Brief regering : Resultaten DPIA op Google Workspace for Education en Chromebooks (ChromeOS)
32 034 Digitale leermiddelen
32 761
Verwerking en bescherming persoonsgegevens
Nr. 53
BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN WETENSCHAP
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 5 juli 2023
Via deze brief informeer ik uw Kamer over het privacyonderzoek, ook wel Data Protection
Impact Assessment (hierna: DPIA) op Google Workspace for Education en de vervolgafspraken
die gemaakt zijn met Google zoals toegezegd in de brief van 20 april 2023.1 Google Workspace wordt binnen het onderwijs veel gebruikt voor onder andere e-mail,
tekstverwerking en als agenda. Afgelopen 9 juni heeft Google de afgesproken verbeteringen
opgeleverd.
Daarnaast informeer ik uw Kamer over de uitkomst van de DPIA op Chromebooks, met bijbehorend
besturingssysteem ChromeOS en de Chrome-browser, waarover ik en de toenmalige Minister
voor Primair en Voortgezet Onderwijs uw Kamer eerder in de brief van 14 juli 2022
geïnformeerd hebben.2
DPIA op Google Workspace for Education
In 2021 is door SURF, SIVON en SLM Rijk3 een DPIA uitgevoerd op Google Workspace for Education. De uitvoering van een DPIA
volgt uit de Algemene verordening gegevensbescherming (AVG) en is verplicht als de
verwerking van persoonsgegevens waarschijnlijk een hoog risico oplevert voor de privacy
van in dit geval leerlingen, studenten of docenten. Zoals gemeld in de Kamerbrief
van 20 april, zijn naar aanleiding van deze DPIA in 2021 acht hoge risico’s geconstateerd.
Google was onvoldoende transparant over welke gegevens worden verzameld en wat Google
met deze gegevens doet. SURF, SIVON en SLM Rijk hebben vervolgens afspraken gemaakt
met Google om deze privacyrisico’s te verhelpen. Inmiddels hebben zij vastgesteld
dat de inspanningen die Google al heeft geleverd en nog zal leveren voldoende zijn
om niet langer te hoeven spreken van hoge risico’s. Ik heb advies ingewonnen bij de
landsadvocaat. Hij onderschrijft deze conclusie.
Bij de controle op de door Google genomen maatregelen zijn ook vijf nieuwe bevindingen
gedaan. SURF en SIVON hebben met Google afgesproken om deze bevindingen aan te pakken
in een continu proces, dat is ingeregeld om te kunnen sturen op de blijvende AVG-compliance
van de producten van Google. Dit voortdurende gesprek met Google is van belang, omdat
een DPIA niet een éénmalig traject maar een continu proces is. Leveranciers blijven
namelijk nieuwe functionaliteiten ontwikkelen die vervolgens getoetst moeten worden
aan wet- en regelgeving.
Met Google is tevens afgesproken dat er een Data Transfer Impact Assessment (DTIA)
wordt uitgevoerd, waarin de risico’s van internationale doorgifte van persoonsgegevens
worden onderzocht. De resultaten daarvan worden naar verwachting dit najaar opgeleverd.
DPIA op Chromebooks
Parallel aan de DPIA op Workspace for Education is een DPIA uitgevoerd op het gebruik
van de Chrome browser en ChromeOS, het besturingssysteem van de Chromebooks, op beheerde
apparaten. De bevindingen die uit dat onderzoek zijn voortgekomen, zijn opgelost.
In augustus komt de nieuwe versie van de browser beschikbaar waarin de oplossingen
zijn doorgevoerd. SIVON en SURF zullen de onderwijsinstellingen informeren over hoe
zij gebruik kunnen maken van deze verwerkersversie van Chrome/ChromeOS.
Reactie van AP op Kamerbrief
De Autoriteit Persoonsgegevens (hierna: AP) is de Nederlandse privacytoezichthouder.
Op 7 maart 2023 heeft de AP aandacht gevraagd voor de borging van privacy bij producten
van Google en heeft ons verzocht om voor de start van het komend schooljaar (2023/2024)
aan scholen duidelijkheid te bieden over de inzetbaarheid van Googleproducten. Op
basis van de door Google getroffen maatregelen en de gemaakte afspraken over de DTIA
en de nieuwe bevindingen concluderen SURF en SIVON dat het gebruik van Google Workspace
kan worden voortgezet. Gesteund door het advies van de landsadvocaat onderschrijf
ik die conclusie. Ik heb de AP geïnformeerd over de voortgang op dit dossier. De AP
benadrukt het belang dat de nieuwe bevindingen en de DTIA voortvarend worden opgepakt
en opgelost.
Internationaal
Ik zie dat dit onderwerp ook internationale aspecten heeft, en dat de ontwikkelingen
in Nederland met belangstelling in andere landen gevolgd worden. Immers, deze producten
worden ook elders aangeboden en er is sprake van een Europees wettelijk kader. Zo
heb ik nauw contact met onder andere Vlaanderen over de privacy in Google-producten.
Ik zal de in Nederland bereikte resultaten delen met andere landen en zal de mogelijkheden
om de samenwerking te intensiveren onderzoeken.
De Minister van Onderwijs, Cultuur en Wetenschap,
R.H. Dijkgraaf
Ondertekenaars
-
Eerste ondertekenaar
R.H. Dijkgraaf, minister van Onderwijs, Cultuur en Wetenschap