Google niet konden instrueren om de gegevens alleen voor de door hen toegestane doelen te verwerken, en Google zich het recht voorbehield om leerlingen en studenten toestemming te vragen voor onbekende nieuwe doelen;

(iii) het ontbreken van een grondslag, omdat scholen geen rechtsgeldige, vrij gegeven, toestemming van de (ouders van de) kinderen kunnen verkrijgen. Vóór de onderhandelingen waren de scholen en universiteiten juridisch gezien gezamenlijk verantwoordelijk met Google voor de verwerking, maar noch Google noch de instellingen konden de gegevensverwerking baseren op een andere rechtsgrondslag dan toestemming.

De volledige aanpassing naar de rol van gegevensverwerker vergt aanzienlijke technische en organisatorische wijzigingen in de systemen en processen van Google en kan daarom niet van de ene dag op de andere worden doorgevoerd. De hoge risico's zullen echter voor het begin van het nieuwe schooljaar worden beperkt.
‍

2. Totdat Google een verwerkers-versie van de Chromebooks en de Chrome-browser aanbiedt, kunnen scholen en universiteiten risicobeperkende technische maatregelen nemen, zoals vermeld aan het eind van deze blogpost. Dat Google een verwerkersversie gaat ontwikkelen is een belangrijke toezegging, met name voor basisscholen in Nederland, aangezien veel scholen Chromebooks gebruiken en veel ouders tijdens de pandemie Chromebooks voor thuis hebben aangeschaft. Als verwerkingsverantwoordelijke staat Google zichzelf toe om de persoonsgegevens die via de Chromebook en de browser worden verzameld, zoals over het websurfgedrag van kinderen, te verwerken voor 33 brede commerciële doeleinden, waaronder veel marketingdoeleinden, gedragsadvertenties, bedrijfsontwikkeling en onderzoek.
‍

3. Google blijft de verantwoordelijke voor de diensten die zij Additional Services noemt, zoals YouTube, Search, Scholar, Photos en Maps. Zoals hierboven vermeld, staat Google zichzelf toe als verantwoordelijke om de persoonsgegevens te verwerken voor 33 brede commerciële doeleinden. Google beschermt kinderen en studenten wel wanneer zij Search gebruiken: zij worden automatisch uitgelogd van hun Workspace for Education account wanneer zij de zoekmachine gebruiken. Dit betekent dat Google deze gegevens behandelt alsof ze van een anonieme gebruiker afkomstig zijn. Hierdoor kan Google de gegevens niet gebruiken voor gepersonaliseerde advertenties. Helaas biedt Google deze privacybeschermende maatregel niet aan voor YouTube, Foto's, Scholar of Kaarten. Daarom moeten scholen en universiteiten gebruik maken van de optie om technisch de toegang te blokkeren tot de Additional Services voor de scholieren en studenten. Kinderen en studenten kunnen na zo'n blokkering nog steeds Google Search gebruiken, maar als ze andere Additional Services willen gebruiken, moeten zij een eigen (privé) Google account aanmaken. Scholen kunnen YouTube alleen blijven gebruiken als ze geselecteerde video's insluiten in de Core Services, zoals Classroom of Slides. Google heeft bevestigd dat alle cookies in zulke ‘embedded’ video’s zullen voldoen aan de overeengekomen maatregelen, uiterlijk voor aanvang van het nieuwe schooljaar.

4. Google heeft toegezegd transparanter te worden. Google zal aanzienlijk meer documentatie publiceren over de verschillende soorten persoonsgegevens die hij verzamelt over het individuele gebruik van zijn diensten (de Diagnostische Gegevens). Google zal een gegevensinspectietool ontwikkelen waarmee admins de documentatie kunnen vergelijken met de gegevens die daadwerkelijk door Google zijn opgeslagen. Google zal het ook eenvoudiger maken voor systeembeheerders om te voldoen aan verzoeken van leerlingen en studenten om toegang te krijgen tot gegevens. Tenslotte zal Google gedetailleerde informatie verstrekken over de subverwerkers voor de Diagnostische Gegevens.

Google heeft ingestemd met een veel langere lijst van gedetailleerde maatregelen. Deze worden in detail beschreven in het Update DPIA rapport. Samen beperken deze maatregelen alle bekende hoge privacyrisico's die in de oorspronkelijke DPIA zijn vastgesteld, maar alleen als de scholen en universiteiten het nieuwe contract tekenen met de privacywijzigingen, zij de aanbevolen (technische en organisatorische) maatregelen uitvoeren uit de checklist aan het eind van deze blogpost en ze beoordelen of er specifieke aanvullende risico's zijn die verband houden met hun type school en inzet.

Advies Autoriteit Persoonsgegevens

De oorspronkelijke DPIA werd opgeleverd in juni 2020, en bijgewerkt in maart 2021 na een eerste onderhandelingsronde met Google. Deze onderhandelingen leiden slechts tot het mitigeren van 2 van de 10 geïdentificeerde hoge risico's. Vanwege de resterende hoge risico's hebben SURF en SIVON advies gevraagd aan de AP. Zie de vorige blogpost over dit onderwerp: Onderzoek Google Workspace (G Suite) Enterprise: Rijk vraagt advies Autoriteit Persoonsgegevens over hoge privacyrisico’s. Google heeft deze diensten inmiddels hernoemd in Workspace for Education Fundamentals (de gratis versie) en de betaalde versies Workspace for Education Standard en Workspace for Education Plus.

De AP adviseert de scholen en de twee ministers van Onderwijs om een aantal maatregelen te nemen, waaronder een beoordeling van de specifieke risico's voor kinderen. Deze groep betrokkenen maakte geen deel uit van de oorspronkelijke DPIA (voor de twee universiteiten), maar zoals de AP opmerkt, is een zorgvuldige analyse vereist van de specifieke risico's voor kinderen, en van de impact die deze risico's hebben op kinderen van verschillende leeftijden. De Update DPIA bevat een apart hoofdstuk over de risico's voor drie leeftijdsgroepen van kinderen (leeftijd 6-9, 9-12 en 13-16), en beschrijft hoe scholen en universiteiten de resterende risico's kunnen mitigeren.

De AP benadrukt dat scholen een zelfstandige plicht hebben om een DPIA te doen. Zij kunnen niet volstaan met een verwijzing naar de initiële DPIA voor de twee universiteiten en de analyse in het update DPIA rapport. Elke school en universiteit is verantwoordelijk, en kan worden aangesproken, om mogelijke extra risico's voor de rechten en vrijheden van de leerlingen/studenten en medewerkers in kaart te brengen, en om te bepalen of het feitelijk gebruik van Workspace for Education AVG-proof is. SURF en SIVON hebben hulpmiddelen ontwikkeld voor de onderwijsinstellingen om hen te helpen aan deze verplichting te voldoen.

‍

CHECKLIST Risicobeperkende maatregelen voor systeembeheerders van scholen en universiteiten

Onderstaande maatregelen moeten in principe worden genomen door systeembeheerders van zowel scholen als universiteiten. De term 'scholen' omvat scholen in het basis- en voortgezet onderwijs in Nederland, inclusief scholen voor speciaal onderwijs. Google gebruikt de Amerikaanse term K-12, waarmee Google scholen bedoelt met leerlingen onder de 18 jaar. Wanneer de aanbevolen maatregelen verschillen, bijvoorbeeld omdat Google in de K-12 versie van Workspace for Education wat privacyvriendelijker instellingen gebruikt, wordt de verantwoordelijkheid toegewezen door het woord 'scholen' of 'universiteiten' te onderstrepen.

Algemene eisen

• Accepteer de nieuwe privacy-wijziging in het contract met Google (via een leverancier).
• Alle klanten van Google Workspace for Education moeten bepalen of zij zichzelf willen kwalificeren als K-12, en willen profiteren van met de privacyvriendelijker standaardinstellingen, of gebruik willen maken van het standaard aanbod voor Workspace for Education. 
• Scholen en universiteiten moeten hun eigen DPIA uitvoeren voor het gebruik van Google Workspace-diensten, Chromebooks en de Chrome-browser, op basis van de oorspronkelijke DPIA en de Update DPIA voor SIVON en SURF.
  ‍

Doelbinding

• Scholen mogen de toegang tot Additional Services (standaard uitgeschakeld in K-12) niet inschakelen. Zij moeten op beheerde apparaten/beheerde profielen het gelijktijdige gebruik van Google privé-accounts blokkeren in de Workspace-omgeving. Dit voorkomt het risico van overloop van inhoudelijke persoonsgegevens van de school naar de consumentenomgeving (en vice versa). Wanneer de toegang is geblokkeerd, kunnen leerlingen nog steeds Search gebruiken met automatische log-out (in SafeSearch-modus). 
• Docenten instrueren hoe ze YouTube-video's kunnen embedden in de Core Workspace Services Classroom en Slides in plaats van YouTube rechtstreeks te gebruiken.
• Universiteiten moeten de toegang tot de Additional Services uitschakelen, de toegang tot nieuwe Additional Services uitschakelen wanneer deze worden weergegeven in de Console, en op beheerde apparaten/beheerde profielen het gelijktijdige gebruik blokkeren van Google privé-accounts in de Workspace-omgeving. Studenten kunnen Search blijven gebruiken wanneer Additional Services zijn geblokkeerd, aangezien dit resulteert in automatisch uitloggen. Als studenten echter Scholar, YouTube of andere Additional Services willen gebruiken, moeten ze zich individueel bij Google aanmelden voor een consumentenaccount. Google, en niet de universiteiten, is verantwoordelijk voor het verkrijgen van geldige toestemming van studenten voor de gegevensverwerking in dergelijke Google privé-accounts.
• Universiteiten moeten de standaardinstelling van de Marktplaats wijzigen om te voorkomen dat derde partijen standaard toegang hebben tot inhoudelijke persoonsgegevens. Leerlingen van K-12 scholen kunnen standaard geen apps installeren.
• Universiteiten moeten studenten aanmoedigen om de incognito modus te gebruiken wanneer ze Scholar gebruiken, om te voorkomen dat ze samen met Google verantwoordelijk zijn voor de gegevensverwerking in de Additional Services en dat gegevens van de onderwijsomgeving naar de privé consumentenomgeving lekken.
• Universiteiten moeten studenten en docenten adviseren om de personalisatie van advertenties in het Google-account zelf uit te schakelen wanneer zij gebruik maken van Additional Services (standaard uitgeschakeld in K-12). Overweeg de instelling K-12 te kiezen om Ads Personalisation uit te schakelen voor alle bestaande en toekomstige eindgebruikers.
• Waarschuw admins om geen gebruik te maken van Google Support Services totdat Google een verwerker wordt voor de support tickets en bijlagen. Of (maak een beleid om) alleen geanonimiseerde verzoeken te versturen.
• Waarschuw leerlingen, studenten en docenten om de feedbackformulieren niet te gebruiken, of om geen gevoelige informatie en persoonlijke gegevens op te nemen in feedbackformulieren (ter compensatie van het ontbreken van een centrale privacy controle).
  ‍

Transparantie

• Scholen moeten leerlingen en ouders informeren dat zij het gebruik van privé Google-accounts op door school beheerde apparaten en profielen technisch kunnen blokkeren, maar het gebruik van privé Google-accounts op privé mobiele telefoons niet kunnen voorkomen. Google, en niet de scholen, is verantwoordelijk voor het verkrijgen van geldige toestemming van kinderen voor de gegevensverwerking in dergelijke Google privé-accounts.
• Informeer leerlingen en studenten op hoofdlijnen over de gegevensverwerking door Google in Workspace for Education, in het bijzonder over de privacyrisico's als gevolg van het gebruik van Additional Services.
• Informeer eindgebruikers over de verschillende soorten spellingscontrole.
• Informeer eindgebruikers dat als de profielfoto verdwijnt, dit betekent dat ze de privacy-beschermde Workspace for Education-omgeving hebben verlaten.
• Lees de implementatiehandleiding voor gegevensbescherming van Google Workspace for Education. 
• Gebruik het toekomstige hulpmiddel voor gegevensinspectie om de documentatie in het beloofde nieuwe Help Center-artikel van Google te vergelijken met de gegevens uit dit hulpmiddel. Beoordeel of risico's in de DPIA een update nodig hebben op basis van de resultaten van de inspectie van diagnostische gegevens.
• SURF en SIVON kunnen samen met SLM Rijk in een audit de juistheid beoordelen van de documentatie. 
• Bekijk de nieuwe auditlogs en gebruik de domeinbrede data-exportmogelijkheid in reactie op inzageverzoeken van betrokkenen, zodra deze nieuwe instrumenten beschikbaar zijn
• Als een leerling of student klaagt dat het antwoord op een inzageverzoek onvolledig is, is het aan de AP om te beoordelen of de argumenten van Google overtuigend zijn dat hij de gebruiker van de cookiegegevens niet kan identificeren, en in andere omstandigheden een beroep kan doen op de uitzonderingen in de AVG om geen inzage te verlenen.
  ‍

Chromebooks en de Chrome-browser

• Overweeg, totdat de verwerkersversie beschikbaar is [en is getest], een andere standaardbrowser te gebruiken (op apparaten die geen ChromeOS gebruiken).
• Pas de mitigerende maatregelen toe in de toekomstige DPIA over Chromebooks voor het onderwijs door Privacy Company voor SIVON (najaar 2021). Overweeg in de tussentijd de volgende centrale privacy verbeterende opties te gebruiken in de beheerconsole van Google en Chrome:

• Schakel Google Search uit als standaardzoekmachine
• Schakel het delen van diagnostische gegevens met Google om het Chrome OS te verbeteren uit
• Schakel het delen van diagnostische gegevens van apps en websites met Google om nieuwe inhoud voor te stellen uit
• Vereis geverifieerde toegang
• Selecteer centraal het standaard beveiligingsniveau voor Chromebooks (sta eindgebruikers niet toe om enhanced safe browsing in te schakelen)
• Verbied synchronisatie van gegevens met het Google-account in de Chrome-browser (Chrome Sync)
• Schakel het delen van gegevens met Google in de Chrome-browser om zoekopdrachten en browsen beter te maken uit (uploadt alle bezochte URL's)
• Schakel het delen van gegevens met Google in de Chrome-browser door automatische invulling van zoekopdrachten en URL’s uit (Autofill)
• Schakel het delen van gegevens met Google om functies en prestaties van de Chrome-browser te verbeteren uit
• Schakel het delen van gegevens met Google uitschakelen in de Chrome-browser via de Enhanced Spellchecker uit (sta eindgebruikers niet toe om deze functie in te schakelen)
• Blokkeer cookies en trackers van derde partijen in de Chrome-browser en overweeg het gebruik van een adblocker
  ‍

Controle over subverwerkers

• SURF en SIVON zullen de aanvullende informatie over de subverwerkers beoordelen zodra deze beschikbaar is en kunnen op basis van de uitkomsten van deze beoordeling handreikingen of aanbevelingen doen aan de onderwijsinstellingen. Onderwijsinstellingen dienen deze richtlijnen in de gaten te houden en op te volgen.
  ‍

Risico's met betrekking tot de doorgifte van gegevens naar de VS

• Accepteer de nieuwe SCC's voor gegevensoverdracht van Google zodra deze beschikbaar zijn. Voer een effectbeoordeling voor gegevensoverdracht uit (een Data Transfer Impact Assessment) met behulp van de input van de Update DPIA. Functionarissen Gegevensbescherming van de scholen en universiteiten kunnen contact opnemen met de speciale FG-helpdesk van de AP om advies te vragen over het gebruik van de nieuwe doorgifte-SCC's, als zij niet zeker weten of zij deze kunnen accepteren, aangezien de AVG mogelijk al van toepassing is op Google in de VS als importeur.
• Kies waar mogelijk voor gegevensopslag in de EU - overweeg over te stappen op Workspace for Education Standard of Plus.
• Overweeg het gebruik van de onlangs aangekondigde Workspace-encryptiefuncties voor gevoelige en vertrouwelijke gegevens in verband met mogelijk hoge risico's, zodra deze beschikbaar zijn.
• Waarschuw leerlingen, studenten en docenten om geen direct identificerende of vertrouwelijke namen te gebruiken in bestands- en padnamen van bestanden waaraan zij werken in Google Workspace, om mogelijk hoge risico's van gegevensoverdracht naar de VS te verlagen.

‍