Brief regering : Reactie op de uitvoering van de motie van de leden Kwint en Van Meenen over het uitvoeren van een DPIA op internationale technologiebedrijven

32 761
Verwerking en bescherming persoonsgegevens

Nr. 39
BRIEF VAN DE MINISTERS VAN ONDERWIJS, CULTUUR EN WETENSCHAP EN VOOR BASIS- EN VOORTGEZET
ONDERWIJS EN MEDIA

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 maart 2021

Met de toenemende digitalisering van het onderwijs is de bescherming van de privacy
van de leerlingen, studenten en medewerkers een belangrijke en steeds complexere zaak
die onze voortdurende aandacht vraagt. Onderwijsinstellingen zijn verantwoordelijk
voor de omgang met persoonsgegevens conform de Algemene verordening gegevensbescherming
(AVG) en worden geacht hier zorgvuldig invulling aan te geven. De rijksoverheid ondersteunt
waar dat nodig is, bijvoorbeeld bij de uitvoering van een Data Protection Impact Assessment
(DPIA) op grote internationale technologiebedrijven. Hiermee geeft het kabinet tevens
uitvoering aan de motie van de leden Kwint en Van Meenen.1 Met deze brief informeren we uw Kamer over de uitvoering van deze motie.

Data Protection Impact Assessments (DPIA’s) in het onderwijs

In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld.
Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Onderwijsinstellingen
zijn verantwoordelijk voor de keuze van veilige digitale leermiddelen en platforms,
voor een zorgvuldige omgang met de persoonsgegevens van leerlingen, studenten en docenten,
en de naleving van privacywetgeving, waarvan de AVG de belangrijkste is. Het gaat
hierbij onder meer om het opstellen van informatiebeveiligings- en privacybeleid,
de aanstelling van een functionaris voor de gegevensbescherming, de inrichting van
toegangs- en beheerrechten in ict-systemen, de logging hiervan, de uitvoering van
risicoanalyses (zoals DPIA’s) en het afsluiten van verwerkersovereenkomsten met leveranciers
(verwerkers).

Wanneer een leverancier persoonsgegevens verwerkt die een hoog risico vormen voor
de privacy van leerlingen, studenten of docenten moet er in sommige gevallen vooraf
een DPIA uitgevoerd worden door de verwerkings-verantwoordelijke. Naar aanleiding
van de DPIA kunnen maatregelen getroffen worden om deze privacyrisico’s te verkleinen.

De coöperaties SIVON en SURF ondersteunen scholen en onderwijsinstellingen die DPIA’s
uitvoeren op partijen die op grote schaal persoonsgegevens in het onderwijs verwerken.
Voor een individuele school of instelling kan dat in sommige gevallen een complexe
opgave zijn. Omdat de systemen die scholen gebruiken weinig van elkaar verschillen
is het efficiënt om gezamenlijk DPIA’s uit te voeren. Dit geldt met name voor de producten
van de internationale technologiebedrijven als Microsoft en Google. In deze gevallen
wordt nauw samengewerkt met de rijksoverheid.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties bevordert vanuit de verantwoordelijkheid
voor het Rijksinkoopstelsel een gecoördineerde benadering van strategische ICT-leveranciers
van de rijksoverheid. De verantwoordelijkheid voor de uitvoering hiervan is, conform
de governance van het Rijksinkoopstelsel, bij verschillende ministeries belegd. Het
aanspreekpunt voor Microsoft en Google is belegd bij het onderdeel Strategisch Leveranciersmanagement
Rijk (SLM Rijk) van het Ministerie van Justitie en Veiligheid.

DPIA Microsoft

In 2019 heeft SLM Rijk een aantal DPIA’s uitgevoerd op producten van Microsoft die
ook in het Nederlandse onderwijs gebruikt worden. Naar aanleiding daarvan zijn aanvullende
afspraken met Microsoft gemaakt waarbij ook SURF namens het Nederlandse onderwijs
betrokken was. Via SURF gelden de gemaakte afspraken ook voor Nederlandse onderwijsinstellingen
die gebruik maken van Microsoft. De uiteindelijke conclusie van die DPIA’s was dat
voor het gebruik van Microsoft-producten geen hoge risico’s overblijven, mits de gebruiker
een aantal maatregelen neemt. Hoe scholen dat kunnen doen is onder andere te vinden
bij SURF en op de website van Kennisnet.2

DPIA Google G Suite

SLM Rijk heeft medio 2020 een DPIA uitgevoerd in verband met het voorgenomen gebruik
van G Suite Enterprise van Google. Hierover is uw Kamer vandaag geïnformeerd middels
een brief van de Minister van Justitie en Veiligheid.

Parallel aan de DPIA op Google G Suite Enterprise door SLM Rijk hebben de Hogeschool
van Amsterdam en de Rijksuniversiteit Groningen een DPIA laten uitvoeren op G Suite
for Education, de onderwijsvariant van het product waar SLM Rijk een DPIA op heeft
uitgevoerd. Omdat de kantoorapplicaties van G Suite Enterprise en G Suite for Education
grotendeels overeenkomen, zijn deze twee DPIA’s in onderlinge afstemming met elkaar
uitgevoerd. Hierbij heeft SLM Rijk ook namens het onderwijs de gesprekken met Google
gevoerd over de contractuele voorwaarden. Namens de onderwijssector zijn SURF (namens
het hoger onderwijs en mbo) en SIVON (namens het primair en voortgezet onderwijs)
nauw betrokken bij deze DPIA’s. Samen zorgen zij ervoor dat de gemaakte afspraken
met Google gelden voor de hele onderwijssector.

Uit deze DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite
en G Suite for Education. Een van deze risico’s betreft de omgang met metadata. Google
heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor
metadata.3 Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke
manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij
de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming
te vragen. Dat betekent dat onderwijsinstellingen die Google G Suite for Education
gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt. Omdat
deze privacyrisico’s resteren heeft SLM Rijk op 15 februari jl. een voorafgaande raadpleging
bij de Autoriteit Persoonsgegevens (AP) aangevraagd. Dit is een procedure die gestart
wordt als er privacyrisico’s overblijven na een DPIA, en de verwerking nog niet gestart
is.

Omdat veel scholen en onderwijsinstellingen al werken met de producten van Google,
kan deze stap vanuit het onderwijs niet gezet worden. SIVON en SURF vragen daarom
een advies aan de AP (conform art 58 lid 3 sub b AVG) over de privacyrisico’s bij
het gebruik van G Suite for Education. Daarnaast heeft het kabinet contact gelegd
met de Europese Commissie. De scholen en onderwijsinstellingen zullen in de komende
periode via de diverse informatiekanalen die hen ter beschikking staan (websites,
nieuwsbrieven) vanuit SURF, SIVON, PO-Raad en VO-raad worden geïnformeerd en ondersteund.

SLM Rijk blijft ook namens het Nederlandse onderwijs de gesprekken met Google voeren.
Het doel is dat G Suite for Education veilig gebruikt kan worden zonder risico’s voor
de privacy van leerlingen, studenten en docenten.

De Minister van Onderwijs, Cultuur en Wetenschap,
I.K. van Engelshoven

De Minister voor Basis- en Voortgezet Onderwijs en Media,
A. Slob