Onderwijs toch door met Google, dat privacy-risico’s aanpakt

Abonneer je gratis op Techzine!

De instellingen SURF en SIVON hebben overeenstemming bereikt met Google, waardoor ze met Google kunnen blijven werken. Een maand geleden adviseerde de Autoriteit Persoonsgegevens (AP) dat het onderwijs in Nederland moet stoppen met het gebruik van Google producten vanwege de hoge privacyrisico’s.

SURF en SIVON hebben nu na overleg met Google besloten toch door te gaan. “Na intensieve discussies van de afgelopen weken is overeenstemming bereikt met Google over het mitigeren van hoge privacy-risico’s met betrekking tot het gebruik van Workspace for Education Plus (voorheen G Suite Education for Enterprise) en Workspace Education Fundamentals (de gratis variant, voorheen G Suite for Education) door onderwijsinstellingen in Nederland,” zeggen beide.

Uit het AP onderzoek was naar voren gekomen dat onderwijsinstellingen niet weten hoe en waar de persoonsgegevens van leerlingen en studenten worden verwerkt en bewaard. Daardoor was de verwerking van de informatie niet rechtmatig.

Mitigerende maatregelen

De twee organisatie zijn nu “een uitgebreide set contractuele, organisatorische en technische maatregelen” overeengekomen met Google. “Deze maatregelen mitigeren alle in de DPIA geïdentificeerde hoge privacy-risico’s in voldoende mate,” zeggen de twee.

De meeste afgesproken maatregelen gelden voor de core services in Workspace for Education, zoals Classroom en Gmail. Google verplicht zich om de gesprekken met SURF en SIVON voort te zetten over andere Google-diensten die regelmatig in het onderwijs worden gebruikt, zoals Google Cloud Platform en ChromeOS.

SURF en SIVON geven onderwijsinstellingen voor het begin van het volgende schooljaar instructies hoe ze ervoor kunnen zorgen dat deze wijzigingen op hun contracten van toepassing zijn. Zo moeten onderwijsinstellingen “de juiste beheerdersinstellingen en bepaalde organisatorische maatregelen toepassen”. Beide organisaties leveren de daarvoor benodigde documentatie aan. Zo moet in voldoende mate invulling gegeven worden aan de bescherming van persoonsgegevens conform de GDPR.