Stand van zaken DPIA Google Workspace: update privacymaatregelen
In december 2022 berichtten SIVON en SURF dat Google binnen de afgesproken termijn maatregelen heeft opgeleverd om de risico's uit de DPIA van 2021 te mitigeren. De meeste maatregelen voldoen aan onze eerder gemaakte afspraken; Google pakt nu de resterende punten op en heeft aangegeven die uiterlijk half juni te hebben opgelost.
Instellingen ontvangen na oplevering zo spoedig mogelijk bericht. Zij horen dan ook of zij mogelijk zelf aanpassingen moet doorvoeren. Op basis van de afspraken met Google, concluderen SIVON en SURF dat zij het gebruik van Google Workspace niet hoeven af te raden.
Google pakt resterende punten op
In januari hebben SIVON, SURF en een team van externe (privacy-)experts en juristen bovengenoemde maatregelen grondig onderzocht en beoordeeld. We hebben de uitkomsten van onze analyse afgelopen februari met Google gedeeld. Daaropvolgend hebben intensieve gesprekken plaatsgevonden over een aantal belangrijke punten die nog niet zijn opgelost. Google heeft in maart bevestigd dat ze deze restpunten alsnog oplossen. SIVON en SURF hebben – in afstemming met OCW - besloten dat Google daar tot half juni de tijd voor krijgt.
Wat betekent dit voor instellingen?
Het bestuur van een instelling is eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; zij besluit welke toepassingen hun instelling gebruikt en onder welke voorwaarden. In het licht van de met Google gemaakte afspraken, raden SIVON en SURF het gebruik van Google Workspace niet af. Instellingen ontvangen zo spoedig mogelijk na de opleverdatum van half juni een volledige analyse van alle maatregelen met daarin uitleg over eventuele acties die het bestuurder zelf kan nemen. De onderwijspartners van OCW, SIVON en SURF blijven – nu en in de toekomst - in nauw contact met Google om in de gaten te houden of Google eventuele risico's wegneemt. SIVON en SURF instellingen op de hoogte zodra er meer nieuws is.
Continue monitoring rechtmatigheid van groot belang
SIVON en SURF onderschrijven het belang van privacy en streven ernaar om privacy-afspraken te verankeren in contracten met leveranciers. Daarom hechten we veel belang aan het continu evalueren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan. We houden de veranderende wet- en regelgeving in de gaten, toetsen bestaande contracten periodiek hieraan en passen deze aan waar nodig. Daarnaast blijven we constant in gesprek en in onderhandeling met leveranciers om te zorgen dat diensten veilig en verantwoord te gebruiken zijn.
Informeren Autoriteit Persoonsgegevens
Op 7 maart 2023 heeft de Autoriteit Persoonsgegevens (AP) schriftelijk aan OCW gevraagd om alert te blijven op het borgen van de privacy bij het gebruik van toepassingen van Google. De AP heeft OCW verzocht om haar uiterlijk 15 mei te informeren over de stand van zaken. Naar aanleiding van deze brief heeft OCW contact gehad met de AP. Hierin heeft zij de gemaakte afspraken tussen SIVON, SURF en Google toegelicht en uitgelegd dat instellingen uiterlijk half juni duidelijkheid krijgen over Workspace for Education.
Tot slot: stand van zaken Google Chromebooks, ChromeOS en Chrome browser
Het is goed om te vermelden dat bovengenoemde DPIA op Google Workspace losstaat van de DPIA die is uitgevoerd op Chromebooks, ChromeOS en Chrome-browser. Gedurende dit aparte traject, hebben SIVON en SURF afspraken gemaakt met Google over een nieuwe versie van ChromeOS. Deze aangepaste versie is rond augustus van dit jaar gereed. Hierover worden instellingen apart geïnformeerd.