Google weigert verder tegemoet te komen aan de privacy-eisen die de Nederlandse overheid aan haar kantoorapplicaties stelt. De techgigant wil slechts een beperkt aantal concessies doen. Het kabinet laat het nu aan de Autoriteit Persoonsgegevens (AP) over wat er verder moet gebeuren.
De kantoorapplicaties van G Suite Enterprise en de onderwijsvariant G Suite for Education zijn niet geschikt bevonden voor respectievelijk de Rijksoverheid en scholen. De privacy vormt een te hoog risico. Dit betekent dat overheidsinstellingen hun plannen moeten laten varen om gebruik te maken van de Google Cloud.
Nog ernstiger zijn de gevolgen voor het onderwijs waar het gebruik van Google-software wijdverspreid is. Sinds veel scholieren vanuit huis lessen zijn gaan volgen, zijn de Google-apps nog populairder geworden.
Dit blijkt uit brieven die minister Van Engelshoven (Onderwijs), minister Slob (Onderwijs) en minister Grapperhaus (Justitie) aan de Tweede Kamer hebben gestuurd. Ze geven uitvoering aan een motie van de Kamerleden Kwint (SP) en Van Meenen (D66). In tegenstelling tot Google bleek Microsoft wel bereid forse concessies te doen. Het kabinet ziet geen bezwaren meer tegen het gebruik van Microsoft-producten, mits de gebruiker een aantal maatregelen neemt.
Gebrek
Google is andere koek. Het Strategisch Leveranciersmanagement Rijk (SLM Rijk) zag aanvankelijk tien hoge dataprotectie-risico’s bij de enterprise-versie van Google G Suite. Na een aantal juridische en technische concessies van Google bleek medio februari dat nog acht hoge risico’s resteren.
Het gaat om een gebrek aan doelbinding, aan transparantie, aan juiste grondslag, ontbrekende mogelijkheden voor privacy-vriendelijke instellingen, gebrek aan controle over sub-verwerkers en gebrek aan het recht op inzage voor betrokkenen. In de bijlage bij de brief van Grapperhaus zijn de risico’s in detail beschreven. Voorbeelden van enterprise-diensten die aan deze euvels lijden, zijn Gmail, Calender, Hangouts, Sheets, Slides, Cloudsearch en Drive.
Bij de onderwijsversie G Suite for Education zit het probleem vooral in de omgang met metadata, namelijk hoe een gebruiker bepaalde programma’s gebruikt, zoals wanneer er wordt ingelogd, op welk type apparaat, met welke instellingen en welke programma’s. Google ziet zichzelf als enige verwerkingsverantwoordelijke voor metadata. Dit betekent dat het mag bepalen voor welk doel metadata worden verzameld en hoe dat gebeurt. Ook kan Google de voorwaarden rondom metadata eenzijdig aanpassen zonder de gebruiker om toestemming te vragen. Gevolg is dat onderwijsinstellingen die G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt.
Producten als Google Classroom, Google Docs en Gmail worden daarom ongeschikt geacht. Omdat veel scholen al werken met Google, ontstaat een netelige kwestie. Sivon (primair en voortgezet onderwijs) en Surf (hoger onderwijs en mbo) vragen advies aan de AP. Daarnaast heeft het kabinet contact gelegd met de Europese Commissie. SLM Rijk blijft namens het Nederlandse onderwijs met Google in gesprek.
Reactie Google
Google stelt in een reactie met de Nederlandse regering in gesprek te willen blijven. Uit een blogpost blijkt overigens bepaald geen bereidheid nog veel water in de wijn te willen doen. Wel werkt Google aan een grotere transparantie van de G Suite, inmiddels Google Workspace geheten waaronder ook de software voor het onderwijs valt.
Tevens gebruikt Google de blogpost om een aantal zaken te verduidelijken. Het bedrijf belooft nooit klantgegevens of servicegegevens zoals gebruikersactiviteit te gebruiken voor advertentie-targeting. In de premiumversies van tools zoals Gmail, Google Meet en Google Chat aanbieden, worden geen advertenties getoond.
Daarnaast zegt Google nooit klantgegevens of servicegegevens te gebruiken voor advertentieprofielen of Google Ads-producten. Volgens Google hebben klanten controle over hun gegevens. ‘Klantgegevens zijn van de klant, niet van Google,’ stelt Samuel Bonamigo, Vice President EMEA South, Google Cloud.
Hij erkent dat er ruimte is om de transparantie te verbeteren. Daarom wordt de Google Cloud Privacy Notice specifieker gemaakt. Bijgewerkt is de Workspace Data Protection Implementation Guide. Vernieuwd is de Google Workspace for Education Data Protection Implementation Guide.
Microsoft werkt/doet precies hetzelfde – zowel voor Windows als voor MS365. Wat gaat hier dan mee gebeuren?
Eén ding is duidelijk, het is een grondige Data Privacy Impact Assessment waaruit enkele harde conclusies komen. Want de mooie woorden van Google op papier zijn niet genoeg omdat het grootste probleem in de telemetrie-gegevens (diagnostische data) lijkt te zitten. Het is trouwens niet alleen Microsoft die spioneert via de spellingcontrole: “… de verwerking van klantgegevens via de verbeterde spellingscontrole in Chrome leidt nog steeds tot een hoog risico…”