Alles over DPIA Google Workspace
Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, mits zij zelf ook enkele acties uitvoeren.
Dit is het resultaat van intensieve gesprekken die SURF, SIVON en het Strategisch Leveranciersmanagement Rijk (SLM-Rijk), mede op verzoek van de PO-raad en VO-raad hebben gevoerd met Google.
De afspraken bevatten een uitgebreide set contractuele, organisatorische en technische maatregelen. Daarmee worden de op 31 mei 2021 door de Autoriteit Persoonsgegevens geconstateerde hoge privacy-risico’s in voldoende mate afgedekt.
In deze verklaring van SURF en SIVON staat een beschrijving van dit bereikte resultaat. Google gaat aan de slag met technische aanpassingen maar er scholen zullen ook zelf enkele acties uit moeten voeren om Google veilig te (blijven) gebruiken. SIVON en SURF zullen hierbij ondersteuning bieden door middel van een handleiding.
Acties voor instellingen
- Aanpassen instellingen: naast automatische wijzigingen in de applicatie zal de eigen systeembeheerder ook een aantal instellingen moeten aanpassen in de Workspace omgeving. Daar komt in de eerste week van augustus een handleiding voor beschikbaar.
- Aanvullen instructies: het veilige gebruik vraagt ook toelichting aan de gebruikers. Niet alles is technisch te regelen maar zal via gebruiksinstructies moeten. Ook die komen in de eerste week van augustus centraal beschikbaar.
- Aanpassen contract: uiterlijk de eerste week van augustus volgt informatie hoe de aangepaste privacy-voorwaarden met Google geaccepteerd moeten worden. Ook dit is een eenmalige activiteit.
- Eigen impact analyse doen: de instelling blijft zelf verantwoordelijk om te beoordelen of de manier waarop Google Workspace for Education (Plus) gebruikt wordt veilig is. Uiterlijk de eerste week van augustus volgt een pakket met alles dat er nodig is om zo’n beoordeling te doen.
De hoeveelheid werk per instelling is afhankelijk van de hoeveelheid Google applicaties die een instelling in gebruik heeft, maar zal naar verwachting 1 tot enkele dagdelen in beslag nemen.
DPIA op Chrome browser
Samen met SIVON zijn we nog bezig met een impact analyse (DPIA) op de Chrome browser en het systeem dat op de Chromebooks draait. Op dit moment is daar nog geen uitsluitsel over. Hierover zal later informatie volgen.
Ondersteuning vanuit SURF
Om je te helpen bij het doorvoeren van de benodigde aanpassingen, bieden we de volgende ondersteuning:
- Voor het bestuur van instellingen komt uiterlijk de eerste week van augustus een informatiepakket beschikbaar waarmee je de aanpassingen kunt doorvoeren.