Google voert ingrijpende privacy-verbeteringen door voor onderwijs

11-08-2021 | door: Martijn Kregting

Google voert ingrijpende privacy-verbeteringen door voor onderwijs

Nederlandse onderwijsinstellingen mogen Google-diensten blijven gebruiken. Google voert voor het Nederlandse onderwijs namelijk ingrijpende privacyverbeteringen door. De Autoriteit Persoonsgegevens (AP) had de scholen en universiteiten eerder in 2021 gewaarschuwd om vóór het begin van het nieuwe schooljaar te stoppen met het gebruik van Google Workspace for Education, een pakket online diensten dat vergelijkbaar is met Microsoft Office. Meer dan de helft van de Nederlandse lagere scholen, een derde van de scholen voor voortgezet onderwijs en een aantal faculteiten van de hogescholen en universiteiten maakt gebruik van Workspace for Education. Maar dat ging wel ten koste van de privacy van leerlingen, studenten en onderwijzers.

Privacy Company heeft in juni 2020 een DPIA opgeleverd (Data Protection Impact Assessment, Gegevensbeschermingseffectbeoordeling) op Google Workspace for Education op verzoek van twee universiteiten. Deze DPIA is bijgewerkt in maart 2021 na een eerste onderhandelingsronde met Google. Deze onderhandelingen leidden slechts tot het mitigeren van 2 van de 10 geïdentificeerde hoge risico's. Vanwege de resterende hoge risico's vroegen SURF en SIVON advies aan de AP. De AP adviseerde de scholen en de twee ministers van Onderwijs om een aantal maatregelen te nemen, waaronder een beoordeling van de specifieke risico's voor kinderen. Deze groep betrokkenen maakte geen deel uit van de oorspronkelijke DPIA (voor de twee universiteiten).

Verlagen hoge AVG privacyrisico's

Na intensieve onderhandelingen met SURF en SIVON, twee onderwijscoöperaties die de inkoop van ICT begeleiden, heeft Google een reeks maatregelen toegezegd om de acht hoge AVG privacyrisico's te verlagen. Google wordt, net als Microsoft, verwerker voor de Diagnostische Gegevens. Dat wil zeggen dat Google deze gegevens over in het individuele gebruik van de diensten alleen nog maar voor de doelen mag verwerken die door de scholen zijn goedgekeurd. Dat zijn er drie, namelijk het leveren, beveiligen en up to date houden van de diensten. Google mag de gegevens van de scholieren en studenten dus niet verwerken voor reclame, marketing, profiling of big data analyses. Google gaat voor zakelijke en educatieve klanten ook een verwerkersversie ontwikkelen van de Chromebooks en de Chrome browser.

Alle maatregelen zijn beschreven in het (Engelstalige) Update DPIA rapport, geschreven door Privacy Company. Privacy Company heeft ook een blog gepubliceerd (in het Engels en in het Nederlands) met een samenvatting van de onderhandelingsresultaten, en een checklist met maatregelen voor systeembeheerders. Het Update DPIA rapport bevat een aparte analyse van de risico's voor drie leeftijdsgroepen van kinderen (leeftijd 6-9, 9-12 en 13-16), en beschrijft hoe scholen en universiteiten de resterende risico's kunnen mitigeren.

Zowel SURF als SIVON hebben handleidingen en vragen en antwoorden gepubliceerd voor de scholen en universiteiten.

Terug naar nieuws overzicht