Rijk vraagt advies bij AP over privacyrisico's Google Workspace Enterprise

February 23, 2021

In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van G Suite Enterprise, met werk- en communicatie apps zoals Gmail, Chat, Meet, Forms, Docs en Slides. Inmiddels heeft Google deze diensten hernoemd in Google Workspace.


Wij publiceren deze blog over onze bevindingen met toestemming van het Ministerie van Justitie en Veiligheid. De minister heeft een
brief aan de Tweede Kamer gestuurd met de resultaten van deze DPIA. Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via de perswoordvoering van het Ministerie van Justitie, 070 370 73 45.


Onderzochte Google-diensten

Privacy Company heeft technisch en juridisch onderzoek gedaan naar de gegevens die Google verwerkt als je Google Workspace gebruikt op mobieltjes met het iOS en Android besturingssysteem, op een Chromebook met ChromeOS, op Macbook en op laptops met Windows 10. Je kunt de diensten gebruiken door aparte apps te installeren, maar je kunt ze ook online met een browser gebruiken. In deze Data Protection Impact Assessment (DPIA) is Google’s eigen browser Chrome gebruikt. De DPIA analyseert ook wat er gebeurt als je ingebouwde microdiensten (Features) gebruikt zoals de spellingchecker, en als je vanuit de kerndiensten andere bekende Google-diensten gebruikt zoals Maps, de zoekmachine en YouTube.

Speciale privacyvoorwaarden Rijksoverheid

SLM Rijk, heeft na afronding van de DPIA onderhandeld met Google over aanscherping van de privacyvoorwaarden om de hoge risico’s te beperken. Het gaat om de zakelijke (Enterprise) versie van de Google Workspace diensten. Het Rijk wil de mogelijkheid creëeren die diensten in de toekomst kunnen gebruiken als alternatief voor de Microsoft Office diensten.

Als resultaat van de onderhandelingen heeft Google haar rol verduidelijkt als verwerker voor de zogenaamde Customer Content Data. Dat zijn de inhoudelijke gegevens die klanten verwerken in de kerndiensten, zoals de inhoud van videocalls, e-mails en documenten. De rol van verwerker geldt ook voor het gebruik van ingebouwde microdiensten zoals de spellingchecker (Features) en voor het gebruik van het Google werk-account in de kerndiensten van Google Workspace. In de kerndiensten beperkt Google de verwerking van de Customer Content Data tot drie doelen.

De drie doelen zijn:

1. Het leveren en verbeteren van de diensten;

2. Het identificeren en mitigeren van security risico’s, bugs en andere onregelmatigheden;

3. Het ontwikkelen, afleveren en installeren van updates van de diensten, inclusief het toevoegen van nieuwe functionaliteiten aan diensten waarop de organisatie al een abonnement heeft.

Verder  is er  overeenstemming dat Google de inhoudelijke gegevens én de gebruiksgegevens uit de kerndiensten niet mag gebruiken voor advertentiedoelen, profiling, data analytics en marktonderzoek. Het Rijk heeft ook effectieve auditrechten bedongen, zodat ze de naleving door Google van de gemaakte afspraken en privacy wet- en regelgeving kan (laten) controleren.


Uitkomsten DPIA juni 2020

Uit de DPIA, die Privacy Company tussen december 2019 en juni 2020 heeft uitgevoerd, bleek dat er 10 hoge en 3 lage privacyrisico’s verbonden waren aan het gebruik van G Suite Enterprise. Google heeft het afgelopen half jaar een aantal maatregelen getroffen of aangekondigd om die risico’s te beperken. Maar zelfs als Google alle aangekondigde maatregelen op een juiste manier heeft doorgevoerd, zijn er nog steeds 8 hoge privacyrisico’s (naast de 3 ongewijzigde lage privacyrisico’s).


Rol Google als verwerker en als zelfstandige verantwoordelijke

Veel van de geconstateerde privacyrisico’s komen voort uit het standpunt van Google dat zij de informatie die zij krijgt over het gedrag van werknemers voor eigen doelen mag verwerken. Google vindt zichzelf namelijk een zelfstandige verantwoordelijke voor de persoonsgegevens over het individuele gebruik van de online diensten, de Diagnostische gegevens. Hetzelfde geldt voor de inhoud en informatie over hulpvragen die medewerkers aan Google stellen, en opmerkingen die gebruikers indienen via een Feedback-formulier. Google noemt deze drie soorten gegevens (de Diagnostische Gegevens, de Supportgegevens en de informatie uit het Feedback-formulier) Service Data. Het DPIA rapport concludeert dat Google niet de vrijheid heeft om zelf doelen te bepalen, omdat zij de Service Data alleen maar kan krijgen als het Rijk haar eerst inhoudelijke gegevens toevertrouwt in een rol als verwerker.

Google heeft eind november 2020 een nieuwe privacyverklaring gepubliceerd over de verwerking van de Service Data, de Google Cloud Privacy Notice. Google beschrijft daarin 17 eigen doelen voor de verwerking van de persoonsgegevens. Dat Google deze doelen noemt, is een verbetering, maar verhelpt het probleem niet dat het Rijk controle verliest over de persoonsgegevens van haar medewerkers als het Rijk het mogelijk maakt dat Google deze gegevens voor eigen commerciële doelen mag verwerken. Het gaat om brede en onduidelijke doelen, zoals het tonen van aanbevelingen, het combineren van de Service Data met informatie uit (onbekende) andere Google producten en diensten en het gebruik van algoritmes om patronen te herkennen. Bovendien kan Google de doelen voor de verwerking van de Service Data naar believen wijzigen door de privacyverklaring aan te passen, zolang ze de gegevens maar niet verwerkt voor de vier ‘verboden’ doelen van adverteren, profiling, data analytics en marktonderzoek.

Het DPIA rapport concludeert dat Google, ondanks de overeengekomen beperking van de doelen, feitelijk ook nog niet optreedt als verwerker voor de inhoudelijke gegevens. De reden daarvoor is dat Google niet bereid is de verwerking van deze inhoudelijke gegevens te beperken tot het strikt noodzakelijke, terwijl de drie doelen vooral zien op de verwerking van de diagnostische gegevens om de dienst te verbeteren, te onderhouden en te beveiligen. De inhoudelijke gegevens lijken alleen nodig om een dienst zoals spellingcontrole te kunnen leveren, en om inhoudelijke hulpvragen te kunnen beantwoorden.

Die twee problemen met de rol van Google leiden tot weer een ander privacyrisico, namelijk dat de overheidsorganisaties geen grondslag hebben voor de gegevensverwerking. Het DPIA rapport legt uit dat de overheidsorganisaties zich niet kunnen beroepen op de toestemming van de ambtenaren, niet op de noodzaak om een contract met de medewerkers uit te kunnen voeren, en evenmin op een publiek of gerechtvaardigd belang als ze persoonsgegevens willen doorgeven aan een derde partij waar ze geen geldige privacy-overeenkomst mee hebben.


Gebrek aan transparantie

Andere privacyrisico’s voor overheidsmedewerkers hangen samen met het ontbreken van informatie die Google op grond van de privacywetgeving verplicht is te publiceren, over de exacte soorten persoonsgegevens die Google verzamelt via telemetrie, via het gebruik van haar website en in haar cloud log servers, voor welke specifieke doelen ze die persoonsgegevens verwerkt, de bewaartermijnen, en de partijen waarmee ze die persoonsgegevens deelt. Google heeft wel toegezegd om in eind 2021 informatie te publiceren over de inhoud van de telemetriegegevens, zodat het Rijk die verwerking daarna kan (laten) controleren in een audit. Google heeft ook een gids gepubliceerd voor systeembeheerders, waarin ze de regels uitlegt en de beschikbare privacykeuzes, de Google Workspace data protection implementation guide.

Ten slotte levert ook het gebruik van de Chrome browser een privacyrisico op. Google hanteert eigen productvoorwaarden voor Chrome, naast de 33 doelen uit het algemene (consumenten) privacybeleid, terwijl het in de praktijk heel moeilijk (of ingewikkeld) is om het gebruik ervan te verbieden (zeker op Android mobieltjes en op Chromebooks).


Resterende privacyrisico's

De acht hoge restrisico’s zijn:

1. Gebrek aan doelbinding Inhoudelijke gegevens (geen beperking verwerking tot het strikt noodzakelijke): verlies van vertrouwelijkheid persoonsgegevens, verlies van controle, risico van heridentificatie

2. Gebrek aan doelbinding Diagnostische gegevens (ook voor aparte gegevensstroom uit ChromeOS en Chrome browser): verlies van controle, onrechtmatige verwerking

3. Gebrek aan transparantie Inhoudelijke gegevens (niet te zien welke inhoudelijke gegevens Google verzamelt via telemetrie, Chrome Enhanced spellcheck niet makkelijk te herkennen en niet op alle apparaten zonder extra kosten uit te zetten): verlies van controle

4. Gebrek aan transparantie Diagnostische gegevens (toezegging dat er informatie komt over de inhoud van telemetrie in eind 2021, maar geen informatie over bewaartermijnen en verwerkers/derde partijen): verlies van controle en risico van heridentificatie

5. Geen grondslag voor Google en de overheidsorganisaties (Google geen verwerker en geen gezamenlijke verantwoordelijke, geen toezegging naleving cookieregels): verlies van controle, onrechtmatige verwerking

6. Ontbrekende privacycontroles voor beheerders en gebruikers (geen uit-knop voor telemetrie en voor het Feedback formulier): verlies van controle en verlies van vertrouwelijkheid

7. Ontbreken inspraak op doorgifte van Diagnostische gegevens aan verwerkers en derde partijen: verlies van controle, verlies van vertrouwelijkheid

8. Onmogelijkheid voor ambtenaren om hun inzagerechten uit te oefenen


De drie lage restrisico’s zijn:

1. Gebruik van Cloud-aanbieder (mogelijk onrechtmatige toegang tot inhoud en metagegevens): verlies van controle, verlies van vertrouwelijkheid, heridentificatie van gepseudonimiseerde gegevens en onrechtmatige (verdere) verwerking

2. Werknemersmonitoringsysteem (Gebruik van beschikbare log-gegevens door overheidsorganisaties voor beoordeling van werknemers): chilling effect om (aanverwante) rechten uit te oefenen

3. Onmogelijkheid om historische diagnostische gegevens te verwijderen: verhoogd risico op heridentificatie van gepseudonimiseerde gegevens en onrechtmatige (verdere) verwerking


Raadpleging Autoriteit Persoonsgegevens en reactie Google

SLM Microsoft Rijk heeft op 15 februari 2021 een aanvraag ingediend voor Voorafgaande Raadpleging bij de Autoriteit Persoonsgegevens (AP). Die verplichting legt de AVG in artikel 36 op als een organisatie in een DPIA concludeert dat er hoge restrisico’s zijn die ze niet zelf kan oplossen.

Google heeft in reactie op de herziene DPIA (met de nieuwe tabel met restrisico’s) aangegeven dat ze bereid is om de haalbaarheid te onderzoeken om in de toekomst haar rol te wijzigen voor de verwerking van Service Data (“willing to assess the feasibility to changing its role for Service Data in the future”).

Het hoe en waarom van de privacyrisico’s is toegelicht in het nieuwe Engelstalige DPIA rapport voor SLM Microsoft Rijk.

DPIA op G Suite (Enterprise) for Education

De minister van OCW heeft in een brief aan de Tweede Kamer de resultaten bekend gemaakt van de DPIA die Privacy Company gelijktijdig heeft uitgevoerd op G Suite Enterprise for Education (de gratis en de betaalde versie van de Google diensten voor het onderwijs). Dit rapport concludeert dat dezelfde 8 hoge privacyrisico's ook voor het onderwijs bestaan.

Download
Sjoera
Adviseur