Nu uit de Data Protection Impact Assessment (DPIA) blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite for Education, is Google aan zet om dit op te lossen. Het uitgangspunt van het Nederlandse onderwijs is dat Google haar voorwaarden en systemen aanpast.

De privacyrisico’s die zijn geconstateerd hebben met name betrekking op metadata. Dit zijn gegevens die ontstaan bij het gebruik van de applicaties van Google. Met deze data kan Google onder andere zien:

Belangrijk: Het gaat hier dus niet om individuele leerresultaten of naam- en adresgegevens van gebruikers. 

Weergave van het zoekscherm Google
Google zal haar privacyvoorwaarden en systemen moeten wijzigen om te kunnen voldoen aan de Europese privacywetgeving AVG.

En nu? Kan ik zelf maatregelen nemen op korte termijn? 

De maatregelen die onderwijsinstellingen kunnen nemen om privacyrisico’s te verkleinen zijn zeer beperkt. Omdat het om een complex technisch vraagstuk gaat, hebben wij ook nog geen volledig zicht op alle maatregelen die u kunt nemen. Wel kunt u onderstaande tips overwegen.  

Beheer instellingen en koppelingen met andere Google apps

De DPIA is uitgevoerd op G Suite (Enterprise) for Education. Andere producten van Google, zoals de zoekmachine Google, de browser Chrome, kaartenprogramma Maps en videoportal YouTube vallen hier niet onder. Toch zijn deze producten wel meegenomen in de DPIA omdat deze producten veel worden gebruikt. Er zijn dus ook privacyrisico’s bij het gebruik van deze producten. 

Tip: Een beheerder heeft de mogelijkheid om toegang tot deze Google-producten te blokkeren.  Als G Suite (Enterprise) for Education door po- en vo-scholen wordt gebruikt, staat al sinds een aantal jaar de toegang tot deze andere producten standaard uit. De beheerder van een po- of vo-school kan controleren of er in de tussentijd iets is gewijzigd aan deze standaardinstelling.

Na de uitkomsten van de DPIA, heeft Google een aantal wijzigingen aangebracht in G Suite. Dit betekent dat er meer maatregelen mogelijk zijn: 

Meer weten over deze maatregelen?  Bekijk de Google Workspace for Education Data Protection Guide.

Beperk het gebruik van persoonsgegevens

Door minder met persoonsgegevens te werken, verkleint u zelf de privacyrisico’s. Denk bijvoorbeeld aan: 

De DPIA laat geen risico’s met inlognamen zien: de school is hiervoor verwerkingsverantwoordelijke en bepaalt wat er met deze gegevens gebeurt. Veel scholen laten leerlingen niet met hun naam inloggen maar met een nummer of een ander pseudoniem. Voor scholen die leerlingen wel met hun naam laten inloggen is het niet nodig om dit beleid nu aan te passen. Dit heeft namelijk nauwelijks effect op de risico’s die in de DPIA aan het licht zijn gekomen. Tegelijkertijd is de impact hiervan voor leerlingen, leraren en beheerders in de meeste gevallen zeer groot. 

Gebruik tijdelijk een ander systeem dat al aanwezig is

Een flink aantal scholen maken gebruik van zowel de Office365-omgeving van Microsoft als de G Suite van Google. Voor die scholen kan het relatief eenvoudig zijn om af te spreken dat voor nieuwe documenten en samenwerkingen voortaan gebruik wordt gemaakt van Office 365. Op Office 365 is eerder een DPIA uitgevoerd, waarna Microsoft maatregelen heeft genomen waardoor zij aan de AVG voldoen. De laatste maatregelen hiervoor worden nog doorgevoerd door Microsoft.

Ook Apple biedt vergelijkbare producten aan. Op de producten van Apple is nog geen DPIA uitgevoerd. Wij kunnen daarom niets zeggen over de privacyrisico’s op de producten van Apple. 

Belangrijk om te herhalen: zie de (tijdelijke) overstap naar Office365 vanuit het perspectief en het uitgangspunt van het Nederlandse onderwijs: Google zal haar voorwaarden moeten aanpassen om aan de voorwaarden van de AVG te voldoen. 

Maatregelen bij gebruik van chromebooks

Scholen die gebruikmaken van chromebooks, de devices van Google, zullen met vragen zitten. Deze devices zijn namelijk voorgeïnstalleerd met Google’s besturingssysteem ChromeOS. En het beheren van deze devices gaat het beste met G Suite, net als het (samen)werken op de apparaten. Om meer duidelijkheid te krijgen, zijn wij in overleg met leveranciers van chromebooks over welke privacybevorderende maatregelen genomen kunnen worden. Zodra hier meer over bekend is, zullen we deze informatie met u delen.

Sluit voorlopig geen nieuwe contracten af 

Staat uw school voor de keuze om over te stappen naar G Suite for Education? Kijk dan of het mogelijk is deze beslissing uit te stellen. Het uitstellen van een dergelijke beslissing kan grote implicaties hebben. Maar zolang Google niet aan de voorwaarden van de AVG en het onderwijs voldoet, brengt overstappen risico’s met zich mee.  

Meer informatie

Deel deze pagina: G Suite veiliger gebruiken. Wat kan ik doen?

Delen
  • LinkedIn
  • Facebook
  • Twitter
  • E-mail