Op deze pagina staan alle maatregelen beschreven die scholen en schoolbesturen moeten nemen als ze Google Workspace for Education willen blijven gebruiken binnen hun onderwijsinstellingen. Schoolbesturen zijn immers eindverantwoordelijke wat betreft informatiebeveiliging en privacy en moeten volgens de AVG gepaste technische en organisatorische maatregelen nemen om te waarborgen en te kunnen aantonen dat ze persoonsgegevens verwerken conform de privacywetgeving.
Op deze pagina vind je antwoorden op een aantal belangrijke vragen: wat is de laatste stand van zaken? Wat moet je als schoolbestuur zelf doen? Welke instellingen moet je globaal instellen? Hoe kun je met ouders en leerlingen communiceren? In het stappenplan staan alle noodzakelijke stappen die je moet nemen.
(2024-09-20) De Vlaamse Toezichtcommissie (VTC) heeft aan de expertenwerkgroep bevestigd dat de termijn waarin Vlaamse scholen Google Workspace for Education mogen gebruiken met één jaar verlengd wordt tot 1 september 2025.
Een schoolbestuur is verwerkingsverantwoordelijke voor een veilig gebruik van (digitale) onderwijstoepassingen; zij besluit welke toepassingen hun scholen gebruiken en onder welke voorwaarden. Vanuit de privacywetgeving (AVG) zijn schoolbesturen verplicht om een gegevensbeschermingseffectbeoordeling (GEB) te maken als de verwerking een hoog privacyrisico zal inhouden. In Nederland is in 2021 zo'n GEB uitgevoerd op Google Workspace for Education. Daaruit is gebleken dat er toch een aantal hoge rest-risico's waren bij het gebruik van Google Workspace for Education. Google beloofde toen wel om deze hoge risico's aan te pakken en technische en contractuele maatregelen door te voeren in Nederland. Google heeft deze punten aangepakt en deze zijn op 9 juni 2023 in Nederland opgeleverd. Op basis van deze afspraken met Google en verificatie door een externe privacypartner aldaar is in Nederland beslist dat Google deze hoge risico's in voldoende mate heeft aangepakt zodanig dat scholen Google Workspace for Education voorlopig verder kunnen gebruiken.
In Vlaanderen heeft de Vlaamse Toezichtcommissie (VTC) in mei 2023 een standpunt ingenomen rond het gebruik van Google Workspace for Education. De VTC is van oordeel dat er minstens gelijkaardige toegevingen en garanties bekomen moeten worden voor het Vlaamse onderwijs om Google Workspace for Education te kunnen blijven gebruiken. Verder had de VTC nog de bekommernis dat de onderwijssector de gegevensbescherming onvoldoende zelf in de hand had en teveel gerekend werd op de dienstenleveranciers. VTC gaf daarbij het advies om kennis en middelen samen te leggen om zo de schoolbesturen te helpen. Een aanreiking van alternatieven voor Google Workspace for Education is eveneens een noodzaak.
Op 19 september 2023 hebben de koepels en onderwijsverstrekkers, departement Onderwijs en Vorming, Digitaal Vlaanderen, VTC en Google samen rond de tafel gezeten in verband met de implementatie van de maatregelen die Google in Nederland nam, ook door te voeren in Vlaanderen. Google beloofde dat dezelfde maatregelen die in Nederland onderhandeld zijn ook uitgerold zullen worden naar het Vlaams onderwijs.
Op 1 februari 2024 zijn er met Google verdere afspraken gemaakt welke acties schoolbesturen nu al moeten nemen om aan dezelfde voorwaarden te voldoen als deze die in Nederland zijn afgesproken. Google bevestigde nogmaals dat Belgische scholen gelijkaardige bescherming krijgen zoals in Nederland.
Onderstaand stappen moeten scholen (en schoolbesturen) uitvoeren om de kernservices van Google Workspace for Education veilig te blijven gebruiken
De koepels en vertegenwoordigers van de onderwijsverstrekkers zullen de scholen en schoolbesturen informeren met deze voorbeeldbrief.
Vanuit de Expertenwerkgroep zal er een aparte globale GEB uitgevoerd worden zodanig dat er voor het Vlaamse onderwijs een GEB is waarbij schoolbesturen gebruik van kunnen maken. Schoolbesturen kunnen aangeven welke verwerkingen ze dan doen met Google Workspace for Education.
De Expertenwerkgroep zal ook een exitplan voorbereiden mocht de Vlaamse toezichtcommissie van oordeel zijn dat deze maatregelen en de belofte van Google niet voldoet.
Bovenvermeld afsprakenkader zal verder voorgelegd worden aan de Vlaamse Toezichtcommissie met de vraag hun advies van mei 2023 te herzien.