Privacywetgeving
Dit heeft, volgens het Financieel Dagblad die vertrouwelijke adviezen van de Autoriteit Persoonsgegevens (AP, de Nederlandse privacy toezichthouder) in handen heeft gekregen, als resultaat gehad dat de AP scholen en universiteiten adviseert om de Google-dienst niet langer te gebruiken nu deze niet in lijn met de privacywetgeving functioneert. Wat er precies aan de hand is, leest u in deze blog.
Reconstructie
Onderwijsinstellingen maken steeds meer gebruik van digitale diensten voor het geven van onderwijs. Een van de diensten die veel wordt gebruikt is de ‘G Suite Enterprise for Education’, waaronder Google-diensten als Gmail, Docs en Classroom vallen. Daarnaast overweegt de Rijksoverheid om gebruik te gaan maken van de ‘G Suite Enterprise’, een grotendeels overeenkomstige Google-dienst.
Voorafgaand aan het in gebruik nemen van nieuwe systemen die hoge privacy implicaties teweeg kunnen brengen dient een Data Protection Impact Assessment (DPIA) te worden gedaan. Een DPIA is een voorafgaand (schriftelijk) privacy onderzoek waarin wordt gekeken of een verwerking in lijn is met de privacywetgeving, de risico’s en evt. maatregelen die kunnen worden genomen om de risico’s te beperken.
Nu de twee Google-diensten grotendeels overeenkomen, hebben het Strategisch Leveranciersmanagement voor de Rijksoverheid (SLM Rijk, onderdeel van het ministerie van Justitie en Veiligheid (JenV)) en de Hogeschool van Amsterdam en de Rijksuniversiteit Groningen de handen ineengeslagen en in onderlinge afstemming DPIA’s uitgevoerd op de twee Google-diensten. Uit deze DPIA’s kwamen meerdere risico’s naar voren die het gebruik van de Google-diensten teweegbracht. Hierover is de Tweede Kamer op 1 maart 2021 door het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) middels een kamerbrief geïnformeerd. In deze brief werd o.a. aangegeven dat door SIVON en SURF (twee coöperaties die scholen en onderwijsinstellingen ondersteunen) de AP om advies is gevraagd. Het is onbekend of deze vraag om advies heeft geleid tot de adviezen die nu door de AP aan OCW en JenV zijn verstrekt om deze Google diensten niet te gebruiken. Wat nu lijkt vast te staan echter, is dat de AP advies heeft gegeven aan OCW en dat dat advies negatief voor het gebruik van de Google-diensten uitvalt.
Privacy implicaties
Zoals al aangegeven, kwamen uit de DPIA’s die zijn uitgevoerd voor de G Suite Enterprise en ‘G Suite Enterprise for Education’ verschillende hoge privacy risico’s naar voren die grotendeels overeenkwamen, waaronder:
- Google mag metadata (data die de gegevens beschrijft) gebruiken voor haar eigen (commerciële) doeleinden;
- De doeleinden waarvoor inhoudelijke gegevens (gegevens in documenten/bestanden/berichten) en diagnostische gegevens door Google mogen worden gebruikt zijn onvoldoende beperkt;
- Google is niet transparant genoeg over de gegevens die zij verzamelt, wat hiermee precies wordt gedaan en aan wie deze worden doorgegeven;
- Gebruikers/beheerders kunnen onvoldoende grip uitoefenen op de privacy implicaties van Google (wat bijvoorbeeld zou moeten kunnen doordat er bepaalde instellingen kunnen worden gekozen);
- Gebruikers kunnen hun wettelijke privacy rechten niet goed uitoefenen;
- Google mag eenzijdig haar voorwaarden rondom metadata wijzigen, zonder dat een gebruiker hiervoor toestemming hoeft te geven.
Al met al komt het erop neer, dat een gebruiker onvoldoende grip en zicht heeft op de verzameling van en de omgang met persoonsgegevens door Google.
Conclusie
Het is de vraag of scholen daadwerkelijk met het gebruik van ‘G Suite Enterprise for Education’ zullen moeten stoppen of dat Google bereid gaat zijn om tegemoet te komen aan de benodigde aanpassingen in haar werkwijze. Binnenkort zullen in ieder geval de adviezen van de AP naar de Tweede Kamer worden gestuurd, en wordt inzichtelijk wat nu precies het advies van de AP inhoudt. We houden u op de hoogte.
Contact
Wilt u meer weten over de privacy implicaties bij het gebruik van Google-diensten of DPIA’s? Neem dan gerust contact op.
Natascha van Duuren, advocaat / managing partner IT, Privacy & Cybersecurity