SURF en SIVON spreken Google aan op privacyrisico’s
In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de RUG en HvA blijkt dat er privacyrisico’s kleven aan het gebruik van Google G-suite*.
De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google deze privacyrisico’s wegneemt.
De privacyrisico’s zijn aan het licht gekomen door een zogenoemde Data Protection Impact Assessment (DPIA) naar Google G-suite. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn. Het Ministerie van Justitie en Veiligheid heeft het DPIA naar de Google G-suite Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G-suite Education.
Metadata
Google verzamelt metadata. Dit zijn data over het gebruik van bijvoorbeeld Google G-suite. Daarmee kan Google onder andere zien waar de gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina’s en zoekopdrachten het meeste worden gebruikt. Het gaat hier dus niet om individuele leerresultaten of adresgegevens van gebruikers.
Het verzamelen van metadata hoeft geen probleem te zijn als deze gegevens worden gebruikt om digitale producten goed en veilig te kunnen gebruiken en beter te laten werken. Het is wel van belang dat deze gegevens niet voor andere doelen worden gebruikt. Ook mag er niet meer metadata worden verzameld dan noodzakelijk. Onderwijsinstellingen moeten bovendien de controle houden over het gebruik van metadata. Zij moeten dus kunnen bepalen voor welke (andere) doelen die metadata gebruikt mag worden.
Risico’s
Google ziet zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder om toestemming te vragen.
Voor toepassingen bij onderwijsinstellingen vinden wij het onwenselijk dat het eigenaarschap en de verantwoordelijkheid voor die gegevens bij Google ligt. Hierdoor kunnen onderwijsinstellingen die Google G-suite gebruiken, geen of onvoldoende controle uitoefenen over wat er met deze gegevens gebeurt. Google verklaart nadrukkelijk dat zij in Workspace for Education geen metadata en andere persoonsgegevens gebruikt voor advertentiedoeleinden of het creëren van advertentieprofielen. Google kan de voorwaarden echter eenzijdig wijzigen, waardoor deze verklaring geen garanties biedt voor de toekomst.
Vervolgstappen
Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten en zijn we nog in gesprek. Ook dienen wij een adviesaanvraag in over deze privacyrisico’s bij de Autoriteit Persoonsgegevens. Wij gaan ervan uit dat Google aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen en G Suite for Education veilig gebruikt kan worden.
* G Suite for Education heet sinds kort Google Workspace for Education. Google Workspace for Education bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer.