Update Google Workspace for Education

Op deze pagina geven wij u een update over de voortgang met Google over Google Workspace for Education. Het volgende komt aan bod:

  • De nieuwe inzichten die voort zijn gekomen uit de werksessies over de implementatie van de Google maatregelen. 
  • De voortgang met betrekking tot de gemaakte afspraken (‘remediation plan’) 
  • DPIA op Google Chrome OS & Browser 

Werksessies over de implementatie van de Google maatregelen

In december 2021 hebben SIVON en Kennisnet 4 werksessies over de te nemen privacy maatregelen van Google Workspace georganiseerd. Hierbij zijn vragen over WSfE besproken en verschillende alternatieven die scholen gebruiken. Het ging over: 

  1. Cookies  
  2. Anonieme e-mail 
  3. YouTube 
  4. Synchronisatie 
  5. Data locatie 

1. Cookies 

Technische gezien geeft het gebruik van 3rd party Cookies 2 risico’s: 

  1. Het uitlezen van de cookies in de browser door Google 
  2. De tracking door de cookies zelf door 3e partijen. Dit is een generiek risico die ook aanwezig is bij andere systemen (anders dan Google). 

In oktober hebben we een update op de veelgestelde vragen gepubliceerd over het gebruik van cookies.  

Google geeft aan dat zij geen personen kunnen identificeren aan de hand van cookies en dat ze dus ook geen inzage kunnen verlenen in persoonlijke data die ze verzamelen. Lees het Google statement hierover. Dit is in strijd met de AVG.  

De tracking door derden kan ondervangen worden door het whitelisten van vertrouwde websites en/of het gebruik van een add blocker om in ieder geval tracking cookies te blokkeren. Er is geen DPIA uitgevoerd op de add blockers. Hier blijft ook nog een rest risico over. 

Welke url moet je whitelisten? 

Als je site A bekijkt en site A bevat content van site B. Dan moet je de URL van site B whitelisten. Voor een aantal scholen blijkt dit goed te werken en is de lijst met sites die moet worden ‘gewhitelist’ beperkt. Uitgangspunt is natuurlijk dat de cookies van site B te vertrouwen zijn. 

Welke applicatie op de whitelist zouden moeten staan is vooral een trial en error proces. Hieronder een voorbeeld: 

[*.]malmberg.nl  
[*.]noordhoff.nl  
[*.]thiememeulenhoff.nl  
[*.]toegang.org  
[*.]google.com  
[*.]google.nl  
[*.]basispoort.nl  
docs.google.com  
ogs.google.com
play.google.com  
ops.google.com  
[*.]drive.google.com – het gebruiken van bv. video’s in de eigen Google Drive in Google Presentation of Classroom. 
[*.]googleusercontent.com – het downloaden van bestanden vanaf Google Drive. 
https://accounts.google.com – het doen/hebben van SSO met Google op gelieerde applicaties. 
[*.]toegang.nu – specifiek voor de Resultatenmonitor (Noordhoff) 

2. Pseudoniem e-mail adres 

Een anoniem adres is niet te herleiden tot een persoon. Een pseudoniem e-mail is wel te herleiden tot een persoon. Anoniem en pseudoniem is in de communicatie door elkaar gebruikt. We hanteren vanaf nu de term pseudoniem. Een pseudoniem is meestal door de eigen organisatie te herleiden tot een persoon, terwijl de ‘buitenwereld’ niet weet om wie het gaat.  

Het advies is om alleen pseudonieme mailadressen te gebruiken voor leerlingen. Voor leraren/docenten is het niet noodzakelijk. Leerlingen zijn zich niet altijd bewust met wie of op welke websites ze hun e-mailadres delen, bij leraren/docenten mag je verwachten dat zij bewuster hun e-mailadres delen. Een email adres komt wordt in veel gevallen gevraagd voor toegang tot een online dienst.  

Het gebruik van een pseudoniem is vooral van belang bij jongere leerlingen. Zij overzien minder de gevolgen van het digitale spoor dat ze achterlaten op internet. Het gaat hier dus echt om het email adres 1234@school.nl. Bij display name (in Google mail bijvoorbeeld) kan wel de naam opgegeven worden. Het doel is om een e-mail adres niet direct tot de persoon herleidbaar te maken. Bij een datalek op het internet worden in het algemeen minimaal e-mailadressen gelekt en dan betreft leerlingen de grootste groep. Hierbij helpt het pseudonimiseren van e-mailadressen. We noemen dit dataminimalisatie, één van de vuistregels voor privacy.   

Dit advies is ook breder toe te passen. Ook bij andere systemen dan Google is het goed dit advies te implementeren: gebruik niet meer gegevens dan nodig is.  

Als het e-mailadres van leerlingen gebruikt voor single sign-on en identificatie bij andere systemen is het advies om een migratiepad te hanteren. Voor nieuwe leerlingen wordt dan een pseudoniem gebruikt. Bestaande accounts blijven zoals ze zijn en faseren geleidelijk uit. Huidige accounts omzetten heeft een grote impact, is technisch een complexe activiteit omdat in alle gekoppelde systemen dit op hetzelfde moment moet gebeuren en bij fouten is de kans op een datalek groot. Accounts worden bijvoorbeeld aan de verkeerde mailbox/bestanden gekoppeld of accounts worden onterecht opnieuw aangemaakt waardoor toegang tot de mailbox/bestanden niet meer mogelijk is. De consensus bij de werksessies is dat de risico’s van verlies van data en toegang zwaarder wegen als leerlingen niet meer bij hun leermiddelen kunnen komen (of erger nog dat bij het toewijzen van account fouten optreden die tot een datalek leiden). De argumenten om dit migratiepad te volgen, wegen daarmee voldoende zwaar om deze afweging te maken in de lokale DPIA. In het po is de ECK-id een gangbaar pseudoniem. 

3. YouTube 

Omdat YouTube veel gebruikt wordt in het onderwijs is deze dienst meegenomen in de Google Workspace DPIA, maar YouTube is een additionele dienst en dus geen onderdeel van de zogenaamde core-services van Workspace. YouTube moet uitstaan bij de additionele services: leerlingen hebben geen toegang tot de YouTube browser.  

Additionele Google-diensten vallen niet onder de Google Workspace for education-overeenkomst. Het gebruik ervan levert een hoog risico op voor leerlingen en medewerkers, omdat de school geen controle heeft over persoonsgegevens die Google hierbij verzamelt of gebruikt. Google ziet zichzelf als verwerkingsverantwoordelijke (data controller) en verwerkt data met 33 brede commerciële doelen zoals beschreven op pagina 94 van de DPIA uit maart 2021. 

De privacy risico’s van YouTube zijn systeem onafhankelijk. Dit speelt dus ook als YouTube gebruikt wordt in een Microsoft omgeving. YouTube wordt ook veel gebruikt in educatieve applicaties. In deze gevallen moet dit in embedded mode zijn met privacy enhanced enabled. YouTube films kunnen gekeken worden in embedded mode. Google heeft bevestigd dat gebruik van de embedded player wel voldoet aan de gemaakte privacy afspraken.  

Voor YouTube zijn er 3 user cases te onderscheiden 

  1. Zelf video materiaal maken en uploaden. 
    Ons advies is: doe dat niet in YouTube maar deel video’s in drive of Edusources. 
  2. Een specifieke YouTube video bekijken 
    Plaats deze video in embedded mode (privacy modus aan) in classroom, presentaties of sites. 
  3. Vrij doorzoekbaar YouTube gebruiken en video’s afspelen. 

De embedded mode voldoet aan de AVG, maar beperkt de gewenste functionaliteit voor het onderwijs. Een aantal scholen beperkt de privacy impact voor scenario 3 met een of meerdere van de volgende maatregelen:   

  • Video’s zoeken in duckduckgo en in embedded mode afspelen op de duckduckgo website. Om expliciete content in de zoek resultaten te voorkomen gebruik je de safe mode. Je kan safe search met duckduckgo instellen via admin.google.com.
  • Een beperkte set leraren toegang geven tot YouTube om video’s te beheren. De privacy van deze leraren is dan niet volledig beschermt, maar voorkomt dat iedereen video’s upload. Deze groep leraren krijgt dan uitleg over de privacy-risico’s. De vraag is of deze medewerkers volledig vrijwillig deze keuze kunnen maken. Toestemming is geen geldige grondslag. Een alternatief is om voor deze medewerkers een apart YouTube-account te maken (zodat de informatie over hun eigen werk-account niet gedeeld wordt met Google).  
  • Een andere optie is een YouTube account met meerdere gebruikers. Dit maakt volgen van een persoon onmogelijk, maar deze optie geeft een beveiligingsrisico omdat het account gedeeld wordt.  
  • YouTube video’s zoeken en/of afspelen op gedeelde laptops in gastmodus is wel een optie. 
  • YouTube cookies blokkeren

De onderstaande opties beperken de risico niet:

  • YouTube video’s afspelen met een privé-account is geen optie. De school blijft verantwoordelijk voor gebruikte/voorgeschreven leermiddelen. Ook bij een privé-account zoeken leerlingen in opdracht van de school, en Google houdt informatie bij over deze leerlingen.  
  • De YouTube player uit de Google playstore is geen optie omdat Youtube via de browser te gebruiken is.  
  • YouTube video’s afspelen in incognito modus in de browser. De meeste bescherming die incognito geeft is lokaal. De andere gebruikers kunnen niet zien wat jij op deze computer gedaan hebt. Tracking op het web van de website die je bezoekt, in dit geval Youtube, gaat nog wel door. Voor het anoniem surfen op internet is een private browsing modus niet geschikt. 

4. Synchronisatie 

Het gaat hier om de synchronisatie van gegevens uit de Chromebrowser met het Google Workspace account. Deze synchronisatie vindt plaats als inloggen bij Chromebrowser is toegestaan. In de update van de FAQ van oktober 2021 hadden we een andere mogelijkheid gegeven om synchronisatie uit te zetten. Dit menu is van 15 december 2021 terug te vinden in admin.google.com.

5. Data locatie 

UIt overleg met Google blijkt dat Google niet fundamenteeel anders omgaat met persoonsgegevens bij de gratis of betaalde editie. De gebruikersdata (bestanden etc.), ook wel customerdata genoemd, wordt zo veel mogelijk binnen Europa verwerkt (opgeslagen).  

Ook bij de betaalde versie van Workspace staat niet alle data in de EER. Customerdata staat in de regio van de gebruiker. Voor Nederlandse scholen zal dit in EER datacenters zijn. Over data locatie van meta data (ook wel service data) hebben we nog geen duidelijkheid. Service data en diagnostic valt ook niet onder de data locatie (data region policy).  

De optie om gegevens binnen de EU op te slaan, is alleen voor de betaalde versie beschikbaar. Om compliant te zijn, kan deze optie geselecteerd worden als het kan. Alleen in de betaalde versie (standard of plus) kan de datalocatie EER gekozen worden. Deze optie komt niet beschikbaar in fundamentals (gratis versie). Deze optie biedt Google aan klanten aan, om te kunnen voldoen aan het eigen interne beleid. Zoals gezegd is er weinig verschil in opslag van data voor Nederlandse scholen.  

Data Transfer Impact Assesement 

SIVON voert op dit moment in samenwerking met Google een Data Transfer Impact Assesment (DTIA) uit om de rest risico’s (if any) scherper te krijgen. Met deze DTIA wordt inzichtelijk gemaakt welke gegevens op welke gegevens op welke plek worden opgeslagen, en wat de eventuele aanvullende maatregelen zijn die scholen kunnen nemen om te voldoen aan de AVG. Het advies is om deze DTIA af te wachten om de afweging te maken of data locatie vereist is.  

Data locatie is een medium risico, zodat het ontbreken van de opslag binnen de EU (EER) geen noodzaak is om WSfE te gebruiken.  

Remediation plan Google Workspace for Education 

In het Google Workspace DPIA rapport staan een aantal verbeterpunten waar Google toezeggingen voor heeft gedaan. Medio mei 2022 ontvangen alle scholen een e-mail van Google met een update over de status van de verschillende punten. Vanuit SIVON kunnen we bevestigen dat Google on-track is. Voor alle duidelijkheid het gaat dus om de toezeggingen in de tabel “Full list of mitigating measures by Google” op pagina 24 en 25 van het DPIA rapport.

SURF, SIVON en SLM Rijk (ministerie van Justitie en Veiligheid) blijven in gesprek met Google over de voortgang op de punten uit het remediation plan.  

DPIA op Google Chrome OS & Browser 

De DPIA op Google Chrome OS & Browser loopt nog. We willen voor de zomervakantie met een inhoudelijke update komen.