De Autoriteit Persoonsgegevens is blij dat het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) maatregelen heeft genomen om privacyinbreuk van leerlingen en studenten terug te brengen. De constatering van het ministerie dat, ondanks alle maatregelen, niet alle risico’s zijn weggenomen, baart de privacywaakhond zorgen. De toezichthouder vraagt daarom aan de minister van onderwijs om vóór de start van het nieuwe schooljaar na te gaan of de producten van Google in overeenstemming zijn met de Algemene Verordening Gegevensbescherming (AVG).
Dat adviseert de Autoriteit Persoonsgegevens in een brief aan minister Robbert Dijkgraaf (OCW) en minister Dennis Wiersma (Primair en Voortgezet Onderwijs).
Voor het begin van deze zaak moeten we terug naar maart 2021. Toenmalig minister van onderwijs Ingrid van Engelshoven en minister van Basis- en Voortgezet Onderwijs Arie Slob schreven in een brief aan de Tweede Kamer dat er privacyrisico’s kleven aan het gebruik van Google Workspace for Education. Uit een Data Protection Impact Assessment (DPIA) bleek dat onderwijsinstellingen “geen of onvoldoende grip” hebben op de verwerking van metadata.
De ministers klopten bij de Autoriteit Persoonsgegevens aan voor advies. Ze vroegen aan de toezichthouder of Google Workspace gebruikt kon worden zonder de privacy van leerlingen, studenten en docenten te schenden. De privacywaakhond adviseerde om voorlopig te stoppen met Google Workspace, omdat er ‘fundamentele vragen’ over privacybescherming en verwerking van persoonsgegevens onbeantwoord waren.
Meerdere organisaties in de onderwijswereld weigerden om per direct de stekker uit Google Workspace te trekken. Ze wilden Google nog een kans geven om de zorgen weg te nemen. Maar als het internetbedrijf daar niet in zou slagen, dan zouden ze onderwijsinstellingen adviseren om niet langer een beroep te doen op de producten in Google Workspace.
Namens de onderwijssector overlegden SURF en SIVON met Google over de privacyrisico’s voor leerlingen, scholieren en docenten. Dat leidde tot nieuwe afspraken of verbeterplan waarmee “in voldoende mate invulling gegeven [wordt] aan de bescherming van persoonsgegevens conform de AVG”.
Ministers Dijkgraaf en Wiersma geven in een brief aan de Tweede Kamer een update over de stand van zaken. Uit onderzoek van Privacy Company blijkt dat het verbeterplan voor “een aanzienlijke voortgang” heeft gezorgd in het oplossen van de geconstateerde privacyrisico’s. “Er is echter ook gebleken dat niet alle genomen maatregelen het beoogde resultaat hebben opgeleverd en dat niet alle risico’s voldoende zijn weggenomen”, schrijven de ministers.
Op welke punten het verbeterplan tekort schiet, laten de bewindspersonen in het midden. Wel zeggen ze dat SURF en SIVON gesprekken hebben gevoerd met Google en dat het techbedrijf “volledige commitment” heeft getoond. In maart hebben de partijen afgesproken om aanvullende maatregelen alsnog door te voeren. Dat moet uiterlijk op vrijdag 9 juni gerealiseerd zijn.
“Na de doorvoering van de afgesproken maatregelen zullen deze nog door SURF en SIVON worden gecontroleerd. Ook wordt er een Data Transfer Impact Assessment uitgevoerd om de risico’s van internationale doorgifte van persoonsgegevens te beoordelen”, aldus ministers Dijkgraaf en Wiersma.
Vanwege de nieuwe afspraken kunnen scholen met een gerust hart Google Workspace for Education gebruiken. Om ervoor te zorgen dat Google zich ook na 9 juni aan haar afspraken houdt, wordt er een proces ingericht. Daarbij worden er voortdurend gesprekken en audits gevoerd om na te gaan of de producten van Google voldoen aan de Europese privacywetgeving.
De Autoriteit Persoonsgegevens is blij dat er stappen zijn gezet om de privacy van leerlingen, scholieren en docenten te waarborgen. Tegelijkertijd maakt de toezichthouder zich zorgen over de constatering dat nog niet alle privacyzorgen zijn weggenomen door Google. “Als het substantiële privacyrisico’s voor leerlingen betreft, dan kunnen scholen Google-producten in het nieuwe schooljaar mogelijk niet veilig inzetten”, waarschuwt de privacywaakhond.
Om ervoor te zorgen dat er niet onnodig privacyrisico’s worden genomen, verwacht de Autoriteit Persoonsgegevens dat ministers Dijkgraaf en Wiersma, dan wel SURF en SIVON, nog vóór de start van het nieuwe schooljaar uitsluitsel geven over de ernst van de nieuwe bevindingen en de gevolgen daarvan voor de privacy van leerlingen.
“De AP verwacht van u als stelselvertegenwoordigers van het Nederlandse onderwijs dat u een plan opstelt waardoor (…) het gebruik van deze Google producten wordt gestaakt door alle onderwijsinstellingen binnen Nederland voor het ingaan van het schooljaar 2023- 2024”, zo schrijft AP-bestuurslid Katja Mur in een brief (pdf) aan de onderwijsministers.
