Google Workspace for Education voldoet niet aan de AVG. Onderwijs mag er geen gebruik van maken
Er kleven privacyrisico’s aan het gebruik van Google G Suite for Education (heet nu: Google Workspace for Education). Dat blijkt uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA).
De demissionaire onderwijsministers Ingrid van Engelshoven en Arie Slob hebben hierover een brief gestuurd aan de Tweede Kamer.
G Suite for Education heet sinds kort Google Workspace for Education en bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer.
De privacyrisico’s zijn aan het licht gekomen door een zogenoemde Data Protection Impact Assessment (DPIA) naar Google G-suite.
Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de privacyrisico’s zijn.
Het Ministerie van Justitie en Veiligheid heeft het DPIA naar de Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G-suite Education.
Uit deze DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite en G Suite for Education. Een van deze risico’s betreft de omgang met metadata.
Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt.
Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen.
Dat betekent dat onderwijsinstellingen die Google G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt”, aldus de onderwijsministers.
De Autoriteit Persoonsgegevens is om nader advies gevraagd in deze zaak. Het kabinet heeft er bovendien contact over opgenomen met de Europese Commissie.
De scholen en onderwijsinstellingen worden in de komende periode via de diverse informatiekanalen die hen ter beschikking staan (websites, nieuwsbrieven) vanuit SURF, SIVON en de sectorraden geïnformeerd en ondersteund.
Onderwijsinstellingen zijn verantwoordelijk voor de keuze van veilige digitale leermiddelen en platforms, voor een zorgvuldige omgang met de persoonsgegevens van leerlingen en docenten, en de naleving van privacywetgeving, waarvan de AVG de belangrijkste is.
Het gaat hierbij onder andere om het opstellen van informatiebeveiligings- en privacybeleid, de aanstelling van een functionaris voor de gegevensbescherming, de inrichting van toegangs- en beheerrechten in ict-systemen, de logging hiervan, de uitvoering van risicoanalyses (zoals DPIA’s) en het afsluiten van verwerkersovereenkomsten met leveranciers (verwerkers).
Links
- Kamerbrief uitvoeren DPIA’s in het onderwijs
- Veelgestelde vragen DPIA Google
- Google G Suite for education (Google Workspace for Education)
Het bericht Privacyrisico’s bij gebruik Google verscheen eerst op de website van de Algemene Vereniging Schoolleiders.