AP tegen scholen: gebruik Google Workspace niet

Twee vertegenwoordigers van de onderwijssector, SURF en SIVON, hebben samen gekeken naar privacyrisico’s bij het gebruik van Google Workspace for Education (voorheen G Suite for Education). De vastgestelde privacyrisico’s zijn voorgelegd aan de Autoriteit Persoonsgegevens (AP). De AP neemt de risico’s hoog op en adviseert scholen dan ook direct om de dienst voorlopig niet te gebruiken. Moeten scholen binnenkort alle Google-accounts deactiveren, of weet Google de toezichthouder te overtuigen dat de privacy alsnog goed beschermd zal worden?

Wat is er aan de hand?

Google Workspace for Education is een pakket van applicaties, waarmee op allerlei manieren in de cloud kan worden samengewerkt. Het pakket is eigenlijk een uitbreiding van de ‘gewone’ Workspace-variant, waar onder meer Gmail en Google Drive in zitten, met enkele specifieke onderwijstools, zoals Classroom. SURF en SIVON hebben de Rijksuniversiteit Groningen en de Hogeschool van Amsterdam de opdracht gegeven om de privacyrisico’s van Workspace voor onderwijsinstellingen te onderzoeken. Naar aanleiding van dat onderzoek hebben zij de AP gevraagd om te adviseren over de risico’s.

De AP heeft zelf geen onderzoek gedaan, maar baseert haar oordeel op de Data Protection Impact Assessment (DPIA) die door SURF en SIVON is uitgevoerd. Uit die DPIA haalt de AP twee risico’s die ertoe leiden dat de verwerking in overtreding van de AVG plaatsvindt. Ten eerste is het niet precies duidelijk welke persoonsgegevens door Google worden verwerkt, en ontbreekt het aan specifieke doeleinden en grondslagen voor de verwerkingen. Ten tweede is er onduidelijkheid over de rolverdeling tussen scholen en Google: er kan niet worden bepaald wie verwerkingsverantwoordelijke en wie verwerker is, voor de diverse verwerkingen.

Beide risico’s ziet de AP als onverenigbaar met de AVG. Zowel het vaststellen van doel en grondslag van de verwerkingen, als de rolverdeling tussen verwerkingsverantwoordelijke en verwerker of andere verwerkingsverantwoordelijke, zijn essentieel voor een rechtmatige verwerking van persoonsgegevens. Kortom: wat hier gebeurt mag niet, scholen zouden moeten stoppen met het gebruik van Google Workspace, aldus de AP, en wel aan het begin van het schooljaar 2021-2022.

Wat zijn de gevolgen voor scholen, hogescholen en universiteiten?

Gezien de bovengenoemde deadline die de AP stelt, krijgt Google nog even de kans om met SURF en SIVON tot een oplossing te komen. Als de risico’s snel, bijvoorbeeld met een paar wijzigingen in het contract en kleine praktische aanpassingen, kunnen worden opgelost, mogen onderwijsinstellingen alsnog verder met de inzet van Workspace.

Onderwijsinstellingen zitten ondertussen in een erg onzekere positie: Google Workspace kan voor de onderlinge communicatie, samenwerking aan opdrachten en opslag van documenten een essentiële dienst zijn. Om vlak voor de zomervakantie te horen dat deze misschien in enkele maanden uitgefaseerd moeten worden om niet in overtreding te zijn, brengt organisaties ongetwijfeld in verlegenheid.

Google heeft in een reactie laten weten dat zij zullen meewerken aan het oplossen van de risico’s. In een kamerbrief van de verantwoordelijke ministers, staat dan ook dat zij ervan uitgaan dat Google volgend schooljaar gewoon gebruikt kan worden. Mocht dat onverhoopt niet lukken, dan zullen scholen snel een exit-plan moeten opstellen. SURF, SIVON en het Strategisch Leveranciersmanagement Rijk (SLM Rijk) denken ook alvast na over de gevolgen, voor als hun onderhandelingen met Google niet slagen. Duidelijkheid over het al dan niet slagen volgt hopelijk spoedig al.

Hoe zit het met andere branches?

Natuurlijk gebruiken ook andere organisaties (delen van) Google Workspace. Bepaalde tools, zoals Google Classroom, zijn specifiek voor het onderwijs bedoeld, maar Google Docs, Drive, Formulieren en Gmail zijn breder inzetbaar. Zien de risico’s uit de DPIA op alle zakelijke Google-gebruikers, en kunnen ook andere sectoren zich alvast mentaal voorbereiden op een eventuele exit?

Het lijkt er in ieder geval sterk op. Er is geen reden om aan te nemen dat andere sectoren, zoals de gezondheidszorg of ‘gewone’ commerciële bedrijven, niet met de geconstateerde risico’s te maken hebben. De functionaliteit van bovengenoemde tools verschilt zover bekend niet tussen de inzet bij een school of bij een zorginstelling. Het ‘Amendement gegevensbescherming’ van Google, waarin de rolverdeling en de doelen van de verwerking worden beschreven, worden niet aangepast aan de sector van de afnemer. Het is dan ook te verwachten dat er vanuit de zorg en andere sectoren soortgelijke risicoanalyses zullen volgen.

Mocht blijken dat Google daadwerkelijk niet kan voldoen aan de AVG bij het leveren van de Workspace-diensten, dan kunnen organisaties de kop niet meer in het zand steken. De waarschuwingsbellen gaan nu als het goed is overal af; de vraag is of de vlammen straks uit het Workspace-gebouw slaan, of dat het vals alarm blijkt.

Terug naar overzicht