terug naar actueel

Veelgestelde vragen over het gebruik van Google Workspace en de DPIA Google

  • bijgewerkt op 26 november 2021

Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, mits zij zelf ook enkele acties uitvoeren. Dit is het resultaat van intensieve gesprekken die SIVON, SURF en het Strategisch Leveranciersmanagement Rijk (SLM-Rijk), mede op verzoek van de PO-Raad  en VO-raad, hebben gevoerd met Google.  Op deze pagina vindt u alle veelgestelde vragen over het gebruik van Google Workspace en de DPIA Google.

Er ligt een tablet op tafel. Een persoon drukt met zijn vinger op het scherm. Op de voorgrond zijn witte symbolen te zien van een slot, een wolk en een persoon. Tussen deze symbolen lopen lijnen en pijlen.

Vragen over het monitoren van Google Workspace

Welke hulpmiddelen zijn beschikbaar om wijzigingen te monitoren?

Nadat u alle Google Workspace settings heeft uitgevoerd is het belangrijk om wijzigingen te monitoren. Hiervoor zijn de volgende hulpmiddelen beschikbaar:

  1. Major Service announcements
    Google stuurt major service announcements (MSA) uit naar het e-mailadres van de primary admin user.
  2. Workspace updates
    Google schrijft een blog over Workspace updates. U kunt uzelf aanmelden voor de update op deze website.
  3. Chrome updates
    Chrome release notes worden hier gepubliceerd.
  4. Meldingencenter
    Gebruik meldingencenter om op de hoogte te blijven van belangrijke wijzigingen. Stel een e-mail melding in voor applicatie instelling wijziging en andere gebeurtenissen die u wilt monitoren.

Vragen over ChromeOS en Chrome-browser

Waar staan we nu? (november 2021)

In juli 2021 is met Google overeengekomen dat voor ChromeOS en Chrome-browser een onderwijsspecifieke versie beschikbaar komt. Scholen blijven daarmee de controle houden over de gegevens bij het gebruik van ChromeOS en Chrome-browser op (de door school beheerde) Chromebooks van leerlingen en medewerkers.

De komende periode gaan SIVON en SURF (in samenwerking met SLM Rijk) in overleg met Google over een versie van

  1. ChromeOS op Chromebooks en
  2. Chrome-browser waarbij Google de verwerker is.
    De afspraken die zijn gemaakt rondom Workspace for Education vormen hiervoor de basis. Parallel aan de gesprekken wordt een technisch en juridisch onderzoek uitgevoerd naar de huidige versie van ChromeOS en de Chrome-browser. Hierover hebben we u eerder geïnformeerd. De uitkomsten van dit onderzoek nemen we mee in de onderhandelingen met Google. Zo kunnen we u sneller duidelijkheid bieden over het gebruik van ChromeOS en de Chrome-browser op de scholen.

Hoe verloopt het proces?

Eerder was het voornemen om de volledige DPIA af te ronden, te publiceren en vervolgens in gesprek te gaan met Google. Dit zou echter meer tijd vergen. Nu de afspraken rond Workspace en de rol als verwerker uitgangspunt zijn, kunnen we naar verwachting sneller afspraken maken. Hierdoor hopen we begin volgend jaar zowel de uitkomsten van het onderzoek als de eventueel benodigde corrigerende maatregelen en afspraken die we hebben gemaakt met Google bekend te maken.

We willen immers dat scholen niet langer dan nodig in onzekerheid zitten over het gebruik van Chrome OS en de Chrome-browser op de door hen beheerde devices. Daarom kiezen we ervoor om de resultaten van het technisch juridisch onderzoek direct in te brengen bij het overleg met Google. Zo verwachten we de resultaten van de onderhandelingen eerder aan de scholen te kunnen presenteren.

Net als bij Workspace zorgen we ook voor tools en informatie voor de implementatie. Indien mogelijk communiceren we dit kalenderjaar nog over de (voorlopige) resultaten van onze gesprekken met Google.

Vragen over de handelingen die schoolbesturen moeten uitvoeren

Zijn er gewijzigde instructies over het inloggen bij Chrome browser?

In de technische handleiding stonden instructies om inloggen bij browser uit te schakelen. Het doel van deze setting was om synchronisatie van favorieten met Google en daarmee samenhangende privacy risico’s te beperken. Deze instelling geeft een vervelende pop-up voor gebruikers (zie hieronder). Daarnaast is het voor beheerde Chrome browsers juist wel aan te bevelen inloggen toe te staan om Workspace privacy settings af te dwingen. Hoe moet het nu wel?

1) Inloggen bij Browser aan zetten Instellen onder: Apparaten > Chrome > Instellingen > Instellingen voor gebruikers en browsers > Instellingen voor inloggen bij browser > inloggen bij browser aan zetten.

De mogelijkheid om sync settings in te stellen is nog in pre-realease (beta) bij Google. Half december 2021 komt dit beschikbaar.

2) Synchronisatie van gegevens kan nu voorkomen worden door instelling onder: Apparaten > instellingen voor gebruikers en browsers > andere instellingen

Hangende de DPIA op Chrome OS en Chrome browser adviseren we alle synchronisatie uit te zetten.

Waarom krijg ik een pop-up te zien als “inloggen bij de Chromebrowser” niet is toegestaan? 

Als het Chromebrowser-account is gekoppeld aan het Google Workspace-account, dan log je in Chrome in met je Workspace-account. Dan worden persoonlijke settings gesynchroniseerd met het Google workspace-account. Als de optie om in te loggen bij de Chromebrowser is uitgezet, krijgen gebruikers die favorieten in de browser hebben opgeslagen deze pop-up te zien: profile wil be deleted

Het profiel dat wordt verwijderd, is het Chromebrowser-account met favorieten, wachtwoorden, en dergelijk. Het is niet het Google Workspace-account. U bent dus alleen uw persoonlijke settings kwijt.

Volgens de settings van de technische handleiding is inloggen bij de Chromebrowser niet toegestaan. Er kunnen dan alleen nog lokale browserprofielen gemaakt worden. Het browserprofiel ‘verhuist’ dan niet mee als er op een ander device wordt ingelogd. Zodra een nieuwe Chromebrowser beschikbaar komt waarbij Google dataverwerker is in plaats van datacontroller kan deze setting heroverwogen worden. SIVON blijft met Google in gesprek over de voortgang en houdt u hiervan op de hoogte.

Waarom kan ik niet meer inloggen bij YouTube met mijn Google Workspace-account?

Doordat aanvullende Google-diensten niet onder de Google Workspace for education-overeenkomst vallen, moeten deze diensten uit staan. YouTube is een van de aanvullende diensten. Het gebruik ervan is een hoog risico voor leerlingen en medewerkers, omdat de school geen controle heeft over hun persoonsgegevens die Google verzamelt of gebruikt.

U kunt door het uitzetten van de aanvullende diensten niet meer inloggen bij YouTube met uw Google Workspace-account. Dit betekent dat u geen playlists meer kunt aanmaken of video’s kunt uploaden. U kunt wel nog video’s bekijken in de embedded mode, zoals beschreven in de technische handleiding. Als u de YouTube player embed in Workspace core service (zoals sites of classroom), worden er geen advertenties meer getoond. De YouTube-cookies van de embedded player voldoen aan de nieuwe privacyvoorwaarden.

Workarounds:  

  • U kunt in Google Workspace een organisatie-eenheid creëren waarin afgeweken wordt van de geldende privacy-instellingen. In deze organisatie-eenheid kunt u enkele generieke, anonieme accounts aanmaken die wel toegang krijgen tot YouTube. Als deze accounts niet tot personen te herleiden zijn, bijvoorbeeld youtubebeheer1@school.nl, heeft dit geen of weinig impact op de privacy.  Vanaf deze accounts kunt u dan toch video’s uploaden.   
  • Ook zijn er scholen die gebruikmaken van een laptop of computer waarop niet of anoniem is ingelogd. Leerlingen kunnen in de klas dan op die laptop of computer YouTube gebruiken voor huiswerkopdrachten. Op deze manier worden ook geen persoonsgegevens verzamelt, waardoor er geen (hoog) privacyrisico is. 

Let op: zorg er in alle gevallen voor dat er geen audiovisueel materiaal van herkenbare kinderen wordt geüpload. Google is daarvoor nog steeds verwerkingsverantwoordelijke. 

Wat zijn third party cookies?

Er zijn verschillende type cookies:

  • First party cookies worden gemaakt door de website die u bezoekt. De site wordt weergegeven in de adresbalk. 
  • Third party cookies worden gemaakt door andere sites. Deze sites zijn eigenaar van een deel van de content (zoals advertenties of afbeeldingen) die u ziet (of niet ziet met bijvoorbeeld Facebook-pixels) op de webpagina die u bezoekt. Deze third party cookies kunnen functioneel, analytisch of tracking zijn. Een adverteerder kan met deze cookies een profiel opbouwen over uw surfgedrag. Hierdoor weet de third party dus meer van u dan de first party.  Dit is een hoge vorm van inbreuk op de privacy.  
  • Functionele cookies zijn nodig om een website beter te laten functioneren. Dit zijn bijvoorbeeld bestanden die bijhouden wat er in een winkelwagentje zit. 
  • Analytische cookies worden gebruikt om onder andere bezoekersstatistieken bij te houden. 
  • Tracking cookies volgen de bezoeker tijdens het bezoek aan een website en eventueel ook daarna. Dit wordt onder andere gebruikt voor retargeting. Een voorbeeld hiervan is een advertenties die u steeds overal terugziet en die u dus ‘volgt’. 

De wet maakt alleen onderscheid tussen cookies die zonder toestemming mogen worden geplaatst (functionele en analytische cookies), en cookies die mét toestemming mogen worden geplaatst (bijvoorbeeld tracking cookies). Internetbrowsers kunnen dit onderscheid niet maken en herkennen alleen first en third party cookies. Dat betekent dat er aanvullende privacy-maatregelen genomen moeten worden.

Waarom moet ik third party cookies uitzetten? 

Het gebruik van Chrome/Chromebrowser valt niet onder de huidige privacy-afspraken met Google Workspace for Education. Google is verwerkingsverantwoordelijke voor alle persoonsgegevens van gebruikers die Chrome gebruiken. Google staat zichzelf toe de persoonsgegevens die op de Chromebooks worden verwerkt en via de Chromebrowser worden verzameld over het surfgedrag van leerlingen en docenten te verwerken voor brede commerciële doeleinden. Waaronder marketingdoeleinden, gedragsadvertenties, bedrijfsontwikkeling en onderzoek. Gebruikers kunnen geen inzage vragen in deze gegevens. Een school heeft op dit moment dus geen enkele vorm van controle over deze gegevens en daarmee kan de privacy van de gebruikers van Chrome niet worden gegarandeerd.

Kan ik bepaalde third party cookies ook toestaan?

In een leeromgeving worden verschillende applicaties gebruikt. Sommige applicaties hebben third party cookies nodig om goed te kunnen functioneren. Een voorbeeld is Google Drive. Als de third party cookies zijn geblokkeerd, kunt u niets downloaden uit Google Drive. 

Google Drive valt onder de Google Workspace voor Education-voorwaarden. De Google Drive-cookies kunt u dus accepteren. Het accepteren van third party cookies is echter een globale instelling. Wat betekent dat als u de Google Drive-cookies accepteert, u daarmee in een keer alle third party cookies accepteert. Een workaround is werken met whitelists. U kunt een whitelist maken van websites waarvan u weet dat de third party cookies geen inbreuk op de privacy veroorzaken. In de screenshot ziet u hoe u whitelists instelt via de Google Workspace admin console.

 Is er een alternatief voor het blokkeren van cookies?

Het gebruik van (tracking) cookies levert een hoog privacy-risico op. Het uitzetten van “third party cookies” is een maatregelen om die risico’s te beperken. Dit leidt soms tot problemen bij het gebruik van web-toepassingen, bijvoorbeeld met het inloggen op digitaal leermateriaal. In overleg met Privacy Company is het volgende besproken. Het alternatief is om sessie cookies wél toe te staan, in combinatie met het afgedwongen gebruik van een goede ad/tracker blocker. Dat is software voor de internet-browser die gebruik maakt van lijsten met bekende tracking cookies. Zo wordt het plaatsen van tracking cookies beperkt of voorkomen. Ook zijn deze blockers in staat om bekende malware en schadelijke content te blokkeren. Voor minderjarige leerlingen die (nog) minder bewust surfen op het internet, biedt het gebruik van deze ad/tracker blockers daarom ook extra bescherming.

Hieronder staat een lijst namen van gratis plug-ins:

• Privacy Badger (ontwikkeld door de Amerikaanse NGO EFF)
• AdBlock Plus
• AdBlock (ander product)
• uBlock origin
• Ghostery

Let wel: er is géén volledig onderzoek gedaan naar deze plug-ins. Er zijn goede ervaringen met deze plug-ins maar scholen moeten zelf nagaan of en welke ad/tracker blocker het beste bij hen past en aan de IBP-voorwaarden van de eigen organisatie voldoet.

Dit alternatief voor het uitzetten van third party cookies, wordt gecombineerd met het verwijderen van de cookies aan het einde van de sessie of dag (zie het antwoord op die vraag verderop in de faq [link opnemen naar deze vraag?]).

Dit alternatief voor het uitzetten van third party cookies, wordt door de school zelf gekozen en afgewogen. U beschrijft deze aanpak en afweging in de lokale DPIA.

Kan ik cookies automatisch verwijderen? 

Ja. U kunt in de Chromebrowser instellen dat de cookies automatisch verwijderd worden als u de sessie sluit. Dit beperkt de impact van de tracking cookies. U doet dit als volgt: 

  • Klik op de 3 puntjes rechtsboven > ‘Instellingen’ 
  • Kies ‘Privacy en beveiliging’ > ‘Site-instellingen’ > ‘Cookies en andere sitegegevens’ 
  • Kies voor de optie ‘Cookies en sitegegevens wissen als je alle vensters sluit’ 

Wilt u dit ook in Google Workspace? Kies daar dan voor de cookiesinstelling ‘Alleen voor deze sessie’. Dit heeft hetzelfde effect.  

Deze werkwijze heeft wel effect op gebruik van SSO oplossingen. Je blijft dan alleen deze sessie (of werkdag) ingelogd, zoals Magister, zodat je sneller weer bij je werk kan in een digitale leer of kalenderomgeving. Bij het afsluiten van het venster moet er opnieuw worden ingelogd.

Bij deze maatregel staat het gebruik van (third party) cookies aan, maar worden deze cookies niet langer dan nodig opgeslagen. Dit beperkt de privacy-risico’s slechts gedeeltelijk, want er worden nog steeds third party cookies gebruikt. Maak daarom altijd gebruik van aanvullende maatregelen. Zie vraag hierboven.

Moet ik K12 instellen voor mijn hele organisatie of zijn er alternatieven? 

Als u kiest voor de optie K12, worden verschillende instellingen automatisch doorgevoerd waarbij de privacy van gebruikers standaard (beter) is beschermd. Als de hele organisatie het kenmerk K12 krijgt, staan veel functies uit die u wellicht wel wilt toestaan voor leraren. Het is daarom niet nodig de hele organisatie op K12 te zetten. Dit kan per organisatie-eenheid. Bijvoorbeeld 1 organisatie-eenheid voor leerlingen en 1 voor leraren. Meer informatie hierover vindt u op deze pagina.

Hoe kan ik een privacy-vriendelijk e-mailadres maken?  

Het advies is om zo min gebruik te maken van de echte namen van leerlingen. Maak e-mailadressen daarom minder herleidbaar. Dat kan door bijvoorbeeld het unieke leerlingnummer in het e-mailadres te gebruiken in plaats van de naam. Dus leerling123@school.nl in plaats van jan.jansen@school.nl. Deze maatregel zorgt ervoor dat de privacy van de leerling beter is beschermd, omdat uit het e-mailadres zelf dan geen persoon is af te leiden. Deze maatregel beperkt ook de gevolgen voor de privacy van leerlingen in geval van een datalek.

IST
Doordat het e-mailadres en leerlingnummer in de Workspace Directory zijn gekoppeld aan andere gegevens van de leerling of medewerker, blijven gebruikers binnen de school wel identificeerbaar en ook voor Google. Als u een e-mail van leerling123@school.nl ontvangt, toont Google Mail dus de naam van de leerling bij dit e-mailadres. Maar als het e-mailadres gelekt wordt (dus buiten de eigen Google-omgeving), dan wordt de naam van de leerling daar niet bekend (alleen ‘leerling123’).

SOLL
Doordat het e-mailadres en leerlingnummer in de Workspace Directory zijn gekoppeld aan andere gegevens van de leerling of medewerker, blijven gebruikers binnen de school wel identificeerbaar en ook voor Google. Als u een e-mail van leerling123@school.nl ontvangt, toont Google Mail dus de naam van de leerling bij dit e-mailadres. De echte voornaam en achternaam kan wel gebruikt worden intern in de directory. Als het e-mailadres gelekt wordt (dus buiten de eigen Google-omgeving), dan wordt de naam van de leerling daar niet bekend (alleen ‘leerling123’).

Let op: als het e-mailadres als unieke identifier gebruikt wordt voor single-sign-on bij andere systemen is de overstap naar een anoniem e-mailadres lastiger. U kunt er dan voor kiezen om de bestaande accounts te behouden zoals ze zijn en de nieuwe accounts anoniem te maken. U beschrijft deze aanpak in de lokale DPIA.

Welke maatregelen kan ik nemen bij gebruik namen in files en folders van Google Classroom?

Als een leraar een opdracht aanmaakt in Google Classroom dan maakt Google automatisch files aan in Google drive waarin de namen van leerlingen kunnen voorkomen. In de technische handleiding adviseren wij geen namen van personen te gebruiken in files en folders. Om toch Classroom te kunnen gebruiken kunt u de volgende maatregel nemen om de privacy van de betrokkene afdoende te beschermen.
In admin console van Google drive zet u extern delen van files en folder uit.
Apps > Google Workspace > Instellingen voor Drive en Documenten > Instellingen voor delen
UITGESCHAKELD: bestanden die eigendom zijn van gebruikers in <>, kunnen niet worden gedeeld buiten <>.

Welke spellingcontrole kan ik gebruiken en waarom? 

Google kent 2 types spellingcontroles. De ‘gewone’ op het device en de ‘enhanced’ die werkt met webservice. Bij de enhanced-versie gaat alle data waar u een spellingcontrole op uitvoert naar Google. Dat is een hoog privacy-risico. Deze optie moet daarom uitstaan. Alleen de lokale spellingcontrole kunt u aan laten staan. In de screenshot ziet u hoe u de spellingcontrole uitschakelt. 

Kan ik toestemming vragen aan ouders als ik niet alle technische maatregelen uitvoer?

Om hoge privacyrisico’s te beperken, is het noodzakelijk dat u de maatregelen uit de technische handleiding uitvoert. Het is niet mogelijk om toestemming te vragen aan ouders om niet alle maatregelen uit te voeren. Er blijven dan namelijk hoge privacyrisico’s over waarvoor de school de Autoriteit Persoonsgegevens om een oordeel moet vragen. Het gebruik van Google Workspace for Education is dan niet toegestaan.

Kan ik toestemming vragen om aanvullende diensten van Google te mogen gebruiken?

Het is helaas niet mogelijk om toestemming te vragen aan leerlingen en ouders om aanvullende diensten van Google Workspace for Education te gebruiken. Google eiste eerder dat scholen leerlingen en ouders om toestemming vroegen, maar dat is in strijd met de AVG. De AVG schrijft namelijk voor dat toestemming in vrijheid gegeven moet worden en aan het weigeren van toestemming mogen geen nadelige gevolgen verbonden zijn voor de leerling. Maar dat is wel het geval als ouders toestemming weigeren. De leerling kan dan namelijk Google Workspace for Education niet gebruiken en dat betekent dat de leerling is uitgesloten van bepaalde onderdelen van (digitaal) onderwijs. Daarom kunnen leerlingen en ouders niet in vrijheid toestemming geven.

Bij de gratis versie (Google Workspace for Education Fundamentals) kan ik niet kiezen voor opslag van gegevens binnen Europa. Is dat noodzakelijk?

De optie om gegevens binnen Europa op te slaan is alleen opgenomen in de betaalde versies van Google Workspace for Education. Het opslaan van gegevens binnen Europa is een van de maatregelen die genomen kunnen worden om het privacyrisico van gegevensuitwisseling met de Verenigde Staten te beperken. In de Update DPIA Report van 2 augustus 2021 staat ‘data storage in the EU where possible’. Kies dus voor opslag binnen Europa als dat (technisch) mogelijk is. SIVON blijft met Google in gesprek hierover en houdt u op de hoogte.

Welke gegevens moet ik in ‘Exhibit B’ in het nieuwe contract met Google aankruisen?

U kruist zelf aan in ‘Exhibit B’ welke gegevenscategorieën Google voor u verwerkt. U weet namelijk zelf hoe u Google Workspace for Education gebruikt binnen uw organisatie.

Is de nieuwe overeenkomst met Google wel goed en juridisch getoetst?

De overeenkomst met Google is het resultaat van intensieve onderhandelingen tussen Google, SURF, SIVON en SLM Rijk (ministerie van Justitie en Veiligheid). Gespecialiseerde advocaten van GT Law ondersteunden bij de onderhandelingen en Privacy Company beoordeelde de overeenkomst. Gezamenlijk komen zij tot het oordeel dat deze juridische afspraken gecombineerd met de technische en organisatorische maatregelen in de landelijke DPIA, in voldoende mate tegemoetkomen aan de bescherming van persoonsgegevens van leerlingen en medewerkers zoals beschreven in de AVG.

Wat betekent artikel 2.4 in de overeenkomst met Google?

In artikel 2.4 wordt de verhouding tussen Google en het schoolbestuur beschreven. Google wordt verwerker, het schoolbestuur de verwerkingsverantwoordelijke. Voordat Google juridisch én technisch is aan te wijzen als verwerker, moet Google nog verschillende wijzigingen doorvoeren. Dit staat beschreven in het verbeterplan (remediation plan) tussen Google en SURF en SIVON. Artikel 2.4 verwijst naar dit plan. In de lijst met risico’s en maatregelen in het Update DPIA Report 2 August 2021 leest u op pagina 24 en verder welke maatregelen Google moet nemen en binnen welke tijd Google deze maatregelen moet uitvoeren. SIVON blijft hierover met Google in gesprek en houdt u op de hoogte.

Wat valt binnen de Google-overeenkomst en wat valt er buiten?

Op deze pagina vindt u een overzicht van de Google producten die binnen en buiten de overeenkomst vallen.

Vragen over het blijven gebruiken van Google Workspace for Education na afspraken met Google

Wat moet ik zelf doen voordat mijn onderwijsinstelling Google Workspace for Education kan gebruiken?

Onderwijsinstellingen moeten: 

  1. de nieuwe overeenkomst die Google toestuurt, accepteren, en
  2. de technische en organisatorische maatregelen uitvoeren die zijn opgenomen in de Technische Handleiding, en 
  3. zelf een onderwijsspecifieke DPIA uitvoeren. Maak hiervoor gebruik van de Update DPIA report van The Privacy Company en van de Handreiking onderwijsspecifieke DPIA op Google Workspace for Education.

Met deze 3 stappen stellen onderwijsinstellingen zelf vast of zij Google Workspace for Education kunnen blijven gebruiken in hun eigen situatie. Lees daar meer over in het artikel ‘Google Workspace for Education blijven gebruiken? Voer eerst deze handelingen uit.

Wanneer moeten alle stappen genomen zijn?

Zo snel mogelijk, het liefst voor de start van het nieuwe schooljaar.

Wanneer krijg ik van Google de nieuwe overeenkomst voor Workspace for Education?

Google stuurt rond maandag 9 augustus 2021 de contactpersonen (administrators) van de onderwijsinstellingen een e-mail met daarbij de nieuwe overeenkomst en hoe deze geaccepteerd kan worden. U moet deze zelf accepteren. SURF en SIVON kunnen dat niet voor u doen.

Wie moet de nieuwe overeenkomst ondertekenen?

De overeenkomst wordt door de onderwijsinstelling geaccepteerd door op de link te klikken. Omdat het gaat over het accepteren van de nieuwe voorwaarden met Google, moet het bevoegd gezag – de bestuurder of het college van bestuur – akkoord geven op het accepteren van deze voorwaarden. De persoon die op de link klikt, moet dus het mandaat hebben de voorwaarden te accepteren.

Waar staat de overeenkomst met Google?

De overeenkomst staat niet online. U ontvangt de overeenkomst op het e-mailadres van de beheerder van uw Workspace account.

Ik heb de nieuwe overeenkomst van Google niet ontvangen, wat moet ik doen?

Bent u de it administrator (systeembeheerder) van Google Workspace for Education? Controleer de spam-folder in uw e-mail. Als uw Workspace for Education-omgeving wordt beheerd door een externe leverancier, dan heeft deze mogelijk de e-mail van Google ontvangen.  

Als u na vrijdag 13 augustus 2021 nog geen gewijzigde overeenkomst heeft ontvangen, vul dan dit formulier in. SURF en SIVON nemen dan contact op met Google en vragen om u de gewijzigde overeenkomst toe te sturen.

Waarom moet mijn school ook een eigen DPIA uitvoeren, die is toch al door SURF en SIVON uitgevoerd?

SURF en SIVON hebben door The Privacy Company een algemene DPIA uit laten voeren op Workspace for Education (Plus). SURF en SIVON zijn niet zelf gebruikers van Workspace for Education, dat is uw onderwijsinstelling. Daarom moet u zelf vaststellen of en welke uitkomsten van de DPIA van SURF en SIVON op uw situatie van toepassing zijn. Volgens de Autoriteit Persoonsgegevens moeten onderwijsinstellingen zelf nog voor hun eigen organisatie vaststellen of gemaakte afspraken en maatregelen met Google voldoende zijn om invulling te geven aan de bescherming van persoonsgegevens conform de AVG. Daarnaast is het mogelijk dat er bij onderwijsinstellingen sprake is van additionele risico’s die niet opgenomen zijn in de DPIA van SURF en SIVON.

Is het noodzakelijk dat ik alle technische maatregelen uitvoer die in de handleiding zijn opgenomen?

In maart 2021 zijn er 8 hoge privacyrisico’s vastgesteld voor gebruikers van Workspace for Education (Plus). SURF en SIVON hebben met Google afspraken gemaakt over het beperken van deze risico’s. Om alle hoge risico’s te kunnen beperken, moet de nieuwe overeenkomst met Google geaccepteerd worden en alle technische maatregelen uitgevoerd worden die zijn beschreven in de Technische Handleiding. Als deze stappen niet allemaal worden uitgevoerd, dan moet de onderwijsinstelling zelf bepalen of de 8 hoge privacyrisico’s voldoende zijn gemitigeerd.

Workspace for Education wordt bij onze onderwijsinstelling beheerd door een externe leverancier die ook onze administrator (systeembeheerder) is. Geeft onze leverancier akkoord op de nieuwe overeenkomst met Google?

Nee, een leverancier kan nooit voor u akkoord geven op nieuwe voorwaarden met Google. U moet zelf beslissen of u akkoord gaat met de nieuwe voorwaarden. Uw leverancier of externe systeembeheerder moet met u overleggen of u akkoord geeft om de nieuwe voorwaarden te accepteren. Daarna kan uw leverancier of externe systeembeheerder namens u de voorwaarden accepteren.

Kan ik de handleiding met technische maatregelen delen met mijn leverancier die onze Workspace omgeving beheert?

Ja, dan kan. Kennisnet zal ook zelf de grootste leveranciers proactief informeren over de te nemen technische maatregelen.

Vragen over het gebruik van Google Workspace

Welke producten bevat Google G Suite for Education en wat is Google Workspace for Education?

Google G Suite for Education bevat onder andere Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. Google G Suite for Education heet sinds kort Google Workspace for Education. Daarom spreken we van Google Workspace.

De volledige lijst van applicaties:

  • Classroom
  • Chat
  • Meet
  • Hangouts
  • Contacts
  • Tasks
  • Keep
  • Drive
  • Calendar
  • Jamboard
  • Sites
  • Forms
  • Sheets
  • Docs
  • Slides
  • Assignments
  • Cloud search and retrieval across services
  • Vault
  • Gmail
  • Cloud identity management

Kan ik de aanvullende diensten van Google waarover jullie nog afspraken gaan maken in de tussentijd gewoon blijven gebruiken?

Het is lastig om in deze brede zin daar antwoord op te geven. De afspraken met Google gaan in de eerste plaats over het gebruik van Workspace for Education (Plus). Daarnaast zijn er adviezen en technische maatregelen voor het gebruik van de aanvullende diensten (additional services) van Google. We verstrekken uiteraard zo snel mogelijk de beschikbare informatie over de diensten die buiten de afspraken vallen. Uiteindelijk dient u als instelling hier zelf een afweging in te maken.

Wat betekenen deze afspraken voor het gebruik van Google Chromebooks?

De concrete afspraken gelden in principe alleen op Workspace for Education (Plus). Google committeert zich wel om samen met SIVON en SURF ook op het onderwerp Chromebooks te blijven werken. Daarnaast belooft Google om verwerker te worden voor ChromeOS. We gaan u voorzien van informatie om nu al Chromebooks zo privacy-vriendelijk mogelijk in te stellen, bijvoorbeeld door te melden welke technische maatregelen nu genomen kunnen worden. Een definitief antwoord over het gebruik van Chromebooks kunnen we pas geven als de gesprekken met Google zijn afgerond over de DPIA die op Chrome/ChromeOS momenteel wordt uitgevoerd.

Wat gebeurt er als ik niet voor het nieuwe schooljaar de aanpassingen heb doorgevoerd? Krijg ik dan een boete van het AP?

Naar verwachting legt de AP niet voor aanvang van het schooljaar een boete op. De werkwijze is dat de AP een onderzoek start als zij een klacht hebben ontvangen van bijvoorbeeld een bezorgde ouder. Dat onderzoek neemt enige tijd in beslag en dan bekijkt de AP deze specifieke case en indien als men daar reden toe ziet gaan handhaven. Ons advies is dus niet te lang te wachten met het doorvoeren van de aanpassingen.

Zijn de onderhandelingen nu klaar of gaan jullie nog verder in gesprek met Google?  

We blijven continue in gesprek met Google. De focus lag de afgelopen periode vooral op de uitkomsten van de DPIA op Workspace en het advies van de AP. We blijven in gesprek rondom andere diensten en producten van Google zoals de aanvullende diensten (additional service), ChromeOS en Google Cloud Platform. Daarnaast zullen wij een vinger aan de pols houden rondom de technische verbeteringen die Google door moet voeren op Workspace om te oordelen dat ze tijdig en voldoende worden afgerond.

Vragen over de DPIA op Google Workspace

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Meer informatie? Lees dan meer over DPIA’s op de Aanpak IBP van Kennisnet.

Waarom is er een DPIA naar Google Workspace gedaan?

De DPIA is gedaan om de privacyrisico’s van Google Workspace for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google Workspace. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma’s gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google Workspace gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.

Benieuwd naar de volledige inhoud van de DPIA? Bekijk dan de DPIA op Google Workspace.

Waarom is de DPIA in het Engels?

De DPIA is in het Engels omdat de voertaal binnen Google Engels is. De resultaten moeten ook voor hen duidelijk zijn en niet verkeerd geïnterpreteerd of vertaald worden.

Wat betekent de DPIA op Google voor de leerresultaten van mijn leerlingen?

Uit de DPIA blijkt dat de controle over gebruikersdata zoals leerresultaten bij de school ligt, niet bij Google.

Geldt de DPIA niet voor Microsoft en Office 365?

Voor de producten en diensten van Microsoft zijn 2 jaar geleden soortgelijke DPIA’s uitgevoerd. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt. De uiteindelijke conclusie van die DPIA’s was dat voor het gebruik van Microsoft-producten geen hoge risico’s overblijven, mits de klant een aantal maatregelen neemt. Lees daarover meer in het artikel Zo werkt uw school AVG-conform met Microsoft-producten van Kennisnet.