Speciale versie van de Chromebooks voor het Nederlandse onderwijs: geen bekende hoge risico’s meer
In opdracht van de ICT-coöperaties voor het onderwijs (SIVON en SURF) heeft Privacy Company in 2023 in twee fasen onderzoek gedaan naar de privacyrisico’s van het gebruik van de Chromebooks in het onderwijs. In mei 2023 heeft het onderwijs betere privacyvoorwaarden onderhandeld, en in augustus 2023 heeft Google nieuwe versies gelanceerd van het Chrome besturingssysteem en de Chrome browser, speciaal voor het Nederlandse onderwijs. Daarna heeft Privacy Company de technische verwerkingen gecontroleerd. Uit dit controle-onderzoek blijkt dat Google de toegezegde maatregelen heeft getroffen. Als scholen de aanbevolen maatregelen nemen, zijn er géén bekende hoge risico’s meer voor de kinderen, studenten en medewerkers.
Wij publiceren deze blog over de bevindingen met toestemming van SIVON en SURF. Zie de persberichten op de websites van SIVON en SURF.
Twee onderzoeken naar Chromebooks
Eind maart 2023 hebben SURF en SIVON overeenstemming bereikt met Google over nieuwe privacyvoorwaarden voor het gebruik van ChromeOS en de Chrome browser. Privacy Company heeft op 29 juni 2023 het eerste onderzoek afgerond naar de privacyrisico’s van het gebruik van de beheerde Chromebooks onder de nieuwe voorwaarden. Uit dit onderzoek bleek dat veel hoge risico’s waren opgelost omdat Google verwerker was geworden voor veel verwerkingen. Google moest nog wel een aantal technische verbeteringsmaatregelen treffen om de privacyrisico’s te verlagen, door bijvoorbeeld betere inzagemogelijkheden te bieden, maar ook, door een nieuwe versie van ChromeOS en de Chrome browser te ontwikkelen.
In februari 2024 heeft Privacy Company het tweede onderzoek afgerond naar de nieuwe Chrome versies. Hieruit blijkt dat Google haar toezeggingen is nagekomen en het veel makkelijker heeft gemaakt voor systeembeheerders om inzage te vragen namens een leerling, student of medewerker. Google is ook transparanter geworden over de aard van de gegevensverwerking, door informatie te publiceren over de telemetrieberichten die ze verzamelt over het individuele gebruik van de Chromebooks. Systeembeheerders kunnen effectief privacyvriendelijke instellingen afdwingen.
Google heeft niet op alle punten toezeggingen gedaan, bijvoorbeeld als het gaat de rol van Google voor de zogenaamde ‘Optionele diensten’ zoals Google Play en de Chrome Webstore. De onderwijsinstellingen kunnen ervoor zorgen dat dit niet tot hoge risico’s leidt door de toegang tot de Optionele diensten uit te zetten. SURF en SIVON hebben gedetailleerde handleidingen gemaakt voor de systeembeheerders van scholen en onderwijsinstellingen. Als de instellingen die handleidingen nauwgezet volgen, zijn er géén bekende hoge risico’s meer voor de gebruikers van de Chromebooks. De maatregelen staan hieronder samengevat in een tabel.
Privacy Company heeft ook onderzoek gedaan naar de privacyrisico’s van het gebruik van Google Workspace in het onderwijs, ook op de Chromebooks. SURF en SIVON hebben scherpe privacyvoorwaarden onderhandeld met Google voor Workspace for Education. Lees een samenvatting van de uitkomsten in deze blog.
Tabel 1: Opgeloste hoge risico’s Chromebooks