Kamerbrief over assessment Google en raadpleging AP

02-03-2021

Minister Grapperhaus informeert de Tweede Kamer over het resultaat van het Data Privacy Impact Assessment (DPIA) van het Strategisch Leveranciersmanagement Rijk (SLM Rijk) voor Google. Ook gaat hij in op de voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (AP).

Op 20 december 2018 (1) berichtte ik u, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties over de dataverzameling door Microsoft. Op 1 juli 2019 (2) informeerde ik u voorts per brief over de door het Strategisch Leveranciersmanagement Rijk (hierna: SLM Rijk) uitgevoerde verificatie op de uitvoer van het verbeterplan met Microsoft. Naar aanleiding van de Rijksbrede afspraken omtrent de verwerking van persoonsgegevens die met Microsoft zijn gemaakt, is aan SLM Rijk op 15 juli 2019 door de CTO raad de opdracht verleend om met Google tot een vergelijkbare Rijksbrede afspraak te komen. Door middel van deze brief bericht ik u over het resultaat van het door SLM Rijk uitgevoerde Data Privacy Impact Assessment (hierna: DPIA) inzake Google. Ten slotte bericht ik u over de voorafgaande raadpleging bij de Autoriteit Persoonsgegevens.

In het geval een gegevensverwerking waarschijnlijk een hoog risico vormt voor de rechten en vrijheden van natuurlijke personen, dient conform art. 35 lid 1 van de Algemene Verordening Gegevensbescherming (hierna: AVG) een DPIA te worden uitgevoerd. Een eventuele inzet van een nieuwe technologische toepassing als Google-diensten en de hiermee gepaard gaande grootschalige verwerkingen rechtvaardigt de uitvoering van de DPIA. (3)

SLM Rijk heeft medio 2020 een DPIA uitgevoerd in verband met het voorgenomen gebruik van de enterpriseversie van Google G Suite (hierna: G Suite Enterprise).

Hierbij zijn de dataprotectierisico’s die kunnen ontstaan bij het gebruik van verschillende onderdelen van de Google G Suite Enterprise via de Chromebrowser op de besturingssystemen Windows 10, MacOS en Chrome OS (op een Chromebook) en via mobiele applicaties op Android en iOS in kaart gebracht. Enkele voorbeelden van de diensten die zijn getest zijn Gmail, Calender, Hangouts, Sheets, Slides, Cloudsearch en Drive.

Uit deze DPIA zijn tien hoge dataprotectierisico’s voortgekomen. Naar aanleiding van deze uitkomsten hebben tussen medio 2020 en februari 2021 meerdere gesprekken tussen SLM Rijk en Google plaatsgevonden met als doel de hoge risico’s te mitigeren. Deze gesprekken hebben geleid tot een aantal juridische en technische toezeggingen aan de kant van Google en een aantal mogelijke organisatorische maatregelen aan de kant van de Rijksorganisaties. Op basis van deze uitkomsten is er op 12 februari jl. een herbeoordeling van de hoge risico’s afgerond. De uitkomst hiervan is dat er acht hoge risico’s resteren.

De hoge risico’s zien op een gebrek aan doelbinding, een gebrek aan transparantie, gebrek aan juiste grondslag, ontbrekende mogelijkheden voor privacy-vriendelijke instellingen, gebrek aan controle over sub-verwerkers en gebrek aan het recht op inzage voor betrokkenen in het kader van de voorgenomen verwerkingen bij het gebruik van de onderzochte Google-diensten. In de bijlage bij deze brief is de DPIA toegevoegd waarin de risico’s in detail zijn beschreven.

Wanneer er na uitvoering van een DPIA hoge dataprotectierisico’s bestaan die niet door maatregelen worden gemitigeerd, is het op grond van art. 36 lid 1 van de AVG verplicht om een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (AP) aan te vragen. Om deze reden heeft SLM Rijk op 15 februari jl. een voorafgaande raadpleging bij de AP aangevraagd. De AP zal conform art. 36 lid 2 AVG schriftelijk advies uitbrengen.

De Minister van Justitie en Veiligheid,

Ferd Grapperhaus

Download hier de DPIA Google G Suite Enterprise (Engels)

Download hier de memo over de stand van zaken Google


Voetnoten:

(1) Kamerstukken II, 2018-2019, 26643-585.

(2) Kamerstukken II, 2018-2019, 26643-622.

(3) Zie ook WP29, Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679, Vastgesteld op 4 april 2017 Zoals laatstelijk gewijzigd en vastgesteld op 4 oktober 2017, p. 9. Daarbij adviseert WP29 (p. 9/10): In gevallen waarin het niet duidelijk is of een gegevensbeschermingseffectbeoordeling vereist is, raadt de WP29 aan om deze toch uit te voeren omdat een gegevensbeschermingseffectbeoordeling een nuttig instrument is dat verwerkingsverantwoordelijken helpt om aan de wetgeving inzake gegevensbescherming te voldoen.


bron: Rijksoverheid

Van onze partners

Handboek DPIA's

→ Lees meer

Opleiding Privacy in het sociaal domein - 3 daags

→ Lees meer

Internationale doorgifte van persoonsgegevens: hoe regel je dat in de praktijk?

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer