SURF en SIVON spreken Google aan op privacyrisico’s

03-03-2021

In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA) blijkt dat er privacyrisico’s kleven aan het gebruik van Google G-suite*. De risico’s zitten in het verzamelen van zogenoemde metadata door Google. SURF en SIVON ondersteunden dit onderzoek en zijn namens het onderwijs in gesprek met Google om ervoor te zorgen dat Google deze privacyrisico’s wegneemt.

De privacyrisico’s zijn aan het licht gekomen door een zogenoemde Data Protection Impact Assessment (DPIA) naar Google G-suite. Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de risico’s zijn. Het Ministerie van Justitie en Veiligheid heeft het DPIA naar de Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G-suite Education.

Metadata

Google verzamelt metadata. Dit is data over het gebruik van bijvoorbeeld Google G-suite. Daarmee kan Google onder andere zien waar de gebruikers het meest op klikken, hoe lang ze ingelogd zijn en welke internetpagina’s en zoekopdrachten het meeste worden gebruikt. Het gaat hier dus niet om individuele leerresultaten of adresgegevens van gebruikers.

Risico’s

Google ziet zichzelf als verwerkingsverantwoordelijke in plaats van verwerker. Dit betekent dat Google vindt dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in hun privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mogen aanpassen, zonder om toestemming te vragen.

Voor toepassingen bij onderwijsinstellingen vinden wij het onwenselijk dat het eigenaarschap en de verantwoordelijkheid voor die gegevens bij Google ligt. Hierdoor kunnen onderwijsinstellingen die Google Suite gebruiken, geen of onvoldoende controle uitoefenen over wat er met deze gegevens gebeurt. Dit zorgt voor een potentieel risico in de toekomst. Bijvoorbeeld doordat die metadata gebruikt wordt om gepersonaliseerde advertenties te plaatsen.

Vervolgstappen

Op dit moment is er nog geen overeenstemming met Google op de aangegeven verbeterpunten en zijn we nog in gesprek. Ook dienen wij een adviesaanvraag in over deze privacyrisico’s bij de Autoriteit Persoonsgegevens. Wij gaan ervan uit dat Google aanpassingen doorvoert zodat de geconstateerde risico’s worden weggenomen en G Suite for Education veilig gebruikt kan worden.

* = G Suite for Education heet sinds kort Google Workspace for Education. Google Workspace for Education bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer.


bron: PO-Raad

Van onze partners

Opleiding Privacy in het sociaal domein - 3 daags

→ Lees meer

Handboek DPIA's

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer