Privacyrisico’s bij gebruik van Google G Suite

Privacyrisico’s bij gebruik van Google G Suite

02-03-2021 12:28

In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google G Suite*. De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google deze privacyrisico’s wegneemt.

De privacyrisico’s zijn aan het licht gekomen door zogenoemde Data Protection Impact Assessments (DPIA) naar Google G Suite. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn. Het ministerie van Justitie en Veiligheid heeft het DPIA naar de Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op de Google G Suite Education. Namens het funderend onderwijs zijn SIVON, Kennisnet, de PO-Raad en VO-raad betrokken.

Metadata

Google verzamelt metadata. Dit is data over het gebruik van bijvoorbeeld Google G Suite. Daarmee kan Google bijvoorbeeld zien waar de gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina’s en zoekopdrachten het meeste worden gebruikt. Het gaat hier dus niet om individuele leerresultaten of adresgegevens van gebruikers.

Risico’s

Google ziet zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in hun privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mogen aanpassen, zonder om toestemming te vragen. 

Voor toepassingen bij onderwijsinstellingen is het onwenselijk dat het eigenaarschap en de verantwoordelijkheid voor die gegevens bij Google ligt. Hierdoor kunnen onderwijsinstellingen die Google Suite gebruiken, geen of onvoldoende controle uitoefenen over wat er met deze gegevens gebeurt. Dit zorgt voor een potentieel risico in de toekomst. Bijvoorbeeld doordat die metadata gebruikt wordt om gepersonaliseerde advertenties te plaatsen.

Vervolgstappen

Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten en zijn partijen nog in gesprek. Ook dienen zij een adviesaanvraag in over deze privacyrisico’s bij de Autoriteit Persoonsgegevens. Zij gaan ervan uit dat Google aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen en G Suite for Education veilig gebruikt kan worden.

Bekijk de veelgestelde vragen op de website van SIVON.

Bekijk hier de brief die de ministers Van Engelshoven en Slob aan de Tweede Kamer hebben gestuurd.

* = G Suite for Education heet sinds kort Google Workspace for Education. Google Workspace for Education bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. 

Bron: SIVON