Het kan je bijna niet ontgaan zijn: de Data Protection Impact Asessments op Google G Suite. Uit beide DPIA’s kwam naar voren: het gebruik van G Suite heeft grote privacy risico’s.
Allereerst: er zijn 2 DPIA’s uitgevoerd. Eentje op Google G Suite Enterprise door de Privacy Company in opdracht van Strategisch Leveranciers Management Rijk (SLM Rijk), een onderdeel van het Ministerie van Justitie & Veiligheid.
De tweede DPIA werd parallel hieraan uitgevoerd door de Hogeschool van Amsterdam(HvA) en de Rijksuniversiteit Groningen (RUG). Deze DPIA werd specifiek gehouden voor de onderwijsvariant van G Suite, G Suite for Education (inmiddels Google Workpace for Education).
In de DPIA zijn ook andere Google producten zoals Chrome, Google maps en Youtube meegenomen.
De uitkomsten van beide DPIA’s waren dat Google met deze producten niet voldoet aan de AVG. Er zijn dus privacyrisico’s aan het gebruik.
Google’s dubbelrol: verwerker EN verwerkingsverantwoordelijke
De crux van het verhaal zit in de dubbelrol die Google zich voor dit product toegeëigend. Google zegt verwerker te zijn voor de persoonsgegevens die in het systeem verwerkt worden. Dit zijn namen, adresgegevens, individuele leerresultaten etc.
Voor de meta-data acht Google zich enige verwerkingsverantwoordelijke. Gegevens als waar het meest op geklikt wordt door gebruikers, welke internetpagina’s en zoekopdrachten het meeste voorkomen en de inlogtijd, meent Google dus zelf verantwoordelijk voor te zijn. Dat betekent dat dat Google mag bepalen voor welk doel ze de gegevens verzamelen en op welke manier ze dat doet. En Google mag, conform haar privacyovereenkomst, eenzijdig de voorwaarden voor metadata aanpassen, zonder de gebruiker om toestemming daarvoor te vragen.
Hoe nu verder?
Het gebruik van G suite heeft grote privacy risico’s ook al heeft Google na de DPIA wel een aantal beperkte wijzigingen doorgevoerd in G Suite.
Die hebben met name betrekking op een aantal maatregelen. Zo wordt een gebruiker automatisch uitgelogd als hij overstapt van G Suite naar een ander product, kan de beheerder het gebruik van een Google account nu centraal blokkeren in het systeem en in de onderwijsvariant staat de advertentiepersonalisatie standaard uit, bij Enterprise kan de beheerder gebruikers een instructie geven hoe dit uitgezet kan worden.
Aardige maatregelen maar de essentie nml. dat Google verwerkingsverantwoordelijke is voor de metadata en deze eenzijdig zonder toestemming van de gebruiker aan kan passen, is hiermee nog niet opgelost.
Het gebruik van G suite heeft grote privacy risico’s, zowel voor Enterprise en Education. Het vervolg op de DPIA is echter verschillend.
In het geval van de DPIA voor Enterprise wordt het product nog niet gebruikt. In AVG-termen: voorafgaand aan de verwerking (het gebruiken van G Suite) is een DPIA gehouden. Uit deze DPIA blijken een aantal restrisico’s die niet zijn te mitigeren. Althans, Google heeft nog geen aanpassing gedaan. Over deze restrisico’s dient een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens plaats te vinden. SLM Rijk heeft inmiddels een voorafgaande raadpleging bij de AP aangevraagd. Het wachten is nu op de uitkomsten daarvan.
In het geval van G Suite Education is de situatie anders. Scholen gebruiken deze toepassing al volop, dus kan er geen voorafgaande raadpleging bij de AP worden gevraagd. Op basis van art. 58 lid 3 sub b AVG hebben Sivon, een coöperatieve inkoopvereniging voor het primair en voortgezet onderwijs en Surf, een ICT-coöperatie op het gebied van ICT, de AP om advies gevraagd. Ook hier is het wachten dus wanneer de AP hier op terugkomt.