Een schok ging onlangs door onderwijsland, toen scholen van de Autoriteit Persoonsgegevens (AP) ineens geen gebruik meer mochten maken van onderwijsproducten van Google. Van de clouddiensten zoals Gmail en Classroom tot de Chromebooks, waar die diensten op draaien: het leek erop dat scholen op stel en sprong moesten overstappen op alternatieven. De meerderheid van de scholen gebruikt Google-diensten, een verbod zou dus enorme gevolgen hebben voor het onderwijs. Het is Google echter gelukt om snel nieuwe privacy-afspraken te maken met onderwijsvertegenwoordigers Surf en SIVON. Voorlopig is daarmee de storm gaan liggen, al krijgen scholen ook huiswerk mee om veilig gegevens met Google te kunnen delen. Wat was er mis, wat is er nieuw aan de afspraken met Google, en wat moeten scholen zelf nog doen?
In een DPIA, uitgevoerd door de bovengenoemde vertegenwoordigers van scholen, Surf en SIVON, zijn een aantal privacyrisico’s voor leerlingen naar voren gekomen. Ten eerste was niet precies duidelijk welke persoonsgegevens worden verwerkt en ontbraken specifieke doeleinden en grondslagen voor die verwerkingen. Ten tweede was er onduidelijkheid over de rolverdeling tussen scholen en Google: het kon niet worden bepaald wie verwerkingsverantwoordelijke en wie verwerker was, voor de diverse verwerkingen.
De DPIA is vervolgens aan de AP voorgelegd, voor een advies over de geconstateerde risico’s. Die oordeelde dat de risico’s te groot waren om het gebruik van Google voort te zetten in de bestaande situatie. Google kreeg tot het begin van het huidige schooljaar de kans om nieuwe afspraken te maken met de sector, om een verbod te voorkomen.
Tot opluchting van scholen zijn die vereiste, nieuwe afspraken er dus op tijd gekomen, waardoor geen dure en overhaaste overstap nodig is naar alternatieve producten. De afspraken bevatten contractuele, organisatorische en technische maatregelen, die samen genoeg zijn om de privacybezwaren weg te nemen. Leerlinggegevens zullen bijvoorbeeld niet meer worden gebruikt voor advertentiedoeleinden of data-analyses. Ook kunnen scholen uitschakelen dat Google de invoer van tekst voor eigen doelen kan gebruiken, voor het verbeteren van de Google spelling- en taalcontrole. Dit soort maatregelen zorgen ervoor dat de gegevens van leerlingen daadwerkelijk onder controle van de school blijven. Ook zal Google meer heldere informatie bieden over wat zij wel en niet kunnen met de verzamelde gegevens.
Sommige acties moeten scholen zelf nog doen, om de veiligheid van gegevens te garanderen. Zo zijn bepaalde aanpassingen in de Google-systemen optioneel, en moeten scholen zelf nog de juiste instellingen kiezen. Ook zijn scholen, als verwerkingsverantwoordelijke voor de leerlinggegevens, zelf aan zet om een definitieve DPIA vast te stellen. Kennisnet heeft daarvoor een handreiking beschikbaar gemaakt, die als basis kan dienen.
Tot slot betekenen nieuwe afspraken met de sector juridisch nog weinig: schoolbesturen moeten deze afspraken zelf bekrachtigen. De nieuwe overeenkomst voor Workspace for Education moet worden geaccordeerd, zodat men de leverancier ook echt aan de afspraken kan houden. Scholen hebben daarover als het goed is al bericht ontvangen. In deze overeenkomst hebben de nieuwe afspraken om scholen meer controle te geven een prominente plek gekregen. Op basis van het advies vanuit de onderwijssector, dat Google daarmee juridisch voldoende waarborgen biedt, kunnen scholen erop vertrouwen dat Workspace for Education dan veilig kan worden gebruikt.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.