Update DPIA Google Workspace: Privacyrisico's voldoende opgelost
Google heeft voldoende maatregelen genomen om de resterende risico's uit de privacytoets (DPIA) van 2021 volgens afspraak en binnen de deadline te verminderen. Op basis van de afspraken met Google en de verificatie door onze externe privacypartners, concluderen SIVON en SURF dat scholen Google Workspace voorlopig kunnen blijven gebruiken. Dit betekent dat schoolbesturen voor nu geen aanpassingen hoeven door te voeren.
Google houdt zich aan afspraken
In januari 2023 hebben SIVON, SURF en een team van externe (privacy)experts en juristen de door Google genomen maatregelen n.a.v. het DPIA uit 2021 grondig onderzocht en beoordeeld. De uitkomsten van deze tussentijdse analyse zijn in februari 2023 met Google gedeeld. Daaropvolgend hebben gesprekken plaatsgevonden over een aantal belangrijke punten die nog niet waren opgelost.
Google heeft in maart bevestigd deze restpunten alsnog op te pakken voor 9 juni. SIVON en SURF concluderen nu – in afstemming met het ministerie van Onderwijs, Cultuur en Wetenschap - dat Google zich voldoende aan deze afspraken heeft gehouden en dat scholen Google Workspace voorlopig kunnen blijven gebruiken.
Voor de PO-Raad staat de bescherming van de privacy van leerlingen en medewerkers voorop. De scholen moeten controle kunnen houden over die gegevens. Wij zijn dan ook blij dat de privacyrisico’s zijn opgelost.
Wat betekent dit voor scholen?
Het schoolbestuur is en blijft eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen. Het bestuur besluit welke toepassingen scholen gebruiken en onder welke voorwaarden. Schoolorganisaties ontvangen deze zomer het volledige DPIA-rapport met alle in 2021 geconstateerde privacyrisico's en de door Google genomen maatregelen om deze af te dekken. Met dit rapport kunnen de organisaties met hun scholen zelf de afweging maken over het gebruik van Google Workspace.
Data Transfer Impact Assessment
Eén van de punten voortvloeiend uit de DPIA in 2021 is dat er sprake is van gegevens die verzonden worden naar de Verenigde Staten. Voor dit onderdeel is een apart traject gestart: dat is een zogenoemde Data Transfer Impact Assessment (DTIA). Hierbij worden privacyrisico's onderzocht van doorgifte van gegevens naar landen buiten de Europese Economische Ruimte (EER). Google verleent hieraan haar medewerking. Naar verwachting wordt de DTIA dit najaar afgerond, inclusief de implementatie van eventuele maatregelen die hieruit voortvloeien.
Stand van zaken Chromebooks, ChromeOS en Chrome-browser
De DPIA op Google Workspace staat los van de DPIA die is uitgevoerd op Chromebooks, ChromeOS en Chrome-browser. In dit traject, hebben SIVON en SURF afspraken gemaakt met Google over een nieuwe versie van ChromeOS. Deze aangepaste versie is rond augustus van dit jaar voor scholen beschikbaar via SIVON.