Kabinet: ‘Er kleven privacyrisico’s aan Google-producten’

Close-up van een man die een smartphone vasthoudt met Google G Suite op het scherm

Minister Ingrid van Engelshoven van Onderwijs, Cultuur en Wetenschap en minister Arie Slob voor Basis- en Voortgezet Onderwijs en Media waarschuwen scholen die met Google G Suite for Education werken. De ministers zeggen dat er privacyrisico’s aan de applicaties van de zoekgigant kleven, waardoor onderwijsinstellingen onvoldoende grip hebben wat er met de verzamelde metadata gebeurt. Het kabinet is in gesprek met Google en de Europese Commissie om de databescherming op orde te brengen.

Dat schrijven Van Engelshoven en Slob in een brief aan de Tweede Kamer.

Kabinet laat DPIA uitvoeren naar G Suite for Education

In juni 2020 dienden Peter Kwint van de SP en Paul van Meenen van D66 een motie in over het uitvoeren van een Data Protection Impact Assessment (DPIA) op internationale technologiebedrijven, toegespitst op toepassingen die in het Nederlands onderwijs worden gebruikt. Een DPIA of gegevensbeschermingseffectbeoordeling is een onderzoek waarbij een onafhankelijke partij in kaart brengt hoe een bedrijf of organisatie omgaat met persoonsgegevens. Ze kijkt onder meer welke privacygevoelige data een instantie verzamelt, voor welke doeleinden ze deze gegevens nodig heeft, hoe ze deze informatie verwerkt en of het verwerken van deze gegevens opweegt tegen de inbreuk op privacy.

De ministers erkennen dat er in het onderwijs steeds meer gegevens digitaal worden opgeslagen en uitgewisseld. Onderwijsinstellingen zijn zelf verantwoordelijk voor het opstellen en uitvoeren van risicoanalyses (waaronder een DPIA), informatiebeveiligings- en privacybeleid. Omdat het in praktijk vaak een complexe opgave blijkt te zijn voor individuele scholen, heeft het Strategisch Leveranciersmanagement Rijk (SLM Rijk) van het ministerie van Justitie en Veiligheid medio 2020 een DPIA uitgevoerd naar het gebruik van G Suite for Education. De uitkomsten van het onderzoek zijn door kabinet aangeboden aan de Tweede Kamer.

Scholen hebben ‘geen of onvoldoende grip’ op metadata

De bewindslieden winden er geen doekjes om. Uit de DPIA blijkt dat er privacyrisico’s zijn bij het gebruik van G Suite for Education. Eén van deze risico’s gaat over de omgang en verwerking van zogeheten metadata. Dat is informatie over hoe een gebruiker bepaalde programma’s gebruikt. Metadata zegt iets over wanneer iemand inlogt, hoelang iemand blijft ingelogd, op welk type apparaat, met welke instellingen, welke programma’s hij gebruikt en welke zoekopdrachten hij uitvoert.

Momenteel is het zo dat Google zichzelf als enige verwerkingsverantwoordelijke beschouwt voor metadata. Dat houdt in dat de zoekmachinegigant bepaalt voor welk doel zij metadata verzamelt en op welke manier ze dat doet. Ook staat er in de privacyovereenkomst dat Google op ieder moment de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder dit voor te leggen aan gebruikers. “Dat betekent dat onderwijsinstellingen die Google G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt”, schrijven minister Van Engelshoven en Slob aan de Tweede Kamer.

Omdat veel scholen en onderwijsinstellingen met applicaties van Google werken, vinden de ministers het noodzakelijk om vervolgstappen te zetten. In een poging om de databescherming op orde te brengen, is het kabinet in gesprek met Google en de Europese Commissie. Ook heeft ze de Autoriteit Persoonsgegevens om advies gevraagd in deze kwestie. Het doel dat het kabinet voor ogen heeft is duidelijk: “Het doel is dat G Suite for Education veilig gebruikt kan worden zonder risico’s voor de privacy van leerlingen, studenten en docenten.”

‘Wachten op ongevallen’

In een reactie tegenover de NOS laat de PO-Raad weten dat ze het onwenselijk vindt dat Google eigenaar is van de metadata. “Dit zorgt voor een potentieel risico in de toekomst”, aldus de onderwijskoepel. Daarmee doelt ze op het feit dat de data gebruikt zou kunnen worden om gepersonaliseerde advertenties aan te bieden.

Peter Kwint, een van de indieners van de motie om een DPIA te laten uitvoeren, is te spreken over de reactie van het kabinet. “Als je Google vrij baan geeft in het onderwijs, laat je een speler binnen wiens verdienmodel de persoonlijke data van andere zijn. Dan kun je wachten op opgevallen”, schrijft hij op Twitter.

Ook privacyrisico’s geconstateerd bij G Suite Enterprise

Minister Ferd Grapperhaus van Justitie en Veiligheid heeft een DPIA laten uitvoeren naar de enterpriseversie van Google G Suite (G Suite Enterprise). In het onderzoek zijn tien hoge dataprotectierisico’s voortgekomen, zo schrijft de minister aan de Tweede Kamer. Naar aanleiding van deze uitkomsten heeft het ministerie van Justitie en Veiligheid tussen medio 2020 en februari 2021 meerdere gesprekken gevoerd met Google om persoonlijke gegevens en data beter te beschermen.

Na afloop van de gesprekken heeft Google een aantal juridische en technische toezeggingen gedaan. Uit een herbeoordeling, die op 12 februari plaatsvond, blijkt echter dat er nog acht hoge dataprotectierisico’s zijn overgebleven. “De hoge risico’s zien op een gebrek aan doelbinding, een gebrek aan transparantie, gebrek aan juiste grondslag, ontbrekende mogelijkheden voor privacyvriendelijke instellingen, gebrek aan controle over sub-verwerkers en gebrek aan het recht op inzage voor betrokkenen in het kader van de voorgenomen verwerkingen bij het gebruik van de onderzochte Google-diensten”, schrijft minister Grapperhaus aan de Tweede Kamer.

Net als ministers Van Engelshoven en Slob heeft minister Grapperhaus de Autoriteit Persoonsgegevens om advies gevraagd.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen