De Nederlandse Autoriteit Persoonsgegevens bracht op 31 mei 2021 negatief advies uit over het gebruik van Google GSuite for Education (ook wel Google Classroom genoemd) op de door leerlingen gebruikte Chromebooks. Volgens de Nederlandse privacytoezichthouder is er namelijk onvoldoende zicht op de door Google WorkSpace for Education verzamelde persoonsgegevens, noch is er duidelijkheid over de doeleinden van de gegevensverwerking.
Privacyrisico’s van Google in onderwijs blootgelegd na DPIA
In maart 2021 schreven demissionair minister van Onderwijs, Cultuur en Wetenschap Ingrid van Engelshoven en minister van Basis- en Voortgezet Onderwijs en Media Arie Slob in een brief aan de Nederlandse Tweede Kamer dat er privacyrisico’s kleven aan de Google WorkSpace for Education-toepassing. Uit de resultaten van Data Protection Impact Assessment (DPIA) van de webtoepassing bleek dat onderwijsinstellingen “geen of onvoldoende grip” hadden op de verwerking van de verzamelde gegevens.
Het kabinet besloot om de Autoriteit Persoonsgegevens te vragen hoe Google WorkSpace zonder privacyrisico’s door leerlingen, studenten en docenten gebruikt kon worden. Als antwoord publiceerde de toezichthouder in juni 2021 twee kritische rapporten. In deze rapporten uitte de Nederlandse Autoriteit Persoonsgegevens haar bezorgdheid over de e-mail- en clouddiensten van Google. Het bleef namelijk onduidelijk voor de onderwijsinstellingen hoe, waar, voor welk doel en op welke grondslag de persoonsgegevens van leerlingen door Google worden verwerkt. Concreet lag het probleem erin dat Google de metadata van leerlingen verzamelde en deze zelf gebruikte of beschikbaar stelde voor reclame- en marketingdoeleinden.
Negatief advies over Workspace for Education door Nederlandse privacytoezichthouder
De Nederlandse Autoriteit Persoonsgegevens heeft op 31 mei 2021 de twee ministers geadviseerd om nog voor het start van het schooljaar 2021-2022 te stoppen met het gebruik van Google Workspace for Education. Dit zou een groot probleem kunnen vormen: maar liefst 52% van de basisscholen, 36% van de middelbare scholen en 8 universitaire instellingen in Nederland gebruiken Google Workspace for Education. De facto kwam het advies van de Nederlandse Autoriteit Persoonsgegevens neer op het verbod van het gebruik van Google WorkSpace for Education in het onderwijs in Nederland. Hierdoor zouden de onderwijsinstellingen tijdens de zomervakantie van 2021 op nieuwe software moeten overschakelen. Het behoeft geen betoog dat dit voor vele scholen niet evident zou zijn.
Gelukkig gingen Google en de Nederlandse autoriteiten met elkaar in gesprek. Als resultaat van de intensieve onderhandelingen beloofde Google de aangekaarte risico’s te beperken door een aantal extra maatregelen in te voeren, en dit zowel voor de gratis als voor de betaalde versie van de software in kwestie.
Google WorkSpace update in 2023
De concrete privacyrisico’s inherent aan Google Workspace for Education die voor het negatief advies zorgden zijn te vinden in het DPIA-rapport. Samengevat eigende Google zich de rechten toe om persoonsgegevens van de gebruikers van WorkSpace for Education te verzamelen voor commerciële doeleinden (zoals bijvoorbeeld het tonen van advertenties - dit wordt ook wel direct marketing genoemd). Bovendien was het onduidelijk welke persoonsgegevens worden verwerkt en op welke grondslag deze verwerking plaatsvindt. Kortom: er was (en blijft) veel ruimte voor verbetering bij Google.
De nieuwe, meer privacyvriendelijke versies van de webbrowser Chrome en het bijhorend Chrome-besturingssysteem zouden volgend jaar klaar zijn, zodat de gebruiksbeperkingen in september 2023 opgeheven kunnen worden na de nieuwe DPIA uitgevoerd door de Nederlandse toezichthouder. In die nieuwe versies zal Google enkel nog persoonsgegevens mogen verzamelen voor het leveren, beveiligen en up-to-date houden van diensten. Lees: niet voor reclame, big data of marketing. In de tussentijd kunnen de onderwijsinstellingen gebruik blijven maken van Google WorkSpace for Education op voorwaarde dat ze zelf ook enkele acties uitvoeren. Van de onderwijssector wordt verwacht dat er een aantal verplichte maatregelen wordt genomen om de beveiliging van persoonsgegevens te versterken en zo de privacy van leerlingen te vrijwaren.
Extra maatregelen voor de onderwijssector in Nederland
Zo moeten de systeembeheerders van Nederlandse scholen en universiteiten onder meer bepalen of zij zichzelf willen kwalificeren als K-12, een term die door Google gebruikt wordt om een onderwijsinstelling met minderjarige leerlingen aan te duiden. De als K-12 aangemerkte instanties kunnen gebruikmaken van de meer privacyvriendelijke versie van Google WorkSpace for Education. Bovendien moeten de onderwijsinstellingen zelf een DPIA uitvoeren voor het gebruik van Google WorkSpace, Chromebooks en zelfs de Chrome-browser. De door de scholen en universiteiten uitgevoerde DPIA moet daarbij gebaseerd zijn op de oorspronkelijke DPIA die door de overheid volbracht werd. Tenslotte mogen de scholen de toegang tot additionele services (denk aan YouTube, Search, Maps enzovoort) niet verlenen in het kader van het gebruik van Google WorkSpace. In scholen zal het gebruik van Google privé-accounts in de WorkSpace omgeving bovendien niet worden toegestaan.
Deze en andere extra-maatregelen moeten door de onderwijsinstellingen doorgevoerd worden tot de privacyvriendelijke update beschikbaar is. Google heeft al laten weten dat de nieuwe versie van WorkSpace for Education in augustus volgend jaar zal verschijnen zodat er in het academiejaar 2023-2024 geen gebruiksbeperkingen binnen het onderwijs meer nodig zijn. Daarbij heeft de techgigant ook beloofd om transparanter te worden over haar gegevensverzamelingspraktijken. Zo zullen er verslagen gepubliceerd worden over de verschillende soorten verzamelde gegevens en wordt er een gegevensinspectietool ontwikkeld die gebruikt kan worden om te bekijken welke persoonsgegevens door Google opgeslagen worden. Bovendien belooft Google deze persoonsgegevens ook minder lang te bewaren.
Google, de grote privacy-boosdoener in Europa
Dat Google kritiek krijgt over haar gegevensverzamelingspraktijken lijkt meer de regel dan de uitzondering te zijn. In Europa is er sinds vorig jaar een golf van bezorgdheid over het ondoorzichtige privacybeleid van de techgigant. Zo besloot de Oostenrijkse gegevensbeschermingsautoriteit in het begin van 2022 dat het gebruik van Google Analytics in strijd is met GDPR. De Franse gegevensbeschermingsautoriteit bracht een maand later een soortgelijk besluit uit waarin bovendien opgemerkt werd dat kleine wijzigingen in het privacybeleid van Google onvoldoende zouden zijn om de situatie te doen verbeteren. De Deense gegevensbeschermingsautoriteit volgde op met een verbod op het gebruik van Google Workspace en Chromebooks in een van de gemeenten van het land, Elsinore. De reden die tot het verbod leidde was ongecontroleerde gegevensoverdracht naar derde landen.
Ook in ons land lijkt het steeds moeilijker om te verantwoorden dat je als onderneming of (onderwijs)instelling Google software blijft gebruiken. Afwachten wordt of Google de aanpassingen die zij doorvoert voor Workspace for education in Nederland ook in de rest van de EU zal uitrollen. In 2021 werd verklaard dat dit niet het geval zou zijn. Zeker iets om op te volgen dus en een wake-up call om de gebruikte Google software in je organisatie en op je website onder de loupe te nemen.
Benieuwd of jouw onderneming wél GDPR-conform opereert? Privacyexperts van Mr. Franklin kijken graag na of jouw bedrijf aan alle GDPR-eisen voldoet.