Home Nieuws Privacyrisico's uit DPIA van 2021 Google Workspace for Education voldoende opgelost

Privacyrisico's uit DPIA van 2021 Google Workspace for Education voldoende opgelost

05 juli 2023

In april heeft SIVON beloofd om een statusupdate te geven over het gebruik van Google Workspace for Education. Google heeft de afgelopen maanden maatregelen genomen om de resterende risico's uit de DPIA van 2021 volgens afspraak en binnen de deadline te verminderen. Op basis van de afspraken met Google en de verificatie door onze externe privacy partners, concludeert SIVON dat scholen Google Workspace voorlopig kunnen blijven gebruiken. Dit betekent dat je als schoolbestuur voor nu geen aanpassingen hoeft door te voeren. In een later stadium ontvang je het complete DPIA-rapport.

Google houdt zich aan afspraken 

In januari 2023 heeft SIVON, samen met een team van externe (privacy-)experts en juristen, de door Google genomen maatregelen n.a.v. het DPIA uit 2021 grondig onderzocht en beoordeeld. De uitkomsten van deze tussentijdse analyse heeft SIVON in februari 2023 met Google gedeeld. Daaropvolgend hebben gesprekken plaatsgevonden over een aantal belangrijke punten die nog niet waren opgelost. Google heeft in maart bevestigd deze restpunten alsnog op te pakken voor 9 juni. SIVON concludeert nu – in afstemming met het ministerie van OCW - dat Google zich voldoende aan deze afspraken heeft gehouden en dat scholen Google Workspace voorlopig kunnen blijven gebruiken.

Voor ons staat de bescherming van de privacy van leerlingen en medewerkers voorop. Scholen moeten te allen tijde controle kunnen houden over die gegevens. SIVON is daarom blij met de maatregelen die Google heeft genomen om voorgenoemde privacyrisico's te mitigeren.  

Wat betekent dit voor scholen? 

Schoolbesturen zijn en blijven eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; jij besluit welke toepassingen jouw school gebruikt en onder welke voorwaarden. Je ontvangt deze zomer het volledige DPIA-rapport met alle in 2021 geconstateerde privacyrisico's en de door Google genomen maatregelen om deze af te dekken. Met dit rapport kunnen scholen zelf de afweging maken over het gebruik van Google Workspace.  

Data Transfer Impact Assessment  

Eén van de punten voortvloeiend uit de DPIA in 2021 is de verzending van gegevens naar de Verenigde Staten.  Voor dit punt is eerder dit jaar een apart traject gestart, de zogenaamde Data Transfer Impact Assessment (DTIA). Hierbij worden privacyrisico's onderzocht van doorgifte van gegevens naar landen buiten de Europese Economische Ruimte (EER). Google verleent hieraan haar medewerking. Naar verwachting wordt de DTIA – inclusief de implementatie van eventuele maatregelen die hieruit voortvloeien - dit najaar afgerond.  

Stand van zaken Chromebooks, ChromeOS en Chrome-browser 

De DPIA op Google Workspace staat los van de DPIA die is uitgevoerd op Chromebooks, ChromeOS en Chrome-browser. In dit traject heeft SIVON afspraken gemaakt met Google over een nieuwe versie van ChromeOS. Deze aangepaste versie is rond augustus van dit jaar beschikbaar voor scholen. Hierover lees je meer op de website van SIVON. Via een Kamerbrief heeft de minister de Tweede Kamer geïnformeerd over de stand van zaken rondom Google Workspace en het gebruik van Chromebooks. 

Continue monitoring rechtmatigheid van groot belang 

SIVON onderschrijft het belang van privacy en doet er alles aan om privacy-afspraken te verankeren in contracten met Google en andere leveranciers. Daarom hechten we veel belang aan het continu evalueren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan. We zijn alert op veranderende wet- en regelgeving, toetsen bestaande contracten periodiek hieraan en passen deze aan waar nodig. We monitoren proactief en blijven in gesprek en onderhandeling met Google en andere leveranciers om te zorgen dat leerlingen en medewerkers veilig en verantwoord gebruik kunnen maken van (digitale) onderwijsdiensten. 

Lees het bericht van SIVON