Hoe zit het met privacy (GDPR) in G Suite en Office 365?

- Jeroen Langendam

Sinds mei 2018 gelden in de Europese Unie strenge privacyregels (GDPR). Voldoen de grote clouddiensten voor het onderwijs, zoals G Suite en Office 365 aan deze regels? Niet echt…

Als school wil je het best mogelijke onderwijs bieden. Daarbij krijg je hulp aangeboden van een groot aantal tech-bedrijven. Maar het is ook belangrijk dat de leerlingen veilig online kunnen zijn. Daarom zorg je dat er lessen worden gegeven rondom thema’s als cyberpesten, online welzijn en natuurlijk het beschermen van je privacy als je online gaat.

Vooral rondom de bescherming van privacy speelt een groot aantal vragen. Sinds mei 2018 gelden binnen de hele Europese Unie de General Data Protection Regulation (GDPR). Deze regels staan in België ook bekend onder de naam Algemene Verordening Gegevensbescherming (AVG).

GDPR: een eenvoudig uitgangspunt…

De basisgedachte achter de privacywetgeving is eenvoudig: gegevens mogen alleen worden verwerkt indien hiervoor toestemming is gegeven, waar nodig worden gegevens geactualiseerd en de verwerking moet transparant zijn. Een te algemene toestemming is onder de GDPR niet geldig, want: “De persoonsgegevens worden verkregen voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde en mogen niet worden verwerkt op een manier die onverenigbaar is met dit doeleinde.” (Bron)

Als onderwijsorganisatie mag je dus alleen die gegevens registreren en verwerken die absoluut noodzakelijk zijn voor gecommuniceerde doelen.

…maar lastig in de praktijk

De regels lijken simpel, in de praktijk blijken ze nogal ingewikkeld. Sommige scholen experimenteerden met gezichtsherkenning. Los van de twijfels die bestaan over de betrouwbaarheid van gezichtsherkenning, zijn hier grote privacybezwaren tegen te noemen.

Een Zweedse school, die deze technologie inzette voor de aanwezigheidscontrole werd door de autoriteiten op de vingers getikt omdat sprake was van een “duidelijke ongelijkwaardigheid tussen de persoon wiens data is vastgelegd en de beheerder”.

Die “duidelijke ongelijkwaardigheid” is een belangrijk criterium, aangezien de machtsverhouding tussen leerling en school haast per definitie ongelijk is.

Tweetraps-raket

Het voorbeeld van de gezichtsherkenning is nog een relatief eenvoudige relatie. Er zijn immers slechts twee partijen bij betrokken, de leerling (en diens wettelijke verzorgers) en de school. Maar hoe zit het met de privacy wanneer de school besluit data op te slaan bij externe partijen?

Twee partijen waar scholen vaak mee samenwerken zijn Google (G Suite for Education) en Office 365 for Education. Beide clouddiensten worden gebruikt om persoonlijke data van leerlingen op te slaan.

GDPR als tweetrapsraket
Privacy is een tweetrapsraket. Ook als een externe dataverwerker wordt ingeschakeld, blijft de GDPR van kracht. De bescherming die is ingebouwd tussen leerling en school, moet dus ook geborgd zijn tussen school en IT-leverancier.

Het principe van de GDPR blijft ook van kracht wanneer de onderwijsinstelling gebruik maakt van externe gegevensverwerkers. De data van de leerling of student mogen dus alleen worden opgeslagen indien hiervoor formeel toestemming is verleend. Autoriteiten hebben nog geen uitspraak gedaan over de vraag in hoeverre daarvan sprake kan zijn, gezien ook hier die “duidelijke ongelijkwaardigheid” aan de orde is.

Verwerkingsovereenkomst nodig om te voldoen aan GDPR

Belangrijk is dat voor elke relatie tussen de onderwijsinstelling en een externe dataverwerker een verwerkingsovereenkomst verplicht is. Hierin moet worden vastgelegd welke digitale gegevens voor welk doel worden opgeslagen en verwerkt. Daarnaast moet de beveiliging in de verwerkingsovereenkomst worden geregeld. Denk hierbij aan cybersecurity (encryptie, firewall, versleutelde verbindingen  en dergelijke) maar zeker ook de fysieke beveiliging van de data. Wie kan er, onder welke voorwaarden, bij de data. Hoe is de toegang tot servers en gegevensdragers geregeld. Hoe zijn backups geregeld? En hoe wordt omgegaan met incidenten.

Als je dat zelf allemaal moet uitzoeken, sta je voor een grote uitdaging. Gelukkig heeft de Vereniging van Vlaamse Steden en Gemeenten vzw (VVSG) een generieke verwerkingsovereenkomst opgesteld. Deze kan je helpen om tot een goede overeenkomst tussen de school en de dataverwerker te komen.

Verwerking van data moet binnen de EU

Verwerking van data mag alleen indien dit conform de regels van de Europese Unie is. Tot voor kort kon dit ook in de VS gebeuren. De grondslag hiervoor was het EU-VS-privacyschild. De Europese Commissie verklaarde in 2016 dat deze overeenkomst in lijn was met de GDPR.  Op 16 juli 2020 zette het Europees Hof van Justitie hier echter een streep door het EU-VS-privacyschild.

Data mag van de GDPR alleen worden verwerkt met toestemming, voor een expliciet doel, binnen de Europese Unie.

Ook het EU-VS-privacyschild biedt niet de privacy-bescherming die de GDPR eist. Europese organisaties mogen dus geen persoonlijke gegevens meer uitwisselen met de VS. Sta je voor de keuze of je een bepaalde clouddienst wilt gebruiken? Controleer dan altijd of de data wel binnen de grenzen van de Europese Unie blijft.

Zowel Microsoft en Google hebben servers in Europa, die worden gebruikt voor de onderwijsdiensten. Er worden dus geen leerlinggegevens over de Atlantische Oceaan gestuurd.

Onrust over privacy in scholen

Dat de ongelijkwaardigheid niet zomaar iets is om overheen te stappen, bleek in de zomer van 2019. In juli van dat jaar kwam de  Autoriteit Persoonsgegevens van de Duitse deelstaat Hesse tot een conclusie waar men bij Microsoft zeker even van moest bijkomen.

De Duitse deelstaat Hesse besloot namelijk, vanwege zorgen over de privacy, Office 365 voor het onderwijs te verbieden. De Landesdatenschutzbeautragte (Autoriteit Persoonsgegevens) wees op de bijzondere verantwoordelijkheid van openbare lichamen -en scholen in het bijzonder- rondom het verwerken van persoonsgegevens.

De uitspraak in juli 2019 leidde wereldwijd tot schrik. Minder aandacht trok de tweede uitspraak, op 2 augustus van datzelfde jaar. In deze uitspraak kwamen de autoriteiten tot de conclusie dat nog niet alle problemen waren opgelost, maar dat het gebruik van Office 365 onder bepaalde voorwaarden gedoogd werd.

Privacy bij G suite for Education

G suite google

Afgelopen zomer kwam Google met een blog waarin ze benadrukten dat Google grote waarde hecht aan privacy. In de blog werd vooral benadrukt dat Google geen gepersonaliseerde advertenties plaatst en dat de data absoluut veilig is. Hoewel fijn om te weten, is dat veel te weinig informatie voor een goed oordeel.

Wat slaat Google op?

In de Privacy Notice vertelt Google welke data wordt gebruikt en waarvoor deze wordt gebruikt. Het bedrijf verzamelt:

  • Informatie over de gebruikte device
  • Inloggegevens
  • Locatiedata
  • Applicatie nummers

Ook persoonlijke data wordt opgeslagen:

  • Naam
  • Email adress
  • Evt. Tweede email adres
  • Telefoonnummer
  • Adres
  • Profielfoto
  • De informatie die door gebruikers wordt toegevoegd

Vooral dat laatste punt vergt aandacht: alle informatie die door gebruikers wordt toegevoegd, wordt door Google verwerkt. Logisch, zou je zeggen. Maar mogelijk ook in strijd met de GDPR. Als alleen gegevens mogen worden opgeslagen waarmee de belanghebbende akkoord is, voor enkel de vooraf bekende doelen, dan mag niemand data opslaan die buiten die scope valt. Een korte aantekening over een gesprekje met een leerling kan hier al makkelijk buiten vallen. En wat als de ene leerling iets toevoegt over een andere leerling? Juridisch zou dit weleens een grijs gebied kunnen zijn.

Niet voor Google, overigens, want die is in haar communicatie helder. Maar scholen staan voor een lastige keuze: ga je een heel strict beleid vormgeven over wat wel en niet mag, of ga je een toestemmingsverklaring opstellen die zó algemeen is, dat het niets meer zegt?

Waar gebruikt Google het voor?

Google is kort over het gebruik van de verzamelde data, deze wordt gebruikt voor de Core Services van G Suite for Education.

Lastiger wordt het wanneer de leerling behalve op school ook privé gebruik maakt van Google-producten, iets dat in de praktijk bijna altijd het geval zal zijn. Google belooft, hand op het hart, dat de gegevens die in de onderwijscontext verzameld worden niet worden gebruikt voor niet-onderwijsgerelateerde doeleinden. Over het gebruik van data uit privé-gebruik in de onderwijssetting wordt niet gesproken.

Met wie deelt Google de verzamelde data?

Google deelt de verzamelde gegevens met verschillende partijen. Als de gebruiker akkoord is gegaan met het delen, kan de data in beginsel met elk bedrijf worden gedeeld. Daarnaast geldt het volgende:

  • Data wordt gedeeld met de administrator die binnen de school verantwoordelijk is voor G Suite
  • Google kan data delen met partijen die –namens hen- gegevens verwerken.
  • Data wordt gedeeld wanneer dit wettelijk verplicht is
  • Data wordt gedeeld met ouders en wettelijke vertegenwoordigers van leerlingen in het basis- en secundair onderwijs. Ouders kunnen de data inzien en (via de school administrator) data laten wijzigen en verwijderen.

In hoeverre het laatste recht in de praktijk standhoudt, valt te bezien. Want door data te laten verwijderen, kan de schoolvoortgang van het kind danig worden gehinderd.

Conclusie privacy en GDPR bij G Suite for Education

De (privacy-)voorwaarden van G –Suite for Education zijn online makkelijk vindbaar en zijn in lijn met de GDPR. De regels zijn begrijpelijk verwoord en laten weinig ruimte voor interpretatie.

Meer lezen:

Privacy bij Office 365 for Education

Office 365 Microsoft

Je zou verwachten dat de uitspraak in Hessen er bij Microsoft voor heeft gezorgd dat extreem veel aandacht aan de privacy is besteedt. Vreemd genoeg blijkt het bijzonder lastig om privacy informatie over de verschillende onderwijsproducten te vinden.

Als gebruiker (of IT-beheerder) kom je al snel terecht op de pagina Privacy en veiligheid voor je school. Deze pagina staat vol oneliners en ronkende taal over het belang van privacy, compliance en het creeëren van een veilige werkomgeving voor je school.

Als je de basis-informatie wilt vinden, begint echter een speurtocht. Deze eindigt bij de Privacy Verklaring die betrekking heeft op alle online services van Microsoft, waaronder “software die studenten op school gebruiken”.

Wat slaat Microsoft op?

Doordat Microsoft alleen een heel algemene privacy verklaring heeft afgegeven, is ook de tekst bijzonder algemeen -en daardoor nietszeggend.

Het bedrijf geeft aan gegevens van diverse bronnen te krijgen, maar gebruikt wollige taal om te verbergen dat ze niet aangeven welke gegevens dit dan zijn: “Microsoft verzamelt gegevens van u, via onze interacties met u en via onze producten. U verstrekt een aantal van deze gegevens rechtstreeks, terwijl sommige gegevens worden verkregen via het verzamelen van gegevens over uw interacties, gebruik en ervaringen met onze producten. Welke gegevens we verzamelen, is afhankelijk van de context van uw interacties met Microsoft en de opties die u kiest, zoals uw privacyinstellingen en de producten en functies die u gebruikt. We krijgen ook gegevens over u van derden.”

Het bedrijf verwijst naar een sectie over gegevensverwerking die speciaal is voor bedrijven of scholen. Helaas staat ook hier weinig inhoudelijks, behalve dat Microsoft haar privacy voorwaarden prioriteit toekent over de privacyvoorwaarden van de school.

Waar gebruikt Microsoft al die data voor?

Ook het gebruik van data wordt door Microsoft in bijzonder algemene termen omschreven: het leveren van producten. Maar ook voor het verbeteren, ontwikkelen en personaliseren van producten kan de data worden gebruikt, alsmede voor reclame en marketing

Met wie deelt Microsoft de verzamelde data?

Microsoft deelt persoonsgegevens:

  • Om een transactie te voltooien
  • Om een product te leveren
  • Met toestemming

Data kan gedeeld worden met dochterondernemingen van Microsoft, leveranciers en wanneer dit nodig is om:

Welke gegevens opgeslagen worden, hoe en waarvoor deze worden verwerkt en met wie ze precies worden gedeeld blijft vaag en onduidelijk.

  • Te voldoen aan wetgeving
  • Klanten te beschermen
  • Levens te beschermen
  • Veiligheid van producten te garanderen
  • Rechten en eigendommen van Microsoft en haar klanten te beschermen

Conclusie Office 365 for Education

Ondanks de ingrijpende uitspraak van de Duitse deelstaat Hessen heeft Microsoft er voor gekozen haar communicatie rondom Privacy onduidelijk, wollig en vaag te houden. Welke gegevens opgeslagen worden, hoe en waarvoor deze worden verwerkt en met wie ze precies worden gedeeld blijft vaag en onduidelijk.

Doordat het privacybeleid van Microsoft zo algemeen en breed is opgesteld, kan het bedrijf (juridisch) nagenoeg alles met de data doen wat het wil. Het bedrijf belooft op haar pagina  een veilige toegang, een beschermd digitaal landschap en goede bescherming van gevoelige leerlinggegevens, maar maakt dit in haar voorwaarden niet waar. Ook de belofte dat je het gebruik van data compliant is aan de GDPR kan niet worden gestaafd aan een juridisch kloppend document.

Brad Smith, president en Chief Legal Officer, wordt in het vertrouwenscentrum geciteerd: “Als we mensen niet kunnen beschermen, verdienen we hun vertrouwen niet”.

Het lijkt erop dat Microsoft vooral op dat vertrouwen van gebruikers rekent. Tegelijkertijd lijkt het bedrijf weinig vertrouwen in diezelfde gebruikers te hebben. Hun voorwaarden staan Microsoft toe om bijna alles te doen wat ze willen, terwijl ze de voorwaarden van scholen – die mogelijk de privacy beter borgen- buiten werking stellen.

Waarom de Autoriteit Persoonsgegevens van Hessen dan tóch besloten heeft om Microsoft Office 365 voorlopig te gedogen? Daarop is geen bevredigend antwoord te vinden. Tenzij het, ook hier weer, gaat om de ongelijke machtsverhouding. Alleen pakt deze in dit geval minder goed uit.

Meer lezen:

GDPR en clouddiensten – het blijft lastig

Het gebruik van clouddiensten zoals Microsoft Office 365 en G Suite in het onderwijs blijft lastig. Vooral de ongelijke machtsverhouding tussen de school en de leerling (en diens vertegenwoordigers) lijkt op gespannen voet met de GDPR te leven. Vooral de casus rondom Microsoft laat die spanning duidelijk zien. Maar ook G-Suite van Google roept vragen op. Hoe vrijwillig is de verleende toesteming, wanneer het alternatief is dat je kind geen onderwijs kan volgen? In hoeverre zijn de GDPR werkbaar voor een onderwijsinstelling die gebruik wil maken van clouddiensten? En in hoeverre heeft een onderwijsinstelling voldoende vrijheidsgraden om, binnen de GDPR, gebruik te maken van clouddiensten.

Ook nu, ruim twee jaar nadat de GDPR zijn ingegaan, blijkt veel nog niet uitgekristalliseerd. Het onderwerp privacy blijft voorlopig dus nog aandacht opeisen.