De Onderwijs- en Justitie-ministeries trekken aan de bel over Google Workspace en Worskpace for Education. Ondanks gesprekken met Google zijn de data van leerlingen, studenten, docenten en ambtenaren niet voldoende beschermd.

Het Google Workspace for Education-softwarepakket is in zijn huidige vorm ongeschikt voor het onderwijs. Dat schrijven de ministers Van Engelshoven en Slob in een Kamerbrief aan het parlement. Workspace for Education omvat onder meer de programma’s Gmail, Google Docs en Google Classroom, een programma voor samenwerking in de klas. Die conclusie volgt op de Data Protection Impact Assessment (DPIA) die het ministerie heeft laten uitvoeren.

De reden, zo staat er in de Kamerbrief, is dat Google zichzelf ziet als enige verwerkingsverantwoordelijke voor de metadata en daarom zelf mag bepalen voor welk doel het bedrijf die data verzamelt. In die metadata staat onder andere welke programma’s worden gebruikt, wanneer er wordt ingelogd, op welk type apparaat en met welke instellingen. Ook staat in de privacy-overeenkomsten dat Google de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen. Dat betekent dat onderwijsinstellingen die Workspace for Education gebruiken, te weinig grip hebben op wat er met hun data gebeurt, schrijven de ministers.

Ook ambtenaren te weinig beschermd
Tegelijkertijd schreef minister Grapperhaus van Justitie en Veiligheid gisteren een Kamerbrief met dezelfde strekking over het gebruik van Google Workspace door overheden. Maps, maar ook Gmail, Calendar, Meet en uiteraard de Google-zoekmachine zijn geliefde programma’s, ook onder ambtenaren. Maar ook hier geldt, volgens Justitie, dat er hoge dataprotectie-risico’s kleven aan het gebruik van de Google-diensten. Gesprekken met de techgigant hebben wel íets geholpen, maar van de tien oorspronkelijke bezwaren zijn er slechts twee door Google opgelost, stelt het ministerie. Zo is er nog altijd sprake van een gebrek aan transparantie, aan de juiste AVG-grondslag, ontbrekende mogelijkheden voor privacy-vriendelijke instellingen en een gebrek aan het recht op inzage voor gebruikers.

Omdat beide ministeries te weinig medewerking bij Google zien, schakelen zij de Autoriteit Persoonsgegevens in voor een bindend advies. Ook wordt er gesproken met de Europese Commissie. Google zelf zegt in een reactie dat er inmiddels meerdere maatregelen zijn genomen en dat het bedrijf met de overheid in gesprek blijft.
SP-kamerlid Peter Kwint, een van de degenen die het onderzoek naar het gebruik van Google Workspace aanzwengelde, reageert niet verrast:

Microsoft Education
Eerder liet het ministerie van OCW eenzelfde DPIA uitvoeren naar de dataverwerking in de programma’s van Microsoft Education. Daaruit kwam enkele maanden geleden de conclusie dat werken met Microsoft 365-programma zoals Teams, Notes en Outlook in principe veilig is, maar dat het wel aanbeveling verdient om bepaalde ‘telemetrische’ instellingen aan te passen dan wel uit te zetten. Daaronder valt het delen van gebruikersdata en -ervaringen met de softwareleverancier, instellingen die standaard op ‘aan’ staan.