terug naar actueel

Veelgestelde vragen DPIA Google

  • bijgewerkt op 09 maart 2021

Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google G Suite. De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google deze privacyrisico’s wegneemt en deze metadata gegevens niet langer verzamelt. Op deze pagina vindt u alle veelgestelde vragen over de DPIA op Google.

Er ligt een tablet op tafel. Een persoon drukt met zijn vinger op het scherm. Op de voorgrond zijn witte symbolen te zien van een slot, een wolk en een persoon. Tussen deze symbolen lopen lijnen en pijlen.

Algemene vragen

Welke producten bevat Google G Suite for Education en wat is Google Workspace for Education?

Google G Suite for Education bevat onder andere Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. Google G Suite for Education heet sinds kort Google Workspace for Education.

De volledige lijst van applicaties:

  • Classroom
  • Chat
  • Meet
  • Hangouts
  • Contacts
  • Tasks
  • Keep
  • Drive
  • Calendar
  • Jamboard
  • Sites
  • Forms
  • Sheets
  • Docs
  • Slides
  • Assignments
  • Cloud search and retrieval across services
  • Vault
  • Gmail
  • Cloud identity management

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Meer informatie? Lees dan meer over DPIA’s op de Aanpak IBP van Kennisnet.

Waarom is er een DPIA van Google G Suite gedaan?

De DPIA is gedaan om de privacyrisico’s van Google G Suite for Education voor gebruik door onderwijsinstellingen in beeld te brengen. Daarmee kunnen we in kaart brengen welke maatregelen genomen kunnen worden om die risico’s te beperken.

Wat zijn de uitkomsten van de DPIA?

Uit de uitgevoerde DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite (Enterprise) for Education. Google heeft de privacyvoorwaarden daarom op een aantal punten aangepast. Wel blijven er nog risico’s over.

Bij de DPIA blijkt ook dat er zogenoemde metadata worden verzameld. Bij metadata wordt op afstand gemeten of en hoe een gebruiker de programma’s gebruikt. Deze gegevens worden verstuurd naar de leverancier van de programmatuur. Het gaat bijvoorbeeld om het moment van inloggen door gebruikers, welke sites er bezocht worden, hoe lang er aan een document gewerkt wordt of hoeveel woorden er getypt worden.

Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google G Suite (Enterprise) for Education gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.

Hoe gaat dat nu verder in zijn werk?

Namens het onderwijsveld zijn SURF en SIVON met Google in gesprek om de geconstateerde privacyrisico’s rond het gebruik van metadata op te lossen. Op dit moment zijn nog niet alle aanpassingen naar wens van het onderwijsveld door Google doorgevoerd. SURF en SIVON dienen nu een adviesaanvraag in bij de Autoriteit Persoonsgegevens (AP). De AP kan in dat advies een oordeel geven over de geconstateerde privacyrisico’s.

Wat gebeurt er als Google de aanpassingen niet doorvoert?

Wij gaan ervan uit dat Google de aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen.

Moeten onderwijsinstellingen nu acuut stoppen met het gebruik van Google?

Nee. Er is een probleem en dat moet opgelost worden, en wij gaan er van uit dat Google de benodigde aanpassingen doorvoert. De situatie op dit moment betekent niet dat scholen en onderwijsinstellingen op stel en sprong moeten stoppen met het gebruik van Google G Suite, vooral als zij erop aangewezen zijn voor de continuïteit van het onderwijs. De gesprekken met Google over aanpassing van hun beleid lopen nog en ook is de AP gevraagd om advies uit te brengen We adviseren scholen die overwegen te starten met Google tot die tijd wel om die plannen tot nader order op te schorten.

Wat heeft Google aangepast naar aanleiding van de DPIA?

Er is afgesproken dat Google beter communiceert over het gebruik van gegevens van gebruikers, ook over de metadata die Google verzamelt. Google heeft in november 2020 de Google Cloud Privacy Notice en in februari 2021 de Google Workspace for Education Data Protection Implementation Guide gepubliceerd. In de herbeoordeling van de DPIA van februari 2021 wordt geconcludeerd dat deze documenten nog onvoldoende informatie verschaffen over de verwerking van metadata door Google. Bij gebruik van G Suite for Education neemt Google daarnaast ook maatregelen voor inloggen met een privé-account in de schoolomgeving, zodat privé informatie en schoolinformatie niet door elkaar heen lopen. Voor gebruikers met een account in het po en vo is de toegang tot de additional services, zoals YouTube, al standaard geblokkeerd.

Voor het funderend onderwijs

Wat betekent dit voor de leerresultaten van mijn leerlingen?

Uit de DPIA blijkt dat de controle over gebruikersdata zoals leerresultaten bij de school ligt, niet bij Google.

Hoe staan de PO-Raad en de VO-raad tegenover het gebruik van Google?

De PO-Raad en VO-raad vinden dat grote technologiebedrijven transparant moeten zijn over wat zij met data doen en hoe zij deze opslaan. Dit vraagt om duidelijke voorwaarden en afspraken. Zolang de privacy van leerlingen en medewerkers gewaarborgd is en er aan de eisen van de Algemene Verordening Gegevensbescherming (AVG) voldaan wordt, is er niets mis met het gebruik van Google. Google heeft haar contracten al op een aantal punten aangepast. Maar Google moet ook de privacyrisico’s die overblijven, wegnemen.

Kan ik de Chromebooks op mijn school nog gebruiken?

Er is een DPIA gedaan op het gebruik van de Google Suite, niet op het gebruik van de Chromebook. Over het gebruik van Chromebook kunnen we niets zeggen. De DPIA is uitgevoerd op de Google Suite die ook op de Chromebook is geïnstalleerd.

Geldt dit dan niet voor Microsoft en Office 365?

Voor de producten en diensten van Microsoft zijn 2 jaar geleden soortgelijke DPIA’s uitgevoerd. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt. De uiteindelijke conclusie van die DPIA’s was dat voor het gebruik van Microsoft-producten geen hoge risico’s overblijven, mits de klant een aantal maatregelen neemt. Lees daarover meer in het artikel Zo werkt uw school AVG-conform met Microsoft-producten van Kennisnet.

Heeft u nog een vraag?

Heeft u nog een vraag die niet is beantwoord? Stel deze dan via onderstaand formulier. De vragen die we binnen krijgen gebruiken we om deze pagina aan te vullen. We kunnen uw vragen helaas niet individueel beantwoorden.

Vragenformulier DPIA op Google