Privacyrisico’s uit DPIA van 2021 Google Workspace for Education voldoende opgelost
In januari 2023 hebben SIVON, SURF en een team van externe (privacy-)experts en juristen de door Google genomen maatregelen n.a.v. de DPIA uit 2021 grondig onderzocht en beoordeeld. De uitkomsten van deze tussentijdse analyse zijn in februari 2023 met Google gedeeld. Daaropvolgend hebben gesprekken plaatsgevonden over een aantal belangrijke punten die nog niet waren opgelost. Google heeft in maart bevestigd deze restpunten alsnog op te pakken voor 9 juni. SIVON en SURF concluderen nu – in afstemming met het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) – dat Google zich voldoende aan deze afspraken heeft gehouden en dat scholen Google Workspace voorlopig kunnen blijven gebruiken.
Wat betekent dit voor scholen?
Met de onderhandelingen en afspraken met Google en het gepubliceerde verificatierapport, zijn grote en goede stappen gezet om privacyrisico’s van het gebruik van Google Workspace for Education door het Nederlandse onderwijs weg te nemen. Maar de Europese privacywetgeving Algemene Verordening Gegevensbescherming (AVG) eist dat organisaties die zelf (eind)verantwoordelijk zijn voor gegevensbescherming, zelf een privacyonderzoek uitvoeren. De privacytoezichthouder Autoriteit Persoonsgegevens onderschrijft deze verplichting:
(…) Onderwijsinstellingen die onvoldoende maatregelen hebben getroffen dienen bij de inzet van Google G Suite for Education gebruik te maken van deze door SURF en SIVON gemaakte afspraken, eventuele aanvullende maatregelen treffen en vast te stellen of er bij de onderwijsinstelling mogelijk sprake is van additionele risico’s ten opzichte van de DPIA. Onderwijsinstellingen dienen zelf vast te stellen of er in hun specifieke situatie sprake is van additionele risico’s die in de weg staan aan het gebruik van Google G Suite for Education,(…). (1)
Onderwijsinstellingen moeten dus zelf besluiten of zij het gebruik van Google Workspace for Education willen en kunnen voortzetten (of starten) op basis van het privacyonderzoek van SURF en SIVON. Onderwijsinstellingen zullen als verwerkingsverantwoordelijke volgens de AVG zelf een risicoafweging moeten uitvoeren. Hierbij kan en mag gebruik worden gemaakt van de uitkomsten van het landelijk onderzoek van SURF en SIVON. Deze DPIA wordt centrale DPIA genoemd. Daarnaast moeten scholen nagaan of er bij het gebruik van Google Workspace for Education op de eigen scholen nog andere privacyrisico’s bestaan die moeten worden weggenomen. Deze uitkomsten komen in de eigen DPIA, die lokale DPIA wordt genoemd.
Handreiking lokale DPIA: eigen risicoafweging maken
SIVON heeft een Handreiking lokale DPIAGoogle Workspace for Education gemaakt om schoolbesturen te helpen. Deze handreiking helpt onderwijsinstellingen om zelf te bepalen of de nieuwe afspraken en verificatie in 2023, de persoonsgegevens van leerlingen, hun ouders en medewerkers voldoende beschermen conform de AVG. Hierbij gaat het niet alleen om het afwegen van de risico's die volgen uit uitgevoerde en aangepaste DPIA, maar ook of er in de specifieke situatie van uw onderwijsinstellingen sprake is van additionele risico’s die gemitigeerd moeten worden.
Download hier de Handreiking lokale DPIA