Update afspraken en gesprekken SURF en Google

Update afspraken en gesprekken SURF en Google

In juli 2021 hebben SURF en Google een belangrijke overeenkomst bereikt over het gebruik van Google Workspace for Education door onderwijsinstellingen. Het gaat om een set contractuele, organisatorische en technische maatregelen.

Sinds deze overeenkomst zijn we in nauw contact met Google om erop toe te zien dat zij onze afspraken nakomen en bespreken we aanverwante dossiers zoals Google ChromeOS en de Chrome browser. In dit artikel informeren wij je als belangenbehartiger over de huidige stand van zaken.

Google heeft ons destijds toegezegd dat het alle te nemen stappen om hoge privacyrisico's te minimaliseren voor het einde van 2022 heeft afgerond. Met nog drie maanden voor de boeg, hebben wij goede hoop dat dit gaat lukken en dat scholen Workspace for Education veilig kunnen blijven gebruiken.

Internationale aandacht

Diverse Europese landen en regeringen hebben voordeel van de privacy-afspraken die SURF met Google heeft gemaakt. Deze doorbraak heeft ertoe geleid dat Google in maart 2022 heeft aangegeven de privacybescherming wereldwijd te gaan verbeteren.

DTIA: onderzoek uitwisselen gegevens met Google in de VS

Bij het gebruik van Workspace for Education wordt een deel van de Europese gegevens uitgewisseld met Google in de Verenigde Staten. Een van de eisen van de Algemene verordening gegevensbescherming (AVG) is dat het gebruik van persoonsgegevens buiten de EU aan hetzelfde beschermingsniveau moet voldoen als wanneer deze data binnen de EU zou worden gebruikt. SURF onderzoekt de doorgifte van gegevens buiten de EU door middel van een Data Transfer Impact Assessment (DTIA) voor Google Workspace for Education. Hierbij wordt getoetst welke persoonsgegevens worden uitgewisseld met een land buiten de Europese Economische Ruimte (EER) en of er voldoende passende waarborgen voor zijn. Bij deze waarborgen gaat het bijvoorbeeld om technische maatregelen als encryptie of het gebruik van de door de Europese Commissie voorgeschreven standaard contractuele bepalingen (SCC's). Als dat nodig is, worden er aanvullende afspraken gemaakt met Google zodat het gebruik Workspace for Education kan worden voortgezet. Deze DTIA wordt uitgevoerd in samenwerking met onderwijspartner SIVON en SLM Rijk (ministerie van Justitie en Veiligheid). Recent zijn Microsoft Teams, SharePoint en OneDrive en ZOOM onderzocht waarbij een soortgelijke DTIA onderdeel uitmaakte van de DPIA. De uitkomsten van de DTIA op Workspace (for Education) volgen naar verwachting begin 2023.

Verwerkersversies Google ChromeOS en Chrome browser

Begin 2022 is SIVON samen met SURF gestart met een onderzoek naar mogelijke privacy-issues binnen ChromeOS en de Chrome-browser. Google heeft inmiddels in een publiek statement aangegeven een verwerkersversie te ontwikkelen. Met deze belangrijke koerswijziging behouden organisaties zoals onderwijsinstellingen volledig controle over de persoonsgegevens die binnen ChromeOS door Google worden verwerkt. Belangrijk om te vermelden is dat de verwerkersversie van ChromeOS alleen beschikbaar is voor Chromebooks die centraal worden beheerd via een Workspace-account. De verwerkersversie is dus niet van toepassing op Chromebooks die niet via een Workspace-account worden beheerd, en ook niet voor Chrome-browsers geïnstalleerd op Windows- of Apple-apparaten.

SURF verwacht zijn onderwijsinstellingen in de loop van het vierde kwartaal van 2022 een nieuwe verwerkersovereenkomst (‘terms of service’) voor ChromeOS en Chromebrowser aan te kunnen bieden. SURF en Google leggen de aanpassingen binnen ChromeOS vast in een zogenaamd commitment plan. Het ontwikkelen van een verwerkersversie voor ChromeOS vraagt van Google veel aanpassingen in de bestaande software/code. Een (eerste) versie verwachten we rond augustus 2023. Deze versie is voldoende als risico-mitigerende maatregel.

Lokale DPIA door scholen 

De afspraken die SIVON, SURF en SLM Rijk met Google hebben gemaakt, zijn alleen van toepassing als onderwijsinstellingen deze afspraken zelf ook accepteren. Vorig jaar hebben scholen een aangepaste overeenkomst ontvangen van Google. Eind van dit jaar zullen scholen ook een aangepaste overeenkomst ('terms of service’) ontvangen voor ChromeOS en Chrome-browser. Het is daarnaast belangrijk dat onderwijsinstellingen zelf een instellingsspecifieke ('lokale') DPIA uitvoeren. Instellingen beoordelen daarin zelf of het gebruik van Workspace for Education (Plus) – en straks ChromeOS en Chrome-browser - in voldoende mate invulling geeft aan de bescherming van persoonsgegevens conform de AVG. SURF en SIVON hebben onderwijsinstellingen voor Workspace for Education hiervoor een compleet pakket van documenten beschikbaar gesteld. Voor ChromeOS en Chrome-browser wordt dit volgend jaar gepubliceerd.

Uitspraak Deens agentschap gegevensbescherming geen gevolgen voor Nederlands onderwijs

In juli heeft de Deense privacytoezichthouder geoordeeld dat een Deense gemeente geen gebruik meer mag maken van Google Workspace en Chromebooks. In de uitspraak stelt de toezichthouder vast dat de gemeente niet aan de gestelde voorwaarden voldoet, zodat zij moet stoppen met het gebruik van Google Workspace en Chromebooks. Google moet de data van de gebruikers vernietigen. Deze uitspraak heeft geen gevolgen voor de Nederlandse onderwijsinstellingen.

Overtredingen

Voorgaande jaren heeft de Deense toezichthouder verschillende overtredingen van de AVG vastgesteld. De gemeente kreeg de opdracht om een risicobeoordeling uit te voeren en om gebruik van Google in lijn te brengen met de AVG. De Deense gemeente heeft in het kader van een (pre-)DPIA volgens de toezichthouder geen concrete risico's beoordeeld maar een inschatting gemaakt dat er geen hoge risico’s bestaan bij het gebruik van Google Workspace. De uitgevoerde DPIA is simpelweg niet goed (genoeg). De Deense AP is verder van mening dat gegevens die kunnen worden doorgegeven aan derde landen (lees: de VS) voldoende beveiligd moeten zijn. Google mag geen toegang hebben tot de data, of de sleutels hebben die toegang geven tot versleutelde gegevens. Google moet transparant zijn over de doelen van de verwerking van persoonsgegevens. De gemeente had, voor aanschaf van Google Workspace en Chromebooks, technisch onderzoek moeten doen, en (beter) moeten onderhandelen met Google over de (controleerbaarheid van de) rol van verantwoordelijke. Daarnaast is er veel onduidelijkheid over de aanvullende diensten van Google Workspace.

Nederland als voorbeeld

De uitspraak heeft geen gevolgen voor de Nederlandse onderwijsinstellingen. Er zijn namelijk goede afspraken gemaakt met Google die de genoemde privacyrisico's beperken of wegnemen. Daarnaast is een grondige DPIA uitgevoerd. In een recent interview verwijst een van de Deense onderzoekers als voorbeeld expliciet naar het in Nederland uitgevoerde onderzoek naar Workspace for Education, waar een voorbeeld aan genomen kan worden. Er wordt ook een onderzoek uitgevoerd naar de gegevensoverdracht van leerlingdata met de VS (data transfer impact assessment; DTIA). Met betrekking tot ChromeOS zijn er met Google afspraken gemaakt over een ‘verwerkersversie’ voor beheerde Chromebooks. De conclusies van de Deense toezichthouder zijn en worden daarmee niet van toepassing op de Nederlandse situatie.

Google heeft als antwoord op de situatie in Denemarken een apart artikel gepubliceerd onder verwijzing naar de situatie in Nederland.

Onderzoek ACM naar clouddiensten

Recentelijk heeft de Autoriteit Consument en Markt een marktstudie naar clouddiensten gepubliceerd. Het blijkt voor gebruikers van (zakelijke) clouddiensten moeilijk om van aanbieder te wisselen, en zijn clouddiensten van verschillende aanbieders niet goed te combineren. Hierdoor zijn er risico’s voor de prijs, kwaliteit en innovatie van clouddiensten. Het onderzoek richt zich niet op privacy en beveiliging, maar raakt daar wel aan vanwege de marktpositie van deze cloudproviders.

Het onderzoek van de ACM wijst op twee risico's:

  1. lock-in van gebruikers: overstappen van clouddienst is lastig. Dit wordt versterkt door gedragingen van cloudaanbieders en functionaliteiten van diensten.
  2. De cloudproducten beperken de concurrentie omdat cloudaanbieders gebruikers alleen naar eigen diensten leiden. Privacy en security zijn daarbij wel relevante keuzeparameters die concurrentie op de markt (kunnen) beïnvloeden.

De Europese Commissie heeft een wet voorgesteld, de Data Act. Deze wet maakt het makkelijker en veiliger om data te delen terwijl tegelijkertijd de volledige controle over deze data wordt behouden. Het doel van de Data Act is om een eerlijke digitale omgeving te creëren, het toegankelijker maken van data voor iedereen, en om datagestuurde innovaties mogelijk te maken. De ACM stelt in het onderzoek voor om deze wet te omarmen en verplichtingen rondom interoperabiliteit tussen clouddiensten te verbeteren (uit te breiden). Clouddiensten zouden makkelijker moeten worden gecombineerd (ook wel interoperabiliteit genoemd). Verder doet de ACM vervolgonderzoek om vast te stellen of en in welke mate overstapdrempels in de praktijk concurrentieproblemen veroorzaken en of die nu al kunnen worden aangepakt.