terug naar actueel

Veelgestelde vragen DPIA Google en het AP-advies over Google Workspace

  • bijgewerkt op 08 juni 2021

Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google Workspace for Education (voorheen Google G Suite for Education). De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en vroegen naar aanleiding daarvan de Autoriteit Persoonsgegevens (AP) om advies over het gebruik van Google Workspace in het onderwijs. Op deze pagina vindt u alle veelgestelde vragen over de DPIA op Google en het advies van AP over Google Workspace.

Er ligt een tablet op tafel. Een persoon drukt met zijn vinger op het scherm. Op de voorgrond zijn witte symbolen te zien van een slot, een wolk en een persoon. Tussen deze symbolen lopen lijnen en pijlen.

Vragen over het AP-advies over Google Workspace

Welke producten bevat Google G Suite for Education en wat is Google Workspace for Education?

Google G Suite for Education bevat onder andere Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. Google G Suite for Education heet sinds kort Google Workspace for Education. Daarom spreken we van Google Workspace.

De volledige lijst van applicaties:

  • Classroom
  • Chat
  • Meet
  • Hangouts
  • Contacts
  • Tasks
  • Keep
  • Drive
  • Calendar
  • Jamboard
  • Sites
  • Forms
  • Sheets
  • Docs
  • Slides
  • Assignments
  • Cloud search and retrieval across services
  • Vault
  • Gmail
  • Cloud identity management

Moeten onderwijsinstellingen per direct stoppen met het gebruik van Google Workspace?

De conclusie van de AP is dat als de onduidelijkheden en risico’s van het gebruik van Google Workspace niet worden weggenomen, Workpace niet meer gebruikt mag worden. Google heeft laten weten dat ze willen zorgen dat de problemen tijdig opgelost worden. SIVON, SURF en SLM Rijk zijn momenteel in gesprek met Google over hoe zij de benodigde aanpassingen zo snel mogelijk gaan doorvoeren.

Wat gebeurt er als Google de aanpassingen niet doorvoert?

Google heeft in een reactie laten weten dat zij verwacht de tekortkomingen snel op te kunnen lossen. Wij gaan ervan uit dat Google deze aanpassingen daadwerkelijk doorvoert nu de AP aangeeft dat het gebruik van Google Workspace in strijd is met de Algemene Verordening Gegevensbescherming (AVG).

Het AP adviseert per 1 augustus te stoppen met Google Workspace. Hoe hard is deze deadline?

De AP heeft gezegd dat Google Workspace niet meer in het nieuwe schooljaar gebruikt mag worden als de onduidelijkheden en privacyrisico’s van het gebruik van Google Workspace niet worden weggenomen. Alleen als de privacyproblemen rondom Google Workspace worden weggenomen, kunnen onderwijsinstellingen Workspace blijven gebruiken.

Wat kunnen SIVON en Kennisnet voor ons betekenen?

Google is aan zet. SIVON, SURF en SLM Rijk zijn in gesprek met Google om zo snel mogelijk duidelijkheid te krijgen of Google de benodigde aanpassingen gaat doorvoeren. Hierbij stemmen SURF en SIVON nauw af met de sectororganisaties. Daarnaast wordt in samenwerking met Kennisnet gewerkt aan een mogelijke exit scenario’s.

Is er al een plan wanneer blijkt dat onderwijsinstellingen per 1 augustus daadwerkelijk moeten stoppen?

Kennisnet is samen met SURF, SIVON en de sectorraden bezig met het ontwikkelen van een strategie en hulpmiddelen voor het stoppen met het gebruik van Google Workspace. Informatie en adviezen worden zo snel mogelijk gedeeld via de website van SIVON en Kennisnet.

Kan ik de Chromebooks op mijn school nog gebruiken?

Op dit moment wordt een onderzoek uitgevoerd naar de privacyrisico’s van het gebruik van Chromebooks. Zodra daar meer over bekend is, wordt dat gedeeld. Mocht na onderhandeling met Google blijken dat Google Workspace niet meer mag worden gebruikt, dan geldt uiteraard dat Google Workspace ook niet op Chromebooks gebruikt mag worden.

Hoe gaat het nu verder?

Samen met SLM Rijk, onderdeel van ministerie van Justitie en Veiligheid, zijn SIVON en SURF namens het onderwijs in gesprek met Google over de adviezen van de AP.

Vragen over de DPIA op Google Workspace

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Meer informatie? Lees dan meer over DPIA’s op de Aanpak IBP van Kennisnet.

Waarom is er een DPIA naar Google Workspace gedaan?

De DPIA is gedaan om de privacyrisico’s van Google Workspace for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google Workspace. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma’s gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google Workspace gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.

Benieuwd naar de volledige inhoud van de DPIA? Bekijk dan de DPIA op Google Workspace.

Waarom is de DPIA in het Engels?

De DPIA is in het Engels omdat de voertaal binnen Google Engels is. De resultaten moeten ook voor hen duidelijk zijn en niet verkeerd geïnterpreteerd of vertaald worden.

Wat betekent de DPIA op Google voor de leerresultaten van mijn leerlingen?

Uit de DPIA blijkt dat de controle over gebruikersdata zoals leerresultaten bij de school ligt, niet bij Google.

Geldt de DPIA niet voor Microsoft en Office 365?

Voor de producten en diensten van Microsoft zijn 2 jaar geleden soortgelijke DPIA’s uitgevoerd. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt. De uiteindelijke conclusie van die DPIA’s was dat voor het gebruik van Microsoft-producten geen hoge risico’s overblijven, mits de klant een aantal maatregelen neemt. Lees daarover meer in het artikel Zo werkt uw school AVG-conform met Microsoft-producten van Kennisnet.

Heeft u nog een vraag?

Heeft u nog een vraag die niet is beantwoord? Kom dan naar het webinar over het AP-advies op vrijdag 11 juni 2021 of donderdag 17 juni 2021. Daarin hoort u meer over het AP-advies en de gevolgen ervan voor het onderwijs. Ook kunt u daar uw vragen stellen.