terug naar actueel

Veelgestelde vragen over het gebruik van Google Workspace en de DPIA Google

  • bijgewerkt op 08 juli 2021

Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, mits zij zelf ook enkele acties uitvoeren. Dit is het resultaat van intensieve gesprekken die SIVON, SURF en het Strategisch Leveranciersmanagement Rijk (SLM-Rijk), mede op verzoek van de PO-Raad  en VO-raad, hebben gevoerd met Google.  Op deze pagina vindt u alle veelgestelde vragen over het gebruik van Google Workspace en de DPIA Google.

Er ligt een tablet op tafel. Een persoon drukt met zijn vinger op het scherm. Op de voorgrond zijn witte symbolen te zien van een slot, een wolk en een persoon. Tussen deze symbolen lopen lijnen en pijlen.

Vragen over het gebruik van Google Workspace

Welke producten bevat Google G Suite for Education en wat is Google Workspace for Education?

Google G Suite for Education bevat onder andere Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. Google G Suite for Education heet sinds kort Google Workspace for Education. Daarom spreken we van Google Workspace.

De volledige lijst van applicaties:

  • Classroom
  • Chat
  • Meet
  • Hangouts
  • Contacts
  • Tasks
  • Keep
  • Drive
  • Calendar
  • Jamboard
  • Sites
  • Forms
  • Sheets
  • Docs
  • Slides
  • Assignments
  • Cloud search and retrieval across services
  • Vault
  • Gmail
  • Cloud identity management

Wat moet ik zelf doen om Workspace for Education te blijven gebruiken? 

SURF en SIVON helpen de scholen om Workspace for Education te blijven gebruiken. Het gaat daarbij om:

  1. Scholen krijgen advies en hulpmiddelen van SURF en SIVON over de technische en organisatorische maatregelen die zijn kunnen nemen (instellingen voor administrators). Deze wijzigingen moeten scholen zelf doorvoeren.
  2. Daarnaast moeten scholen de aangepaste voorwaarden van Google accepteren. Hier komt over een paar weken meer informatie over.
  3. Met de aangepaste DPIA die SURF en SIVON gaan publiceren, maken scholen zelf een afweging of voor hen de risico’s voldoende zijn gemitigeerd, en of er voor hun specifieke situatie aparte risico’s zijn die beperkt moeten worden.

Met deze 3 verschillende stappen worden scholen geholpen om te bepalen of deze afspraken in voldoende mate invulling geven aan de bescherming van persoonsgegevens conform de AVG. Daarmee bepalen scholen zelf of zij Workspace in het nieuwe schooljaar kunnen blijven gebruiken.

Welke ondersteuning bieden SIVON/SURF bij de aanpassingen die scholen moeten doen voor de start van het nieuwe schooljaar?  

Voor de scholen komt een handleiding waarin stapsgewijs wordt uitgelegd hoe je de aanpassingen kan maken in Google Workspace for Education (Plus). Ook wordt in juli uitleg gegeven over het accepteren van de aangepaste privacy-voorwaarden. De DPIA wordt aangepast met uitleg over de beperking van de hoge privacyrisico’s. Scholen kunnen met de hulpmiddelen van SIVON/Kennisnet zelf beoordelen of de risico’s voldoende zijn beperkt om gebruik te kunnen blijven maken van Workspace for Education. Daarnaast zorgen wij voor voorbeeldbrieven voor ouders, medewerkers en GMR en Raad van toezicht.

Kan ik de aanvullende diensten van Google waarover jullie nog afspraken gaan maken in de tussentijd gewoon blijven gebruiken?

Het is lastig om in deze brede zin daar antwoord op te geven. De afspraken met Google gaan in de eerste plaats over het gebruik van Workspace for Education (Plus). Daarnaast zijn er adviezen en technische maatregelen voor het gebruik van de aanvullende diensten (additional services) van Google. We verstrekken uiteraard zo snel mogelijk de beschikbare informatie over de diensten die buiten de afspraken vallen. Uiteindelijk dient u als instelling hier zelf een afweging in te maken.

Wat betekenen deze afspraken voor het gebruik van Google Chromebooks?

De concrete afspraken gelden in principe alleen op Workspace for Education (Plus). Google committeert zich wel om samen met SIVON en SURF ook op het onderwerp Chromebooks te blijven werken. Daarnaast belooft Google om verwerker te worden voor ChromeOS. We gaan u voorzien van informatie om nu al Chromebooks zo privacy-vriendelijk mogelijk in te stellen, bijvoorbeeld door te melden welke technische maatregelen nu genomen kunnen worden. Een definitief antwoord over het gebruik van Chromebooks kunnen we pas geven als de gesprekken met Google zijn afgerond over de DPIA die op Chrome/ChromeOS momenteel wordt uitgevoerd.

Wat gebeurt er als de afspraken toch niet gemaakt kunnen worden?

De afspraken met Google gaan niet alleen over gewijzigde contractuele afspraken en technische maatregen die scholen kunnen nemen, maar ook over aanpassingen die Google in haar software moet doorvoeren. SURF en SIVON blijven met Google daarover in gesprek en houden de voortgang in de gaten. Google heeft zich gecommitteerd om de gemaakte afspraken over Workspace for Education (Enterprise) in 2022 af te ronden. De afspraken met Google voldoen daarmee aan de aanwijzingen die de AP heeft gegeven in haar advies van 31 mei 2021.

Wat gebeurt er als ik niet voor het nieuwe schooljaar de aanpassingen heb doorgevoerd? Krijg ik dan een boete van het AP?

Naar verwachting legt de AP niet voor aanvang van het schooljaar een boete op. De werkwijze is dat de AP een onderzoek start als zij een klacht hebben ontvangen van bijvoorbeeld een bezorgde ouder. Dat onderzoek neemt enige tijd in beslag en dan bekijkt de AP deze specifieke case en indien als men daar reden toe ziet gaan handhaven. Ons advies is dus niet te lang te wachten met het doorvoeren van de aanpassingen.

Zijn de onderhandelingen nu klaar of gaan jullie nog verder in gesprek met Google?  

We blijven continue in gesprek met Google. De focus lag de afgelopen periode vooral op de uitkomsten van de DPIA op Workspace en het advies van de AP. We blijven in gesprek rondom andere diensten en producten van Google zoals de aanvullende diensten (Additional Service), ChromeOS en Google Cloud Platform. Daarnaast zullen wij een vinger aan de pols houden rondom de technische verbeteringen die Google door moet voeren op Workspace om te oordelen dat ze tijdig en voldoende worden afgerond.

Vragen over de DPIA op Google Workspace

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Meer informatie? Lees dan meer over DPIA’s op de Aanpak IBP van Kennisnet.

Waarom is er een DPIA naar Google Workspace gedaan?

De DPIA is gedaan om de privacyrisico’s van Google Workspace for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google Workspace. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma’s gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google Workspace gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.

Benieuwd naar de volledige inhoud van de DPIA? Bekijk dan de DPIA op Google Workspace.

Waarom is de DPIA in het Engels?

De DPIA is in het Engels omdat de voertaal binnen Google Engels is. De resultaten moeten ook voor hen duidelijk zijn en niet verkeerd geïnterpreteerd of vertaald worden.

Wat betekent de DPIA op Google voor de leerresultaten van mijn leerlingen?

Uit de DPIA blijkt dat de controle over gebruikersdata zoals leerresultaten bij de school ligt, niet bij Google.

Geldt de DPIA niet voor Microsoft en Office 365?

Voor de producten en diensten van Microsoft zijn 2 jaar geleden soortgelijke DPIA’s uitgevoerd. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt. De uiteindelijke conclusie van die DPIA’s was dat voor het gebruik van Microsoft-producten geen hoge risico’s overblijven, mits de klant een aantal maatregelen neemt. Lees daarover meer in het artikel Zo werkt uw school AVG-conform met Microsoft-producten van Kennisnet.