<
Privacy in onderwijs - GEB - Google Workspace for Education

Alles over de GEB op Google Workspace for Education

Op deze pagina staan alle maatregelen beschreven die scholen en schoolbesturen moeten nemen als ze Google Workspace for Education willen blijven gebruiken binnen hun onderwijsinstellingen. Schoolbesturen zijn immers eindverantwoordelijke wat betreft informatiebeveiliging en privacy en moeten volgens de AVG gepaste technische en organisatorische maatregelen nemen om te waarborgen en te kunnen aantonen dat ze persoonsgegevens verwerken conform de privacywetgeving.
Op deze pagina vind je antwoorden op een aantal belangrijke vragen: wat is de laatste stand van zaken? Wat moet je als schoolbestuur zelf doen? Welke instellingen moet je globaal instellen? Hoe kun je met ouders en leerlingen communiceren? In het stappenplan staan alle noodzakelijke stappen die je moet nemen.

Aanleiding

Een schoolbestuur is verwerkingsverantwoordelijke voor een veilig gebruik van (digitale) onderwijstoepassingen; zij besluit welke toepassingen hun scholen gebruiken en onder welke voorwaarden. Vanuit de privacywetgeving (AVG) zijn schoolbesturen verplicht om een gegevensbeschermingseffectbeoordeling (GEB) te maken als de verwerking een hoog privacyrisico zal inhouden. In Nederland is in 2021 zo'n GEB uitgevoerd op Google Workspace for Education. Daaruit is gebleken dat er toch een aantal hoge rest-risico's waren bij het gebruik van Google Workspace for Education. Google beloofde toen wel om deze hoge risico's aan te pakken en technische en contractuele maatregelen door te voeren in Nederland. Google heeft deze punten aangepakt en deze zijn op 9 juni 2023 in Nederland opgeleverd. Op basis van deze afspraken met Google en verificatie door een externe privacypartner aldaar is in Nederland beslist dat Google deze hoge risico's in voldoende mate heeft aangepakt zodanig dat scholen Google Workspace for Education voorlopig verder kunnen gebruiken.

In Vlaanderen heeft de Vlaamse Toezichtcommissie (VTC) in mei 2023 een standpunt ingenomen rond het gebruik van Google Workspace for Education. De VTC is van oordeel dat er minstens gelijkaardige toegevingen en garanties bekomen moeten worden voor het Vlaamse onderwijs om Google Workspace for Education te kunnen blijven gebruiken. Verder had de VTC nog de bekommernis dat de onderwijssector de gegevensbescherming onvoldoende zelf in de hand had en teveel gerekend werd op de dienstenleveranciers. VTC gaf daarbij het advies om kennis en middelen samen te leggen om zo de schoolbesturen te helpen. Een aanreiking van alternatieven voor Google Workspace for Education is eveneens een noodzaak.

Stand van zaken

Op 19 september 2023 hebben de koepels en onderwijsverstrekkers, departement Onderwijs en Vorming, Digitaal Vlaanderen, VTC en Google samen rond de tafel gezeten in verband met de implementatie van de maatregelen die Google in Nederland nam, ook door te voeren in Vlaanderen. Google beloofde dat dezelfde maatregelen die in Nederland onderhandeld zijn ook uitgerold zullen worden naar het Vlaams onderwijs.

Op 1 februari 2024 zijn er met Google verdere afspraken gemaakt welke acties schoolbesturen nu al moeten nemen om aan dezelfde voorwaarden te voldoen als deze die in Nederland zijn afgesproken. Google bevestigde nogmaals dat Belgische scholen gelijkaardige bescherming krijgen zoals in Nederland.

Stappenplan

Onderstaand stappen moeten scholen (en schoolbesturen) uitvoeren om de kernservices van Google Workspace for Education veilig te blijven gebruiken

  1. accepteer de educatievoorwaarden van Google;
     
    Hierdoor zal Google zichzelf zien als een verwerker voor een groot deel van de service-data en als verwerkingsverantwoordelijke voor een beperkt aantal verwerkingen. Vooraleer je deze educatievoorwaarden kan accepteren moet je eerst het addendum voor cloud-gegevensverwerking accepteren. Normaliter hebben onderwijsinstellingen dit reeds gedaan. Mocht dit niet het geval zijn moet je dit addendum eerst accepteren vooraleer je de educatievoorwaarden kan accepteren.
     
  2. voer de juiste (technische) instellingen uit door gebruik te maken van deze technische handleiding;
     
    Deze technische handleiding bevat een hele reeks instellingen die de school moet maken om de privacy-risico's die het gebruik van Google Workspace for Education met zich meebrengt tot een aanvaardbaar niveau te brengen. Achteraan de gids staat een handige checklist waar je kan afvinken welke instellingen je reeds in orde bracht. Kan je bepaalde instellingen niet maken is het belangrijk dat je zelf gaat onderbouwen waarom je deze instellingen niet kan/gaat nemen en dat het niet nemen van de technische maatregel geen gevolgen heeft voor de privacyrisico's en/of wat de compenserende maatregelen zijn die de onderwijsinstelling neemt om het privacyrisico van het gebruik van Workspace for Education niet te laten toenemen.
     
  3. informeer betrokkenen (leerlingen/ouders en personeel) met deze voorbeeldtekst;
     
    Het is belangrijk om transparant te zijn naar ouders, leerlingen en personeel. Via deze voorbeeldtekst kan je hen uitleggen welke maatregelen de school neemt zodat de persoonsgegevens goed beschermd zijn. De school zou ervoor kunnen opteren om deze communicatie op te nemen als een verwijzing in de privacyverklaring.
     
  4. breng de eigen specifieke restrisico's in kaart via een lokale GEB;
     
    Op dit ogenblik wordt er een specifieke GEB opgesteld die nagaat hoe Google Workspace for Education in het Vlaamse onderwijs wordt gebruikt. Deze GEB zal de meeste voorkomende risico's in kaart brengen. Deze handeling zal pas mogelijk zijn nadat deze globale GEB is uitgevoerd voor het Vlaamse onderwijs. Later zal u hierover meer vernemen.
     
  5. neem kennis van de aanvullende uitleg over transparantie van gegevensverwerkingen door Google Workspace;
     
    Deze pagina is speciaal gemaakt om extra uitleg te geven over de nieuwe contractvoorwaarden, hoe onderwijsinstellingen het recht op inzage kunnen inwilligen of hoe gebruikers zelf hun gegevens bij Google kunnen raadplegen.
     
  6. neem de door Google Workspace aanbevolen beveiligingsinstellingen over zoals beschreven in deze handleiding met aanbevelingen.
     
    Naast de technische maatregelen uit stap 2 die specifiek voor Google Workspace for Education gelden, kan je nog een aantal algemenere maatregelen en beveiligingsinstellingen maken. Dit zijn maatregelen hoe je bijvoorbeeld Gmail nog beter kan beveiligen, hoe je het wachtwoordbeleid kan aanpassen en 2FA kan afdwingen.
     

Vervolgstappen

De koepels en vertegenwoordigers van de onderwijsverstrekkers zullen de scholen en schoolbesturen informeren met deze voorbeeldbrief.

Vanuit de Expertenwerkgroep zal er een aparte globale GEB uitgevoerd worden zodanig dat er voor het Vlaamse onderwijs een GEB is waarbij schoolbesturen gebruik van kunnen maken. Schoolbesturen kunnen aangeven welke verwerkingen ze dan doen met Google Workspace for Education.
De Expertenwerkgroep zal ook een exitplan voorbereiden mocht de Vlaamse toezichtcommissie van oordeel zijn dat deze maatregelen en de belofte van Google niet voldoet. 

Bovenvermeld afsprakenkader zal verder voorgelegd worden aan de Vlaamse Toezichtcommissie met de vraag hun advies van mei 2023 te herzien.