Uit een onderzoek naar dataverzameling en -verwerking (een zogenoemde Data Protection Impact Assessment (DPIA)) blijkt dat er privacy risico’s gepaard gaan met het gebruik van Google G-Suite. Dit onderzoek is uitgevoerd in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA). SURF en SIVON hebben het onderzoek van de RUG en HvA ondersteund.
Privacy risico’s
In het primair en voortgezet onderwijs is Google G-Suite een veelvoorkomende digitale toepassing. De risico’s die geconstateerd zijn, zitten in het verzamelen van zogenoemde ‘metadata’ door Google. Dat is data over het gebruik van Google G-Suite. Daarmee kunnen zij bijvoorbeeld zien waar de gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina’s en zoekopdrachten het meeste worden gebruikt. Het gaat hier dus niet om individuele leerresultaten of adresgegevens van gebruikers. Maar volgens de AVG (Algemene Verordening Persoonsgegevens) zijn metadata ook persoonsgegevens.
Google bepaalt nu
Google ziet zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij metadata verzamelt en op welke manier dat gebeurt. Ook heeft Google in haar privacy overeenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder om toestemming te vragen. Google zegt hier eigenlijk mee dat een verwerkersovereenkomst die ze met een school hebben afgesloten op deze data niet van toepassing is.
Voor toepassingen bij onderwijsinstellingen is het onwenselijk dat het eigenaarschap en de verantwoordelijkheid voor die gegevens bij Google ligt. Hierdoor kunnen onderwijsinstellingen die Google G-Suite gebruiken, geen controle uitoefenen over wat er met deze gegevens gebeurt. Dit zorgt voor een potentieel risico, bijvoorbeeld dat die gegevens gebruikt worden om gepersonaliseerde advertenties te plaatsen.
Vervolgstappen
Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten. SURF en SIVON zijn, op verzoek van de PO-Raad en VO-raad, namens het funderend onderwijs in gesprek met Google om ervoor te zorgen dat Google de privacy risico’s wegneemt. Ook dienen zij namens de sector een adviesaanvraag in over deze privacy risico’s bij de Autoriteit Persoonsgegevens. Er wordt vanuit gegaan dat Google deze aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen en G-Suite for Education veilig gebruikt kan worden.
Ons advies
Wij raden het op dit moment aan om niet direct te stoppen met het gebruik van Google G-suite. Vooral niet als uw school erop aangewezen is voor de continuïteit van het onderwijs. Wij geven het advies om geen belangrijke data in de Google-omgeving op te slaan.
Voor meer aanvullende informatie kunt u terecht op de Voor meer aanvullende informatie kunt u terecht op de website van SIVON en de Q&A bekijken. Op de website van de PO-Raad staat het statement van de onderwijspartijen naar aanleiding van deze situatie.