Opmerkelijk advies Autoriteit Persoonsgegevens met betrekking tot Google Workspace

Auteur: Bert van de Bovenkamp

Vorige week lekte een vertrouwelijk advies van de Autoriteit Persoonsgegevens met betrekking tot het gebruik van Google Workspace in het onderwijs uit. Opmerkelijk natuurlijk, zo’n “datalek” bij de instantie die geacht wordt alle organisaties in Nederland wat dit betreft de maat te nemen. Maar het advies van de AP op zich vind ik minstens zo opmerkelijk.
 

De aanleiding

De Autoriteit Persoonsgegevens is door Surf en SIVON gevraagd advies uit te brengen over het gebruik van Google Workspace in het onderwijs. Dit naar aanleiding van een Data Protection Impact Analysis (DPIA) die eerder dit jaar op verzoek van de Hogeschool van Amsterdam en Rijksuniversiteit Groningen is uitgevoerd door de Privacy Company. Surf en SIVON hebben de uitkomsten van deze DPIA overgenomen.
 
In de DPIA, zo stelt de AP in haar advies, is aangegeven dat een aantal beginselen en artikelen uit de AVG niet of onvoldoende worden ingevuld en dit tot risicovolle aspecten leidt. Ik citeer: “door de geconstateerde onvoldoende invulling van beginselen en artikelen voldoet de voorgenomen verwerking op die punten volgens de indieners niet aan de AVG. Het gaat daarbij, samengevat, om de volgende gesignaleerde risico’s in de DPIA:
  • gebrek aan doelbinding over de Inhoudelijke gegevens (Customer Personal Data) en Diagnostische gegevens (Diagnostic Data);
  • gebrek aan transparantie over de Inhoudelijke gegevens (Customer Personal Data) en Diagnostische gegevens (Diagnostic Data);
  • geen grondslag voor Google en de verwerkingsverantwoordelijke en onenigheid over rolverdelingen;
  • ontbrekende privacycontroles voor beheerders en gebruikers;
  • gebrek aan controle over het delen van gegevens met (sub-)verwerkers en derde partijen;
  • onvermogen om de rechten van de betrokkenen uit te (laten) oefenen.”

Het advies van de AP

Wat mij allereerst opviel bij het lezen van het advies van de AP is dat men geen inhoudelijke uitspraken doet over de constateringen die zijn gedaan in de DPIA. Letterlijk staat er in het advies: ” …. De AP heeft zich daarom enkel een algemeen beeld gevormd van de verwerking op basis van de documentatie die is aangeleverd door Surf en SIVON en doet nadrukkelijk geen inhoudelijke uitspraken over de juistheid van de standpunten van partijen.”
 
Reden hiervoor is o.a. dat voor de AP niet duidelijk is of Google wel of niet mede verwerkingsverantwoordelijke is. Iets wat door Surf en SIVON wordt ontkend. Dit zou volgens de AP echter eerst verder uitgezocht moeten worden. Mocht blijken dat Google wel degelijk ook verwerkingsverantwoordelijke is voor bepaalde data, dan zouden Surf, SIVON en Google gezamenlijk een advies moeten aanvragen bij de AP en pas dan gaat men er wel inhoudelijk naar kijken.
 
De AP constateert in haar advies verder dat de DPIA waarop de adviesaanvraag van SIVON en Surf gebaseerd is zich voornamelijk richt op de verwerking van persoonsgegevens van onderwijsmedewerkers en onderwijsdeelnemers van instellingen in het hoger onderwijs, terwijl Google Workspace vooral gebruikt wordt in het primair-, voortgezet- en middelbaar beroepsonderwijs, waarbij ook kinderen betrokken zijn. Volgens de AP zouden de risico’s voor deze kwetsbare groep eerst verder uitgewerkt moeten worden.
 
Kortom: de AP plaatst mijns inziens best wel een paar kanttekeningen bij de DPIA en de adviesaanvraag en doet nadrukkelijk geen uitspraken over de risico’s zoals die zijn benoemd in de DPIA.
 
Maar waarom stelt de AP dan wel dat wanneer SIVON en Surf het niet eens worden met Google scholen per 1 augustus van dit jaar moeten stoppen met het gebruik van Google Workspace? Juridisch gezien snap ik het: als je vindt dat een leverancier niet voldoet aan de AVG moet je er afscheid van nemen. Maar per 1 augustus? Even serieus: het is niet eerder dan eind juni voordat duidelijk is of Surf en SIVON het eens kunnen worden met Google. Dan zouden scholen dus effectief een maand hebben om de overgang te maken naar een nieuwe samenwerkomgeving.
In de praktijk zou dit betekenen dat een school(bestuur) in een maand tijd:
  • een keuze moet maken voor een andere samenwerkomgeving;
  • een DPIA moet uitvoeren ten aanzien van die nieuwe samenwerkomgeving (formeel is dit volgens de AP namelijk nog steeds een verantwoordelijkheid voor een individueel schoolbestuur en zomaar kiezen voor bijvoorbeeld M365 kan volgens mij ook niet want de DPIA ten aanzien van Teams (een niet onbelangrijk onderdeel van M365) loopt nog);
  • een datamigratie moet voorbereiden en uitvoeren;
  • eventueel aanpassingen moet doorvoeren ten aanzien van Identity en acces-management;
  • medewerkers (die op vakantie zijn) moet instrueren ten aanzien van het gebruik van de nieuwe omgeving.
 
Onderwijsinstellingen die op dit moment volledig steunen op Google Workspace krijgen dit natuurlijk nooit geregeld in een maand tijd. En wat is de ratio achter de datum van 1 augustus?
 

Advies aan Google, SIVON en SURF

In het belang van heel veel scholen in Nederland: zorg dat je eruit komt met elkaar. Waar een wil is is een weg. Maak er geen wedstrijdje “ver pissen” van. Zoek geen spijkers op laag water. Denk in het belang van het onderwijs en kom elkaar tegemoet. Zorg dat er voor het onderwijs iets te kiezen blijft op het gebied van samenwerkomgevingen.
 

Advies aan scholen

Voor iedereen geldt: blijf kritisch en houdt je hoofd koel!
Als je van plan was de overgang naar Google Worskpace te maken: wacht nog even totdat er meer duidelijkheid is of voer zélf een DPIA uit. Dit is iets wat volgens de AP sowieso moet gebeuren zolang er niet een centrale instantie is die gemachtigd is dit voor het hele onderwijs te doen. Neem hierbij de mogelijkheid mee om leerlingen en medewerkers te anonimiseren.
Voor scholen die al met Google Workspace werken geldt feitelijk hetzelfde: wacht even af wat er uit de onderhandelingen tussen SIVON, Surf en Google komt. Hoopgevend is dat Google heeft aangegeven alle aanpassingen door te zullen voeren die nodig zijn. Anonimiseer wanneer dit nog niet het geval is je gebruikers en start vervolgens een DPIA. Mocht hieruit voortkomen dat je de privacy van leerlingen en of medewerkers niet kunt waarborgen, ga dan op zoek naar een alternatief. Maar neem daar de tijd voor die nodig is.
Ik kan me niet voorstellen dat de AP na 1 augustus direct boetes gaat uitdelen wanneer Surf, SIVON en Google er niet uitkomen met elkaar. En anders heb je op basis van het redelijkheidsbeginsel volgens mij een goede zaak wanneer je dit aanhangig maakt bij een rechter (ook al ben ik natuurlijk geen jurist).