Controle-onderzoeken naar onderwijsversie Google Workspace: hoge risico’s opgelost

In opdracht van de ICT-coöperaties voor onderwijs (SIVON en SURF) heeft Privacy Company onderzoek gedaan naar Google Workspace for Education. Uit nieuwe controle-onderzoek blijkt dat Google de toegezegde maatregelen heeft getroffen. Uit de gelijktijdig uitgevoerde Data Transfer Impact Assessment op Google Meet blijkt dat er ook geen hoge risico’s zijn verbonden aan de doorgifte via Google naar landen buiten de EU, met uitzondering van videogesprekken waarin bijzondere (extra gevoelige) persoonsgegevens worden uitgewisseld over bijvoorbeeld ziekte of geloof. Als de onderwijsinstellingen de aanbevolen maatregelen treffen, zijn er géén bekende hoge privacyrisico's meer voor de gebruikers van de diensten.

Wij publiceren deze blog over de bevindingen met toestemming van SIVON en SURF. Zie de persberichten op de websites van SIVON en SURF.

Controle-onderzoeken

Google is sinds juli 2021 een verwerker voor de Nederlandse publieke sector voor de belangrijkste persoonsgegevens uit de kerndiensten van Google Workspace. Dat betekent, kort samengevat, dat Google de persoonsgegevens uit en over het gebruik van de diensten alleen mag verwerken voor een lijst afgesproken doelen, wanneer de verwerking noodzakelijk is.

In augustus 2021 publiceerden SURF en SIVON een update DPIA met een overzicht van de risico’s en door Google toegezegde maatregelen. Zie ook deze blog van Privacy Company voor een samenvatting.

In juni 2023 sloot Privacy Company het eerste controle-onderzoek af. Daaruit bleek dat Google alle afgesproken privacyverbeteringen had doorgevoerd, vooral door veel meer informatie te publiceren over de persoonsgegevens die Google verzamelt over het gebruik van haar clouddiensten. Deze metadata worden in het rapport Diagnostische Gegevens genoemd, en bevatten ook de telemetriegegevens die Google verzamelt via de browser van eindgebruikers. Google heeft ook een inzage-instrument gebouwd zodat systeembeheerders de telemetriegegevens kunnen inzien.

Doorgifte risico’s en DTIA

Er waren nog twee privacyrisico’s over, die te maken hebben met de toegang tot de Nederlandse persoonsgegevens in datacentra en door medewerkers van Google in zeven zogenaamde ‘derde’ landen buiten de EU, die geen met de EU vergelijkbaar gegevensbeschermingsniveau hebben.

SURF en SIVON hebben deze doorgifte risico's geanalyseerd in een apart project met Google. Dit heeft geresulteerd in een aparte DTIA voor het gebruik van de videoconferentie tool Meet (een van de kernapplicaties van Workspace).

De DTIA analyseert de kans dat buitenlandse overheidsdiensten (opsporing- of inlichtingendiensten) Google dwingen (of hacken) om toegang te geven tot gegevens van Nederlandse publieke sectororganisaties. Als dat zou gebeuren, kan dat ernstige gevolgen hebben voor de betrokken kinderen, studenten en werknemers.

De DTIA bestaat uit zes tabbladen, voor de zes soorten persoonsgegevens die Google verwerkt:

1. de Inhoudelijke Gegevens (Content Data)
2. de Account Gegevens (zoals e-mail adres, naam en wachtwoord)
3. Helpdesk Gegevens (Support Data),
4. Diagnostische Gegevens (over het individuele gebruik van Workspace)
5. Securitygegevens die Google in Amerika verwerkt, ook over klachten, en
6. Website Gegevens (zoals cookies).

De DTIA concludeert dat er geen grote risico's zijn voor de doorgifte van persoonsgegevens via Meet, omdat Google allerlei maatregelen heeft getroffen die de kans heel klein maken dat het risico zich voordoet. Google heeft de afgelopen twee jaar ook géén persoonsgegeven van Nederlandse publieke sectorgebruikers aan enige overheidsinstantie verstrekt. De Rijksoverheid heeft via Strategische Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (SLM Rijk) dezelfde DPIA’s laten uitvoeren, en heeft dezelfde uitkomsten bereikt. Zie voor meer informatie daarover:

• Brief aan de Tweede Kamer
• DTIA op Google Meet
• Updated verification report Workspace
• New findings verification review Google Workspace Enterprise

Maatregelen die scholen moeten treffen

Er zijn nog wel twee belangrijke maatregelen die de onderwijsinstellingen zelf moeten nemen om de doorgifte-risico’s te verkleinen.

1. Kies voor opslag van de Inhoudelijke Gegevens in de EU (hiervoor is een betaalde versie van Workspace for Education nodig).
2. Als de instellingen verwachten dat de gebruikers bijzondere persoonsgegevens willen uitwisselen via Meet, moeten ze Client Side Encryption toepassen, met lokaal sleutelbeheer, om het risico van ongeautoriseerde toegang tot deze gegevens in 7 derde landen volledig uit te sluiten.

Andere belangrijke maatregelen die de Nederlandse onderwijsinstellingen moeten treffen zijn:

• Kies de de K-12 (leeftijds)instelling om te profiteren van de meest privacyvriendelijke standaardinstellingen.
• Blokkeer centraal de toegang tot de zogenaamde Aanvullende Google-services zoals YouTube en Search. Google blijft hiervoor zelfstandig verantwoordelijk, en mag deze gegevens dus verwerken voor alle commerciële doelen uit haar algemene privacyverklaring.
• Zet extra toegangsbeveiliging aan op de persoonsgegevens, dien geen hulpverzoeken in buiten kantoortijden, en weiger hulp van Google medewerkers in landen buiten de EU.
• Voer een eigen DPIA uit op de verwerkingen via Google Workspace, waarin de gekozen instellingen worden ingevuld, de specifieke persoonsgegevens die de instelling verwerkt en de eigen grondslagen, vooral in relatie tot kinderen. De paraplu DPIA en verificatieonderzoeken zijn een goed hulpmiddel, maar kunnen niet de eigen verantwoordelijkheid vervangen. SIVON heeft hiervoor een model DPIA beschikbaar gesteld die de scholen kunnen gebruiken.

De complete resultaten (inclusief de opgeloste doorgifte risico’s) zijn gepubliceerd in een verificatierapport en in een rapport nieuwe bevindingen. SURF en SIVON publiceren ook handige handleidingen voor systeembeheerders, voor universiteiten en voor scholen.

Eerdere DPIA’s en nieuw onderzoek naar Chrome

Privacy Company heeft de afgelopen jaren meermaals technisch en juridisch onderzoek gedaan naar de persoonsgegevens die Google verwerkt als scholen Google Workspace gebruiken op mobieltjes met het iOS en Android besturingssysteem, op een Chromebook met ChromeOS, op een Macbook en op laptops met Windows 10/11. De eerste DPIA’s uit 2019/2020 concludeerden dat er 8 hoge risico’s waren. Na een interventie van de Autoriteit Persoonsgegevens in de lente van 2021 ging Google akkoord met een aangescherpte verwerkersovereenkomst, en een actieplan om uiterlijk juni 2023 alle mitigerende maatregelen te hebben getroffen.

Privacy Company heeft ook onderzoek gedaan naar de privacyrisico’s van het gebruik van de Chromebooks in het onderwijs. SURF en SIVON hebben bereikt dat Google een aparte privacyvriendelijker versie van het Chrome besturingssysteem heeft ontwikkeld voor het Nederlandse onderwijs. Lees een samenvatting van de uitkomsten in deze blog.