Privacyrisico’s Google zijn voldoende opgelost. Dit moet je als school nog wel regelen!
Deze pagina is voor het laatst ge-update op: vrijdag 1 september 2023
De Nederlandse ministeries van Onderwijs en Justitie hebben aan de Tweede Kamer bevestigd dat Google zich voldoende heeft ingezet om de AVG te blijven naleven. Dit betekent dat onderwijsinstellingen in Nederland ook Google Workspace for Education kunnen blijven gebruiken of gaan gebruiken. Eerder dit jaar hebben SIVON en SURF de door Google genomen maatregelen n.a.v. de DPIA uit 2021 grondig onderzocht en beoordeeld. Lees ook het artikel dat SIVON naar buiten heeft gebracht.
Beveiliging staat voorop
De uitkomsten van deze tussentijdse analyse zijn in februari 2023 met Google gedeeld met daarin een aantal belangrijke punten die nog niet waren opgelost. Daarnaast zijn in de DPIA op Google Workspace uit 2021 ook afspraken gemaakt en doorgevoerd met als resultaat een veilige online omgeving voor het onderwijs.
Voor alle betrokken partijen staat de bescherming van de privacy van leerlingen, studenten en medewerkers voorop. Scholen moeten te allen tijde controle kunnen houden over die gegevens. Heutink ICT is daarom blij met de maatregelen die Google heeft genomen om voorgenoemde privacyrisico’s te mitigeren.
Wat betekent dit voor scholen?
Schoolbesturen zijn en blijven eindverantwoordelijk voor een veilig gebruik van (digitale) onderwijstoepassingen; jij besluit welke toepassingen jouw school gebruikt en onder welke voorwaarden. Scholen ontvangen deze zomer het volledige DPIA-rapport met alle in 2021 geconstateerde privacyrisico’s en de door Google genomen maatregelen om deze af te dekken. Met dit rapport kunnen scholen zelf de afweging maken over het gebruik van Google Workspace.
De DPIA op Google Workspace staat los van de DPIA die is uitgevoerd op Chromebooks, ChromeOS en Chrome-browser. In dit traject zijn afspraken gemaakt met Google over een nieuwe verwerkersversie van ChromeOS. Deze aangepaste versie is rond augustus van dit jaar beschikbaar voor scholen. Lees meer in dit artikel. Naast de introductie van de verwerkersversie, hebben SIVON en SURF additionele afspraken gemaakt om privacyrisico’s weg te nemen. Deze afspraken staan in het ‘improvement plan’. Het is niet nodig om nieuwe software te installeren op de Chromebooks. De uitrol van de functionaliteiten om de verwerkersversie mogelijk te maken, zitten in de software updates van Google.
Vanaf 18 augustus beschikbaar
Chromebooks veilig gebruiken.
Doorloop deze 4 stappen.
SIVON en SURF zijn – mede namens de Nederlandse overheid - met Google overeengekomen dat de onderstaande maatregelen voldoende zijn om de privacy te waarborgen en te voldoen aan alle relevante wet- en regelgeving. In de zomervakantie hebben alle admin beheerders van de Google omgeving deze e-mail ontvangen van Google waarin werd aangekondigd dat op 18 augustus de nieuwe verwerkersovereenkomst voor Chrome OS en Chrome-browser op Chrome-apparaten beschikbaar is. Tevens is het mogelijk om een aantal privacysettings aan te passen. Hiermee worden belangrijke privacyrisico's bij het gebruik van Chrome afgedekt. De school is zelf verantwoordelijk om deze stappen te doorlopen. Kom je er niet uit? Dan staan onze collega's van de servicedesk voor je klaar.
-
1. Zorg dat je al je Chromebooks in beheer hebt in je Workspace domein
Breng alle Chrome-apparaten onder beheer bij een Workspace tenant met de ‘Chrome Education Upgrade’ licentie. Deze licentie maakt centraal beheer van Chromebooks mogelijk. Alleen centraal beheerde Chromebooks kunnen als verwerkerversie geconfigureerd worden. Als je tenant door Heutink ICT beheerd wordt is dat al geregeld.
-
2. Accepteer de nieuwe voorwaarden van Google Workspace for Education
Dit kan de ICT-cöordinator (beheerder) van de school zelf doen in de Google Workspace omgeving (mits je admin/ beheer rechten hebt in Google Admin Console). Eventueel kan Heutink ICT dit ook namens de stichting uitvoeren. Neem hiervoor contact op met de Servicedesk. Deze actie kan pas uitgevoerd worden in augustus als Google de nieuwe voorwaarden voor beheerd ChromeOS in Nederland (d.w.z. apparaten met Chrome Education Upgrade licenties), de zogeheten gegevensverwerkingsmodus, publiceert. Beheerders kunnen deze modus en aanvullende besturingselementen dan vinden in het compliance center in Google Admin Console.
BELANGRIJK: het is geen popup die vanzelf naar voren komt, je moet als Admin zelf naar de juiste plek toe navigeren: Apparaten > Chrome > Naleving > Modus voor Gegevensverwerking (zie screenshot)
Aanvullende uitleg vanuit Google
-
3. Implementeer de privacy instellingen
Heutink ICT heeft net als in 2021 veel van de voorgeschreven richtlijnen (in Apparaatbeheer) voor jou doorgevoerd. Op een aantal na. We zien namelijk dat bepaalde aanpassingen veel impact hebben op de werking van Google producten. En aangezien de scholen/ besturen zelf verantwoordelijk zijn voor de privacy settings laten we die keuzes bij de beheerder. Naast de handleiding van Sivon heeft Heutink ICT ook een eigen handleiding waarin je meer leest over hoe de voorgeschreven settings in apparaatbeheer zijn verwerkt. We leggen je deze nieuwe aanpassingen stap voor stap uit.
-
4. Check je Chromebooks
Apparaten die verouderd zijn of geen Education Upgrade hebben gehad vallen buiten de voorwaarden voor veilig gebruik. Het is dus zaak om je Chromebooks te inventariseren. Jouw Heutink ICT accountmanager neemt na de vakantie contact met je op om de lijst met verouderde actieve Chromebooks te doorlopen. Uiteraard kun je ook zelf een afspraak inplannen. Neem contact op met je accountmanager of klik hier voor een afspraak.
Update voor ouders & verzorgers
Google heeft speciaal voor ouders kort samengevat wat er allemaal is geregeld op het gebied van privacy en security. Klik hier voor de PDF. Deel deze informatie gerust met relevante groepen op jullie scholen. De informatie bevat Google’s fundamentele privacyprincipes, tools die worden ingezet om kinderen te helpen veilig online te zijn en een toelichting op het recente werk dat is uitgevoerd in samenwerking met Nederlandse onderwijsorganisaties.
Data opslag buiten Europa
Tot slot. Eén van de punten uit de DPIA in 2021, is de verzending van gegevens naar de Verenigde Staten. Voor dit punt is eerder dit jaar een apart traject gestart, de zogenaamde Data Transfer Impact Assessment (DTIA). Hierbij worden privacyrisico’s onderzocht van doorgifte van gegevens naar landen buiten de Europese Economische Ruimte (EER). Google verleent hieraan haar medewerking. Naar verwachting wordt de DTIA – inclusief de implementatie van eventuele maatregelen die hieruit voortvloeien – dit najaar afgerond. Daar berichten we uiteraard ook over.
Wil je weten hoe wij jouw school verder helpen?
Neem dan contact op met onze specialisten.