Google G Suite for Education verboden terrein voor onderwijsinstellingen?

Google G Suite for Education verboden terrein voor onderwijsinstellingen?

expertise:

IT & Privacy

18 juni 2021

De Autoriteit Persoonsgegevens (AP) heeft een advies gepubliceerd over het (voorgenomen) gebruik van Google G Suite for Education door onderwijsinstellingen in Nederland. De conclusie is glashard: momenteel is het gebruik van Google G Suite for Education in strijd met de AVG. Hoe komt de AP tot deze conclusie?

Hogeschool van Amsterdam en Rijksuniversiteit Groningen

De Hogeschool van Amsterdam (HvA) en de Rijksuniversiteit Groningen (RUG) willen gebruik maken van Google G Suite for Education en hebben daarom een DPIA (ook wel gegevensbeschermingseffectbeoordeling genoemd) uitgevoerd. Met een DPIA wordt onderzocht wat de risico’s zijn van een voorgenomen gegevensverwerking. Uit de DPIA is gebleken dat een aantal beginselen en artikelen uit de AVG niet of onvoldoende kunnen worden nageleefd. Aan het gebruik van Google G Suite for Education kleven dus (te) hoge privacy risico’s (ook wel restrisico’s genoemd). De HvA en de RUG hebben daarom, conform de eisen uit de AVG, een verzoek om voorafgaande raadpleging ingediend bij de AP. Daarmee verzoeken ze in feite de AP om de gegevensverwerking te mogen starten, ondanks de privacy risico’s. Daarnaast hebben SURF (een samenwerkingsorganisatie voor het mbo en hoger onderwijs) en SIVON (een coöperatie van schoolbesturen) – via en met het ministerie van Justitie en Veiligheid – advies gevraagd aan de AP over deze risico’s.

De twee onderwerpen waar de AP in haar oordelen c.q. adviezen de meeste aandacht aan schenkt worden hieronder besproken.

Rolverdeling tussen Google en de onderwijsinstellingen

Bij iedere verwerking van persoonsgegevens moet de rolverdeling tussen partijen worden vastgesteld. Wie is de verwerkingsverantwoordelijke? Is er sprake van gezamenlijke verwerkingsverantwoordelijkheid? Etc. Deze vaststelling is vaak niet eenvoudig, maar wel uiterst belangrijk. De onderwijsinstellingen lijken moeite te hebben met deze vaststelling en vragen aan de AP om een uitspraak hierover te doen.[1] De AP weigert dit en legt de bal terug. Het is “aan partijen zelf om deze vast te stellen”, aldus de AP. Daarbij oordeelt de AP dat de onderbouwing van de rolverdeling – zoals die is vastgelegd in de DPIA – onvoldoende is, hetgeen hoge privacy risico’s oplevert. Deze onduidelijkheid en daarmee gepaard gaande hoge risico’s hangen samen met de onduidelijkheid over de gegevensverwerkingen die plaatsvinden.

Risico’s bij verwerking persoonsgegevens van kinderen

De AVG biedt extra bescherming aan de privacy van kinderen tot 16 jaar. Aangezien Google G Suite for Education ook ingezet kan worden voor het primair, voortgezet en middelbaar beroepsonderwijs, dient bij een DPIA uitgebreid aandacht te worden besteed aan de (privacy)risico’s voor kinderen. De AP concludeert dat “extra zorgvuldig zal moeten worden onderzocht welke risico’s er spelen en welke waarborgen passend zijn”. De reeds uitgevoerde DPIA voldoet hier in de ogen van de AP niet aan. Een toelichting op dit standpunt, zoals een uitleg welke elementen zoal zouden ontbreken, laat de AP achterwege.  

Hoe nu verder?

Onderwijsinstellingen moeten maatregelen treffen om bij het gebruik van Google G Suite for Education de privacy van betrokkenen voldoende te beschermen. Indien dat niet mogelijk is, moet Google G Suite for Education volledig uitgefaseerd zijn vóór de start van het schooljaar 2021/2022, aldus de AP. Gelet op het advies van de AP moeten alle risico’s uitgebreid worden afgewogen en zo ver mogelijk worden afgedekt. Een korte analyse lijkt niet te volstaan. Ook geeft de AP aan dat het mogelijk is dat de onderwijsinstelling gezamenlijk met Google de AP voor voorafgaande raadpleging moeten benaderen. Hoe de AP dit voor zich ziet, is een raadsel. Het mag duidelijk zijn dat dit advies van de AP op omvangrijke praktische problemen stuit.

Conclusie

Het gebruik van Google G Suite for Education en de daarmee gepaard gaande privacy risico’s staat inmiddels op de radar van de AP. Het is de vraag hoe de onderwijsinstellingen hiermee omgaan. Stoppen of veel tijd (en geld) investeren in het legaal kunnen gebruiken van Google G Suite for Education, dit alles binnen een tijdsbestek van krap 3 maanden (start schooljaar 2021/2022)? In dat laatste geval is het nog maar de vraag of het überhaupt mogelijk is voor onderwijsinstellingen om gebruik van Google G Suite for Education in overeenstemming te brengen met de AVG…

Meer weten over het gebruik van Google producten en diensten op een wijze die in overeenstemming is met de AVG? Neem dan gerust contact op met Floortje Eijdems of één van de andere leden van het Privacy-team.