Onderhandelen met ‘Big Tech’-firma’s zoals Google en Microsoft is geen sinecure. Dat ondervonden onderwijsinstellingen het afgelopen jaar, toen er privacy-issues aan het licht kwamen in Google Workspace for Education. Dankzij gezamenlijk optrekken van onder meer SIVON, SURF en enkele onderwijsinstellingen bleek het mogelijk om samen met Google tot een oplossing te komen.
Hans Biemans, lid van het College van Bestuur van de Rijksuniversiteit Groningen (RUG), was vanaf het begin betrokken bij de problemen met Google Workspace. “Wij hebben binnen de instelling een aantal mensen die zich bezig houden met privacy, die beoordelen bijvoorbeeld ook pakketten die wij overwegen te kopen. Op een zeker moment hebben wij samen met de Hogeschool van Amsterdam een Data Protection Impact Assessment (DPIA) uitgevoerd op Google Workspace for Education. Uit die analyse kwam een aantal onduidelijkheden over privacy en de wijze waarop Google data verzamelt. We hebben toen contact opgenomen met Google, maar daar kwamen we niet binnen. Toen hebben we aangeklopt bij het Strategisch Leveranciersmanagement van het ministerie van Justitie en Veiligheid, en zijn we landelijk met SURF en SIVON in gesprek gegaan. Uiteindelijk hebben SIVON en SURF de Autoriteit Persoonsgegevens ingeschakeld, en die bevestigde onze bevindingen.”
Privacy-risico’s
Voor de Autoriteit Persoonsgegevens waren de gesignaleerde privacy-risico’s aanleiding om scholen af te raden te werken met Google Workspace. Jan Kees Meindersma, voorzitter van het College van Bestuur van scholenkoepel De Groeiling, geeft aan dat dat geen optie was: “Als we dat gedaan hadden, hadden we ons onderwijs moeten stopzetten. Dat speelde vlak voor de zomer, toen was de discussie nog: gaan we eruit komen of niet? Dan maak je je wel zorgen, want dat levert een groot bestuurlijk dilemma op: je wilt je onderwijs niet stoppen, maar je wilt ook niet de privacy van je leerlingen in gevaar brengen. Dat is voor ons een groot goed.”
“We hebben onszelf groter gemaakt richting Google, en je ziet dat dat werkt.”
Hans Biemans
De samenwerking met SIVON en SURF zorgde ervoor dat de onderwijsinstellingen wél een gesprekspartner werden voor Google, vertelt Biemans: “We hebben onszelf groter gemaakt richting Google, en je ziet dat dat werkt. Naast SIVON en SURF zijn er ook twee ministeries aangesloten. Ik vond het best spannend, want de plaats van Google binnen het onderwijs is zó belangrijk dat het too big to fail is. Dus we moesten eruit komen. We zitten nu in een fase dat we een aantal zaken contractueel hebben afgedekt, een aantal andere zaken is technisch opgelost.”
YouTube
De oplossing zorgt ervoor dat de privacy-risico’s zijn afgedekt, maar helemaal tevreden zijn de beide heren nog niet. “We werken nu met bepaalde instellingen die beperkingen opleggen aan de gebruiker”, zegt Meindersma. “We kunnen bijvoorbeeld niet linken naar YouTube. Daar is een deel van de privacy-problemen op korte termijn mee opgelost, maar het is niet ideaal, want leerlingen kunnen nu YouTube niet makkelijk gebruiken. Dat heeft invloed op je onderwijs. SIVON en SURF blijven hierover met Google in gesprek om lange-termijnoplossingen te vinden. Een ander deel ligt in de vraag: wie is nu eigenlijk verantwoordelijk voor de verwerking van de gegevens? Als dat onduidelijk is, leidt dat tot discussie. In die discussie is nu meer helderheid gebracht door de afspraken die we met elkaar hebben gemaakt.”
“Je wilt je onderwijs niet stoppen, maar je wilt ook niet de privacy van je leerlingen in gevaar brengen.”
Jan Kees Meindersma
Ook de RUG heeft last van de beperkingen, aldus Biemans: “We hebben intern wel gedoe gekregen doordat de docenten niet meer kunnen linken naar YouTube. Door de maatregelen die we moesten nemen, maken we het primaire proces, het onderwijs, een stukje ingewikkelder. Dat is eigenlijk niet wat je wilt.”
Screenen van software
De privacy-risico’s van Google staan niet op zich, vertelt Biemans: “Wij zijn heel stelselmatig alle pakketten aan het doornemen op privacy-risico’s. Bij nieuwe pakketten maakt dat vaak deel uit van het aanbestedingstraject. Maar we zijn een universiteit met meer dan 7.000 medewerkers, verspreid over 11 faculteiten. We hebben wel een inkoopbeleid, maar je weet nooit precies wat medewerkers zelf inbrengen. We zien dat niet alle medewerkers zich bewust zijn van de risico’s en van het belang van een goede gebruikersovereenkomst. We gebruiken soms ook innovatieve software van kleinere start-ups, die zijn zich zelf ook niet altijd bewust van de eisen op het gebied van privacy. We zijn daarom ook zelf bezig met kennis op dit gebied op te bouwen.”
Voor een scholenkoepel is die kennisopbouw niet mogelijk, stelt Meindersma: “Onze ict-staf is heel beperkt, we missen expertise op dat gebied. Tegelijkertijd werken we binnen het primair en het voortgezet onderwijs met een aantal leer- en administratiepakketten waarbij de privacy goed geregeld moet zijn. Daarin neemt SIVON de verantwoordelijkheid om waar nodig onderzoek uit te voeren en het voortouw te nemen bij onderhandelingen. Dat zou je ook kunnen doen bij nieuwe toetreders. Neem de nieuwe oudercommunicatie-apps: daarin versturen we veel privacygevoelige gegevens, zoals foto’s vanuit de klas of leerresultaten. Een basisschooldirecteur kijkt naar het gebruiksgemak van zo’n ouderapp, en niet in de eerste plaats naar de veiligheid. Daarom moeten we gebruikmaken van de expertise van instellingen als SIVON en SURF, want dit kun je niet in je eentje.”
Van wie zijn de data?
Een laatste punt dat Biemans noemt, betreft het eigenaarschap van data. “Daarover moeten we in Nederland een principiële discussie voeren. We werken met een aantal grote softwarepakketten die het compromis zoeken tussen de Amerikaanse en Europese wetgeving. De focus op terrorismebestrijding in de VS zorgt voor een andere visie op privacy. We moeten binnen Europa de discussie voeren over de normen die wij op dat gebied willen hanteren. Dat is een grote discussie, waarvan ik vind ook de overheid die moet voeren. En zolang dat niet goed is geregeld, hebben we de deskundigheid van organisaties als SIVON en SURF nodig om goede afspraken te maken.”