terug naar actueel

SIVON en SURF spreken Google aan op privacyrisico’s

  • bijgewerkt op 10 maart 2021

In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google G Suite. De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google deze privacyrisico’s wegneemt.

Een foto van een laptop, het toetsenbord is te zien. Een persoon gaat met zijn handen over het toetsenbord en op de voorgrond zijn zes symbolen te zien. Van rechts naar links: een wereldbol met een pijl erover, een mobiele telefoon, een praatwolkje, een slot, een beeldscherm en een envelop.

De privacyrisico’s zijn aan het licht gekomen door zogenoemde Data Protection Impact Assessments (DPIA) naar Google G Suite. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn. Het ministerie van Justitie en Veiligheid heeft het DPIA naar de Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G Suite Education. Namens het funderend onderwijs zijn SIVON, Kennisnet, de PO-Raad en VO-raad betrokken.

Metadata

Google verzamelt metadata. Dit is data over het gebruik van bijvoorbeeld Google G Suite. Daarmee kan Google bijvoorbeeld zien waar de gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina’s en zoekopdrachten het meeste worden gebruikt. Het gaat hier dus niet om individuele leerresultaten of adresgegevens van gebruikers.

Het verzamelen van metadata hoeft geen probleem te zijn als deze gegevens worden gebruikt om digitale producten goed en veilig te kunnen gebruiken en beter te laten werken. Het is wel van belang dat deze gegevens niet voor andere doelen worden gebruikt. Ook mag er niet meer metadata worden verzameld dan noodzakelijk. Onderwijsinstellingen moeten de controle houden over het gebruik van metadata. Zij moeten dus bepalen voor welke (andere) doelen die metadata gebruikt mag worden.

G Suite for Education heet sinds kort Google Workspace for Education. Google Workspace for Education bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer.

Risico’s

Google ziet zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in hun privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mogen aanpassen, zonder om toestemming te vragen. 

Voor toepassingen bij onderwijsinstellingen vinden wij het onwenselijk dat het eigenaarschap en de verantwoordelijkheid voor die gegevens bij Google ligt. Hierdoor kunnen onderwijsinstellingen die Google Suite gebruiken, geen of onvoldoende controle uitoefenen over wat er met deze gegevens gebeurt. Google verklaart nadrukkelijk dat zij in Workspace for Education geen metadata en andere persoonsgegevens gebruikt voor advertentiedoeleinden of het creëren van advertentieprofielen. Google kan de voorwaarden echter eenzijdig wijzigen, waardoor deze verklaring geen garanties biedt voor de toekomst.

Vervolgstappen

Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten en zijn we nog in gesprek. Ook dienen wij een adviesaanvraag in over deze privacyrisico’s bij de Autoriteit Persoonsgegevens. Wij gaan ervan uit dat Google aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen en G Suite for Education veilig gebruikt kan worden.

Meer weten? Bekijk dan de veelgestelde vragen over de DPIA op Google. Heeft u nog een vraag die niet is beantwoord? Stel deze dan via het vragenformulier onder de veelgestelde vragen. De vragen die we binnen krijgen gebruiken we om die pagina aan te vullen. We kunnen uw vragen helaas niet individueel beantwoorden.