Twee handen op een krijtbord die het woord privacy bedekken

Overheid stelt onderzoek in naar privacyrisico’s van Google-diensten

Laatst bijgewerkt: 31 augustus 2020
Leestijd: 3 minuten, 23 seconden

Houden de medewerkers van het ministerie van Justitie en Veiligheid en andere ministeries zich aan de Europese privacyregels als ze gebruikmaken van de diensten van Google? Dat is de hoofdvraag die centraal staat in het onderzoek dat wordt uitgevoerd door Privacy Company. Het onderzoeksbureau kijkt of het ministerie de rechten en plichten die in de Algemene Verordening Gegevensbescherming (AVG) staan worden nageleefd.

Dat bevestigt een woordvoerder van het ministerie van Justitie en Veiligheid tegenover AG Connect. De onderzoekers focussen zich niet alleen op dit ministerie, maar alle departementen en aanverwante organisaties die gebruik maken van diensten van Google.

Wat is een DPIA?

Om een antwoord te krijgen op de hoofdvraag, voert Privacy Company een zogeheten Data Protection Impact Assessment (DPIA) uit. Een DPIA of gegevensbeschermingseffectbeoordeling is een onderzoek waarbij een onafhankelijke partij in kaart brengt hoe een bedrijf of organisatie omgaat met het verwerken van persoonsgegevens. Ze kijkt onder meer welke privacygevoelige data een instantie verzamelt, voor welke doeleinden ze deze gegevens nodig heeft, hoe ze deze informatie verwerkt en of het verwerken van deze gegevens opweegt tegen de inbreuk op privacy.

In de AVG staat dat een DPIA verplicht is op het moment dat gegevensverwerking een hoog privacyrisico oplevert voor de mensen van wie de organisatie de gegevens verwerkt. Vrijwel alle bedrijven en organisaties in Nederland verwerken in meer of mindere mate persoonsgegevens. Toch zijn ze niet allemaal verplicht om een DPIA te laten uitvoeren. De Autoriteit Persoonsgegevens heeft een lijst van verwerkingen samengesteld waarvoor het uitvoeren van een DPIA verplicht is. Denk bijvoorbeeld aan het verwerken van persoonsgegevens bij fraudebestrijding, gezondheidscontrole, cameratoezicht of inkomens- en vermogenspositie.

Kort samengevat: een DPIA is een controlemiddel om na te gaan of de Europese privacyregels worden nageleefd. De juridische basis voor een DPIA vinden we dan ook in de AVG (artikel 35).

Dit gaat Privacy Company onderzoeken

De DPIA waar het ministerie van Justitie en Veiligheid opdracht toe heeft gegeven, is afgelopen voorjaar gestart. Daarbij wordt gekeken hoe Google de gegevens van ministeries verwerkt. Het gaat niet zozeer om de vraag of de zoekmachinereus zich houdt aan de AVG-regels, maar of het gebruik van Google voldoet aan de eisen die de overheid aan zichzelf stelt. Ook wordt er getoetst of er goed wordt omgegaan met persoonsgegevens van ambtenaren die Google gebruiken.

Privacy Company voert het onderzoek uit. Het Nederlandse bedrijf heeft de overheid wel vaker geadviseerd over privacyvraagstukken. Bijvoorbeeld bij de invoering van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook wel de ‘sleepwet’ of ‘aftapwet’ genoemd. De bevindingen van het onderzoek worden openbaar gemaakt.

DPIA vloeit voort uit verregaande digitalisering van het onderwijs

De wens om een DPIA uit te voeren bij overheidsinstanties, komt voort uit de onderwijswereld. De woordvoerder van het ministerie van Justitie en Veiligheid stelt dat scholen steeds meer gebruikmaken van diensten van Google. Dat is het directe gevolg van de coronacrisis, waarbij onderwijsinstellingen scholieren en studenten noodgedwongen vanuit huis moeten onderwijzen.

“Scholen zijn in een razend tempo gedigitaliseerd, maar je moet de partijen die dit mogelijk maakten op hun blauwe ogen vertrouwen. Dit soort DPIA’s zijn er om de markt te controleren”, zo vertelt een adviseur van Kennisnet tegenover AG Connect. Kennisnet is een instantie die scholen en andere onderwijsinstellingen uit primair, secundair en middelbaar beroepsonderwijs adviseert over de inzet van ICT-middelen.

Microsoft was eerder onderwerp van onderzoek

De overheid start wel vaker een traject om een DPIA te laten uitvoeren naar het gebruik van technologie. Afgelopen jaar deed de regering dat bij Microsoft. Microsoft is een grote zakelijke klant waar de overheid diensten bij afneemt, zoals Windows-licenties, Office 365 en communicatieplatform Teams.

Uit het onderzoek bleek dat het Amerikaanse hard- en softwarebedrijf data verzamelt van meer dan 300.000 overheidswerkplekken. De software voldeed niet aan de eisen die de overheid stelde. Zo werden er onder meer persoonsgegevens van medewerkers opgestuurd naar Optimizely en Giphy. Bij de mobiele apps gebeurde dat naar zes andere bedrijven. Aangezien geen van deze bedrijven verwerkers zijn, bestond het risico dat gepseudonimiseerde gegevens misbruikt konden worden.

Om de geconstateerde privacyrisico’s weg te nemen, voerde Microsoft afgelopen zomer een aantal maatregelen door.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen