De Autoriteit Persoonsgegevens raadt onderwijsinstellingen en het ministerie van Justitie en Veiligheid aan om geen gebruik te maken van de e-mail en clouddiensten van Google. De diensten voldoen namelijk niet aan de Europese privacywetgeving. De zoekmachinegigant zegt in een reactie de feedback van de toezichthouder te waarderen. Dat blijkt uit twee vertrouwelijke rapporten van de Autoriteit Persoonsgegevens, die in handen zijn van het Financieele Dagblad.
Veel basisscholen, universiteiten, bedrijven en zelfs overheidsorganen maken volop gebruik van de online diensten van Google. Ze gebruiken bijvoorbeeld Gmail om e-mails mee te versturen, Google Meet om online gesprekken te voeren, en Sheets en Docs om presentaties en tekstbestanden te maken en delen. Al deze diensten zijn gecombineerd in Google Workspace, dat voorheen Google G Suite Enterprise/Education heette.
De diensten van Google bieden de uitkomst voor uiteenlopende scenario’s. Volgens de Autoriteit Persoonsgegevens schuilt er echter een belangrijk probleem in de diensten: onderwijsinstellingen die er gebruik van maken weten niet hoe en waar persoonlijke gegevens over leerlingen en studenten worden verwerkt, voor welk doel dit gebeurt en op welke grondslag dit plaatsvindt. “Daarom kan deze verwerking niet rechtmatig plaatsvinden”, zo concludeert de toezichthouder.
Demissionair minister Ingrid van Engelshoven van Onderwijs, Cultuur en Wetenschap en minister Arie Slob voor Basis- en Voortgezet Onderwijs en Media waarschuwden begin maart dat er privacyrisico’s kleefden aan Google G Suite for Education. In een brief aan de Tweede Kamer schreven de ministers dat onderwijsinstellingen ‘geen of onvoldoende grip’ hebben op de verwerking van metadata. Metadata is informatie over hoe een leerling of student een programma gebruikt. Het zegt iets over wanneer iemand inlogt, hoelang iemand blijft ingelogd, op welk type apparaat, met welke instellingen, welke programma’s hij gebruikt en welke zoekopdrachten hij uitvoert.
Net als Van Engelshoven en Slob heeft demissionair minister van Justitie en Veiligheid Ferd Grapperhaus een Data Protection Impact Assessment (DPIA) laten uitvoeren naar Google G Suite Enterprise. Daaruit vloeiden tien hoge dataprotectierisico’s voort. Na een aantal gesprekken van Google bleven er nog acht risico’s over. “De hoge risico’s zien op een gebrek aan doelbinding, een gebrek aan transparantie, gebrek aan juiste grondslag, ontbrekende mogelijkheden voor privacyvriendelijke instellingen, gebrek aan controle over sub-verwerkers en gebrek aan het recht op inzage voor betrokkenen in het kader van de voorgenomen verwerkingen bij het gebruik van de onderzochte Google-diensten”, schreef minister Grapperhaus aan de Tweede Kamer.
De ministers hebben de Autoriteit Persoonsgegevens om advies gevraagd. Ambtenaren van het ministerie van Justitie en Veiligheid maken nog geen gebruik van de online diensten van Google, maar waren hierover wel in onderhandeling. De toezichthouder adviseert in de vertrouwelijke rapporten om hier niet aan te beginnen vanwege “fundamentele vragen die eerst dienen te worden beantwoord”. Ingewijden zeggen dat andere ministeries door de adviezen van de AP twijfels hebben om met Google in zee te gaan.
Voor Google zijn adviezen een tegenvaller. Het Financieele Dagblad benadrukt dat het Amerikaanse technologiebedrijf probeert een voet tussen de deur te krijgen op de markt van kantoorsoftware, een markt die momenteel gedomineerd wordt door Microsoft. Ook onderwijsinstellingen komen hierdoor in een lastige situatie terecht. Zij gebruiken immers al jaren de online diensten van Google om met ouders te overleggen, schoolprestaties van leerlingen vast te leggen en online les te geven. Zomaar afstappen van Google Workspace is dus niet zo eenvoudig als het klinkt.
Een woordvoerder van de overheid vertelt tegenover het Financieele Dagblad dat de ministeries, onderwijskoepels en de IT-koepel voor academici in overleg zijn met Google over de kwestie. Zij doen naar eigen zeggen ‘een dringend beroep op de maatschappelijke verantwoordelijkheid van Google om de risico’s weg te nemen en privacy van leerlingen en studenten te waarborgen, zodat scholen de Google-producten veilig kunnen gebruiken’.
Google laat in een reactie weten dat het de ‘feedback’ van de Autoriteit Persoonsgegevens waardeert. Het techbedrijf verwacht de tekortkomingen snel te kunnen oplossen.
Niet alleen onderwijsinstellingen overtreden de regels van de Europese privacywetgeving. Het CIO Platform waarschuwde in april dat veel bedrijven niet aan de AVG-regels voldoen, omdat onduidelijk is hoe cloudaanbieders omgaan met data van Nederlandse en Europese bedrijven. Enerzijds zijn techbedrijven niet open en eerlijk over wat ze met klantdata doen. Anderzijds staat er in de AVG dat de gebruiker verantwoordelijk is om ervoor te zorgen dat de software die ze gebruiken aan de wet voldoet. Echter, deze mogelijkheid krijgen afnemers doorgaans niet. Arthur Govaert, voorzitter van het CIO Platform, noemde dit een ‘weeffout’ in de AVG.
