DPIA voor Google G Suite
04-03-2021 8:28Onlangs is er een privacy-analyse uitgevoerd naar Google G Suite Enterprise en G Suite for Education. Inmiddels ook bekend als Google Workspace for Education (Plus). Uit de privacy-analyse blijkt dat de privacyvoorwaarden van Google niet voldoen aan de privacywetgeving. Dit betekent dat er privacyrisico’s zijn bij het gebruik van deze diensten. Scholen kunnen deze risico’s niet oplossen, dit moet Google doen. Wat betekent dit voor scholen die G Suite gebruiken? Kan dat nog veilig?
Nu uit de Data Protection Impact Assessment (DPIA) blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite for Education, is Google aan zet om dit op te lossen. Het uitgangspunt van het Nederlandse onderwijs is dat Google haar voorwaarden en systemen aanpast, zodat zij voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
De privacyrisico’s die zijn geconstateerd hebben betrekking op metadata. Dit zijn gegevens die ontstaan bij het gebruik van de applicaties van Google. Met deze data kan Google onder andere zien:
- waar gebruikers het meest op klikken
- hoe lang ze zijn ingelogd
- welke internetpagina’s en zoekopdrachten zijn het meeste gebruikt.
Belangrijk: Het gaat hier dus niet om individuele leerresultaten of naam- en adresgegevens van gebruikers.
Zelf maatregelen nemen op korte termijn?
De maatregelen die onderwijsinstellingen kunnen nemen om privacyrisico’s te verkleinen zijn zeer beperkt. Omdat het om een complex technisch vraagstuk gaat, is er ook nog geen volledig zicht op alle maatregelen die een verwerkingsverantwoordelijke kan nemen. De volgende tips kunnen overwogen worden:
Beheer instellingen en koppelingen met andere Google apps
De DPIA is uitgevoerd op G Suite (Enterprise) for Education. Andere producten van Google, zoals de zoekmachine Google, de browser Chrome, kaartenprogramma Maps en videoportal YouTube vallen hier niet onder. Deze producten zijn wel meegenomen in de DPIA want deze producten worden veel gebruikt. Er zijn dus ook privacyrisico’s bij het gebruik van deze producten.
Tip: Een beheerder heeft de mogelijkheid om toegang tot deze Google-producten te blokkeren.
Na de uitkomsten van de DPIA, heeft Google een aantal wijzigingen aangebracht in G Suite. Dit betekent dat het mogelijk is om meer maatregelen te treffen dan voorheen:
- Wanneer een medewerker/leerling die van de basisservices in G Suite for Education overstapt naar een aanvullende product van Google (Google Search of YouTube) wordt op dat moment automatisch uitgelogd uit het Google-schoolaccount.
Tip: Adviseer leerlingen en medewerkers hier ook niet zelf in te loggen met school- of privé-account. - De beheerder kan de toegang tot andere Google-producten centraal blokkeren. Dit kan steeds opnieuw gedaan worden wanneer nieuwe Google-producten beschikbaar komen.
- De beheerder kan het gebruik van een privé Google-account in de G Suite-omgeving centraal blokkeren.
- De beheerder kan bestaande gebruikers instructies geven hoe advertentiepersonalisatie aangepast kan worden. Voor gebruikers van po- en vo-scholen staat dit al standaard uit.
- Ook is het verstandig om medewerkers/leerlingen te adviseren bepaalde opties in G Suite niet te gebruiken. Dit geldt bijvoorbeeld voor de uitgebreide spellingcontrole van Chrome (deze staat standaard uit) en het verzenden van feedback om applicaties te verbeteren.
Beperk het gebruik van persoonsgegevens
Werk met minder persoonsgegevens, privacyrisico’s zijn daardoor verkleind. Denk bijvoorbeeld aan:
- Maak geen gebruik van foto’s van leerlingen en leraren (in profielen), ook dit zijn persoonsgegevens!
- Gebruik geen namen/persoonsgegevens in de titels van documenten. Deze kunnen terechtkomen in de metadata, waarvoor Google zichzelf als verwerkingsverantwoordelijke ziet. Dit betekent dat Google het doel en de middelen bepaalt bij het verwerken van die gegevens.
De DPIA laat echter geen risico’s met inlognamen zien: de school is hiervoor verwerkingsverantwoordelijke en bepaalt wat er met deze gegevens gebeurt. Leerlingen in laten inloggen met een nummer of ander pseudoniem in plaats van hun naam heeft daarom nauwelijks effect op de risico’s die in de DPIA aan het licht zijn gekomen. Tegelijkertijd is de impact hiervan voor leerlingen, leraren en beheerders in de meeste gevallen zeer groot.
Gebruik (tijdelijk) een ander systeem dat al aanwezig is
Veel scholen maken gebruik van zowel de Office365-omgeving van Microsoft als de G Suite van Google. Voor die scholen kan het relatief eenvoudig zijn om af te spreken dat voor nieuwe documenten en samenwerkingen voortaan gebruik wordt gemaakt van Office 365. Op Office 365 is eerder een DPIA uitgevoerd, waarna Microsoft maatregelen heeft genomen waardoor zij aan de AVG voldoen. De laatste maatregelen hiervoor worden nog doorgevoerd door Microsoft.
Ook Apple biedt vergelijkbare producten aan. Op de producten van Apple is nog geen DPIA uitgevoerd. Er is daarom niets te zeggen over de privacyrisico’s op de producten van Apple.
Belangrijk om te herhalen: zie de (tijdelijke) overstap naar Office365 vanuit het perspectief en het uitgangspunt van het Nederlandse onderwijs: Google zal haar voorwaarden moeten aanpassen om aan de voorwaarden van de AVG te voldoen.
Maatregelen bij gebruik van chromebooks
Scholen die gebruikmaken van chromebooks, de devices van Google, zullen met vragen zitten. Deze devices zijn namelijk voorgeïnstalleerd met Google’s besturingssysteem ChromeOS. En het beheren van deze devices gaat het beste met G Suite, net als het (samen)werken op de apparaten. Om meer duidelijkheid te krijgen, zijn organisaties in overleg met leveranciers van chromebooks over welke privacybevorderende maatregelen genomen kunnen worden.
Sluit voorlopig geen nieuwe contracten af
Staat uw school voor de keuze om over te stappen naar G Suite for Education? Kijk dan of het mogelijk is deze beslissing uit te stellen. Het uitstellen van een dergelijke beslissing kan grote implicaties hebben. Maar zolang Google niet aan de voorwaarden van de AVG en het onderwijs voldoet, is het niet verstandig om over te stappen.
Bron: Kennisnet