Uitleg transparantie gegevensverwerkingen Google Workspace for Education

Het is volgens de Algemene Verordening Gegevensbescherming belangrijk dat gebruikers van Google Workspace for Education, weten welke informatie Google verzamelt en gebruikt. Betrokkenen zoals leerlingen, hun ouders en medewerkers van onderwijsinstellingen hebben het recht om inzage te vragen in die informatie.

De informatie die Google verstrekt over de gegevens die zij verzamelt, bewaart en vernietigt, is niet altijd even duidelijk. Het gaat hierbij niet alleen om de gegevens die gebruikers zelf invoeren (bijvoorbeeld e-mail of bestanden in Google Docs), maar ook diagnostische informatie. Om scholen hier inzicht in te geven, heeft Expertenwerkgroep gegevensbescerming in onderwijs  op deze pagina die informatie inzichtelijk bij elkaar gezet. Op deze pagina vind je meer informatie over:  

Privacyvoorwaarden gebruikers:
Aanvullende voorwaarden van Google Cloud

Scholen en schoolbesturen ondertekenen en accepteren de nieuwe contractvoorwaarden (Google Workspace for Education Service Data Addendum) van Google. Daardoor zal Google de 'service data' van gebruikers beperkt mogen gebruiken als verwerkingsverantwoordelijke. Voor alle andere verwerkingen is het schoolbestuur de verwerkingsverantwoordelijke.

Voor gebruikers van Google-diensten, heeft Google een privacy-toelichting gemaakt die Google Cloud Privacy Notice (GCPN) wordt genoemd. Voor ondertekenaars van Workspace for Education  Service Data Addendum heeft Google een aanvulling gemaakt op deze GCPN. Die wordt GCPN Addendum genoemd.  

Deze link kunnen scholen met al hun gebruikers (leerlingen, hun ouders en medewerkers) delen. Het Expertennetwerk heeft op zijn webpagina hiervoor een aantal voorstellen van communicatie gemaakt.

Inzage in gegevens

Google stelt verschillende tooling beschikbaar aan gebruikers en administrators om invulling te geven aan inzageverzoeken. Hieronder een overzicht van de tools die beschikbaar zijn en welke data je hiermee kunt ophalen:

Tooling voor gebruikers

Voor gebruikers is het mogelijk om:  

Gebruikers kunnen zelf data inzien met hun Google-account door de volgende stappen te volgen:  

Het type data dat beschikbaar is via Account-menu: 

Je kunt hier ook alle content/data downloaden.

Als je klikt op ‘Download your data’, word je doorverwezen naar takeout.google.com. Takeout is inmiddels een core workspace service en kun je dus gebruiken onder de education voorwaarden. 

Het type data dat beschikbaar is via Takeout: 

Gebruikers kunnen ook zelf een inzage verzoek indienen bij Google via dit online formulier. Hiermee kun je als gebruiker alle beschikbare persoonsgegevens opvragen die Google verwerkt als gegevensbeheerder met betrekking tot het Workspace for Education account, met uitzondering van de inhoudsgegevens en activiteitenlogboeken die de gebruiker kan downloaden via de Takeout-tooling (zoals beschreven hierboven).

 

Tooling voor beheerders

Administrators hebben verschillende tools tot hun beschikking om te voldoen aan inzageverzoeken:  

 

Diagnostic Information Tool (DIT) 

Onder het menu ‘Reporting’ staat de ‘Diagnostic Information Tool (DIT)‘. Deze tool is ontwikkeld om transparantie te geven over telemetrische gegevens.

Het type data dat beschikbaar is via de DIT: 

Met Domain Wide Take out (Data Export) kan data van de hele organisatie, groepen of individuen gedownload worden. Hoe je Data Export kunt gebruiken, lees je in de volgende paragraaf. 

Het type data dat beschikbaar is via de Data Export: 

Content and Diagnostic Data.

Aanvullend handmatig inzageverzoek door de beheerder (super-administrator)

Tot slot kan de super admin van een workspace account nog een (handmatig) inzageverzoek indienen bij Google. Bijvoorbeeld om telemetry gegevens ouder dan 24 uur op te vragen. Een inzageverzoek wordt DSAR genoemd: data subject access request.  

Als een leerling, diens ouder of medewerkers (betrokkene voor wie de school verwerkingsverantwoordelijke is) een inzageverzoek indient voor historische diagnostische informatie over hem of haar, dan kan de beheerder van de school met de hoogste autorisatie (superadministrator genoemd; superbeheerder) dit aanvragen bij Google. Het gaat om informatie die niet die beschikbaar is via andere tooling zoals de Diagnostic Information Tool. De superbeheerder volgt de volgende stappen:  

De beheerder neemt contact op met het Cloud Data Protection Team, terwijl hij/zij is aangemeld met zijn/haar super-administrator/beheerdersaccount).

Om Google in staat te stellen het verzoek efficiënt door te sturen naar de relevante teams en binnen het aangegeven tijdsbestek op het verzoek te reageren, moet de superbeheerder de volgende informatie verstrekken via het veld ‘Gedetailleerde beschrijving’ (in het hierboven beschreven formulier):

Bij het indienen van het formulier wordt een support case aangemaakt die automatisch een melding genereert in de e-mail inbox van de hoofdbeheerder. De superbeheerder moet een kopie van de DSAR van de betrokkene bijvoegen door te antwoorden op de automatische melding. De gebruiker/klant moet alle informatie die geen verband houdt met de DSAR verwijderen. Google verstrekt de gebruiker/klant vervolgens binnen een periode van maximaal 30 kalenderdagen na de melding een export van de gevraagde diagnostische informatie in een CSV-bestand. 

Gebruik van Domain Wide Take Out

Domain Wide Take Out is de exporttool. Admins kunnen die vinden in het hoofdmenu (‘Home’). 

Om Domain Wide Take Out te gebruiken, moet de admin-gebruiker eerst de Google Cloud Platform (GCP) voorwaarden accepteren. Google Cloud Platform moet ook aangezet worden onder additional services. Zet deze service alleen aan voor admin-users. Hiermee worden privacyrisico’s voldoende beperkt. 

Administrators moeten gemarkeerd zijn als ouder dan 18. Als het hele domein op K-12 ingesteld is, zal er voor admins dus een uitzondering gemaakt worden. Dit kan bijvoorbeeld door admin in een organisational unit te plaatsen en gebruikers van deze organisational unit te markeren als ouder dan 18. In de Google help center artikelen wordt de term ‘administrator groups’ gebruikt. 

Voor een take out bij meer dan 1000 gebruikers is interventie van support van Google nodig om dit mogelijk te maken. Via de admin-console krijgt de administrator hier informatie over. We adviseren om pseudonieme admin accounts aan te maken voor deze handelingen, omdat Google ook over het verzoek van de beheerder informatie verzamelt en dit valt onder GCP.

 

Auditlogging: BigQuery 

Google heeft een verbetering aangebracht met betrekking tot toegang tot (audit)logging. Beheerders kunnen auditlogs eenvoudiger opslaan en doorzoeken in een (eigen) dataruimte bij Google Cloud via de BigQuery exporttool. Google biedt geen standaardoptie om loggegevens van één betrokkene (leerling, ouder, medewerker) te exporteren via de Domain Wide Takeout-tool, alleen voor de organisatie of groepen binnen de organisatie. Wanneer systeembeheerders een inzageverzoek ontvangen van een student of medewerker, moeten ze alle audit logs exporteren en deze doorzoeken naar gegevens over één persoon. Het selecteren van de audit log gegevens met betrekking tot 1 specifiek individu is veel eenvoudiger met BigQuery. 

BigQuery is de database van Google (gehoste MySQL). Om BigQuery in te schakelen, moet de beheerder eerst de aanvullende dienst (additional service) ‘Google Cloud Platform’ inschakelen. Zet deze dienst alleen aan voor administrators.

De beheerder moet eerst akkoord gaan op de Servicevoorwaarden van het Google Cloud Platform. De afspraak met Google is dat alle gegevens die door klanten op het cloudplatform worden opgeslagen, Content Data zijn voor Google en vallen onder de contractvoorwaarden van Workspace for Education. Het Google Cloud Verwerkingsaddendum verduidelijkt dat Google deze Inhoudsgegevens als verwerker zal verwerken voor de doeleinden die zijn opgenomen in zijn eigen wereldwijde Cloud Verwerkingsaddendum.

Volg deze instructies om BigQuery te gebruiken.

Verwerking van contentdata van spell-check functie

Google verwerkt inhoudelijke gegevens bij de spellingscontrole. Google geeft suggesties voor spelling en grammatica wanneer een gebruiker een document of e-mail schrijft of bewerkt. Deze functie bestaat uit een combinatie van server- en client-side verwerking. De spelling- en grammatica-suggesties worden gegenereerd met behulp van geavanceerde algoritmes op de server van Google, en die gebruiken delen van de inhoud die gebruikers op hun apparaten schrijven. Deze informatie wordt ‘in realtime’ geanalyseerd.  

Deze spelling- en grammatica-suggesties worden aan de gebruiker gepresenteerd door een woord of zin te onderstrepen. Als een gebruiker een van de spelling- of grammaticasuggesties selecteert, presenteert de service een of meer wijzigingsvoorstellen en de optie om de suggestie te negeren. De service registreert de selectie van de gebruiker op het apparaat van de gebruiker, samen met het relevante deel van de inhoud dat werd gebruikt om de suggestie te doen. Deze gelogde gegevens worden naar de server gestuurd waar ze worden verwerkt om ervoor te zorgen dat deze functie goed werkt; het loggen welke suggesties worden geaccepteerd, afgewezen of genegeerd is essentieel voor de betrouwbaarheid, effectiviteit en werking van deze functie.  

Hierdoor kunnen gelogde gegevens (inclusief het relevante deel van de inhoud) worden weergegeven in de gegevensexport bij gebruik van de Diagnostic Information Tool. Dit kan verwarrend zijn: in diagnostische informatie is dus door gebruikers ingevoerde informatie te vinden. Het privacyrisico hiervan is beperkt. Deze logbestanden zijn tijdelijk van aard en worden maximaal 30 dagen bewaard. Ze worden verzameld, geanonimiseerd of gepseudonimiseerd, en samengevoegd om de informatie te verschaffen die nodig is om de spelling- en grammaticacontrole uit te voeren. Het document van de gebruiker zelf bewaart geen gegevens over spellingsuggesties en interacties. 

Meer informatie hierover geeft Google in deze blog.

Bewaartermijnen

In deze paragraaf geven we een overzicht van de bewaartermijnen die Google hanteert. Dit is ter verduidelijking van de informatie die Google publiceert.

Customer Data & Customer Personal Data 

Customer Data zijn gegevens die door of namens de school of zijn eindgebruikers zijn verstrekt aan Google onder het account; of gegevens die zijn ingediend, opgeslagen, verzonden of ontvangen door of namens de school of zijn eindgebruikers via Google Workspace of Cloud Identity onder het account. 

Verwijdering door school
Google stelt een school in staat om gegevens tijdens de looptijd/gebruik van de dienst te verwijderen op een manier die overeenkomt met de functionaliteit van de services. Als de school gegevens verwijdert tijdens de looptijd/gebruik van de dienst en door de school niet kunnen worden hersteld, vormt dit gebruik een opdracht aan Google om de betreffende gegevens te verwijderen uit de systemen van Google in overeenstemming met de toepasselijke wetgeving. Google zal zo snel als redelijkerwijs mogelijk is en binnen een periode van maximaal 180 dagen aan deze Instructie voldoen, tenzij Europese wetgeving opslag vereist. 

Processor Service Data  

Processor Service Data omvat Diagnostic Data (including telemetry data), Support Data, Feedback Data en data over gekozen settings/configuration. In overeenstemming met de Google Cloud Privacy Notice is de maximale periode dat Google diagnostische informatie mag bewaren waarmee een gebruiker kan worden geïdentificeerd 180 dagen (Google kan bijvoorbeeld IP-adressen en apparaat identificatoren langer dan 180 dagen bewaren wanneer dit nodig is om ongewenste, ongevraagde of gevaarlijke berichten – zoals spam, phishing en malware – te identificeren en te voorkomen dat deze de Gmail-inbox van gebruikers bereiken). In de praktijk wordt deze diagnostische informatie echter bewaard voor kortere perioden van 30 tot 63 dagen, waarna de informatie wordt geanonimiseerd of verwijderd. Deze Service Data wordt dus 30, 63 of 180 dagen (of iets daar tussen in) bewaard. Scholen moeten er daarom van uit gaan dat de retentietermijn voor alle Service Data die niet onder een uitzonderingssituatie valt de maximale termijn van 180 dagen wordt bewaard. 180 dagen is voor dit soort data geen onredelijke termijn. 

Auditlog data bewaartermijnen die Google toepast op de verschillende auditlogs waar beheerders toegang toe hebben, zijn weergegeven in de onderstaande tabel. Google legt uit dat de bewaartijd voor elk rapport of auditlog dat niet in de tabel wordt genoemd zes maanden is.

Log events name  Lag time 
Access Transparency log events  Near real time (couple of minutes) 
Admin log events  Near real time (couple of minutes) 
Assignments log events  Near real time (couple of minutes) 
Calendar log events  Tens of minutes (can also go up to a couple of hours) 
Chat log events  Near real time (couple of minutes) 
Chrome log events  Near real time (couple of minutes) 
Classroom log events  Near real time (couple of minutes) 
Cloud Search log events  Up to a few hours 
Context Aware Access log events  Near real time (couple of minutes) 
Currents log events  1–3 days 
Devices log events  Near real time (couple of minutes) 
Directory Sync log events  Near real time (couple of minutes) 
Drive log events  Near real time (couple of minutes) 
Gmail log events  Near real time (couple of minutes) 
Groups log events  Tens of minutes (can also go up to a couple of hours) 
Jamboard log events  Near real time (couple of minutes) 
Keep  Near real time (couple of minutes) 
LDAP log events  Near real time (couple of minutes) 
Looker Studio log events  Near real time (couple of minutes) 
Meet log events  Near real time (couple of minutes) 
Meet quality  Near real time (couple of minutes) 
OAuth  Up to a few hours 
Rules log events  Near real time 
SAML log events  Near real time (couple of minutes) 
Takeout log events  Event when Takeout process starts: Near real time Event when the Takeout process finishes: Depends on the size of the data, up to many days 
Tasks log events  Near real time (couple of minutes) 
Token log events  A couple of hours 
User log events  Login events: Up to a few hours 
User account events: Tens of minutes 
Voice log events  Near real time 

Leveranciers (subverwerkers) van Google

Onder de AVG is Google verplicht informatie te geven over de leveranciers die door Google worden gebruikt. Voor Nederlandse onderwijsinstellingen die Workspace for Education gebruiken, is Google verwerker geworden. De leveranciers worden daarom subverwerkers genoemd. Deze pagina met subverwerkers is specifiek voor Nederlandse onderwijsinstellingen gemaakt.  

Op de nieuwe subprocessor pagina heeft Google een limitatieve lijst opgenomen met subverwerkers plus een toelichting over Customer Data en Service Data die door deze subverwerkers verwerkt wordt. Hoewel de informatievoorziening over subverwerkers hiermee is verbeterd, valt het volgende op: 

a.) in de kolom ‘Activity’ voor subverwerkers die ‘Technical Support’ leveren verwijst Google naar de voorwaarden van die diensten. Indien de kolom ‘Activity’ bedoeld wordt als limitatieve lijst dan zijn wij het eens dat voldoende duidelijk is dat de subverwerkers niet ook nog andere activiteiten uitvoeren. Als Google doelt op de uitleg in de toelichting op de verwerking van Service Data, dan is dat op basis van de gepubliceerde tekst niet duidelijk dat / of die lijst limitatief is. Bovendien lijkt deze toelichting op de verwerking van Service Data enkel te zien op de activiteit ‘Technical Support’, en niet op de activiteiten ‘Service Maintenance’ en ‘Data Center Operations’. Wij vinden de uitleg die Google geeft over de activiteiten die verwerkers uitvoeren beperkt. Dit geldt vooral voor ‘Service Maintenance’ en ‘Data Center Operations’ en in mindere mate voor ‘Technical Support’, waar het niet duidelijk is of/dat de informatie in de toelichting op de verwerking van Service Data limitatief is. Hoewel verduidelijking van de tekst noodzakelijk is, zien wij geen reden dit op zichzelf als een hoog risico te kwalificeren 

b.) de informatie van Google bevat geen algemene omschrijving van de Service Data; Google legt uit waarom subverwerkers Service Data verwerken en geeft bij elk van die doelen een voorbeeld inclusief Service Data. Google heeft geen informatie opgenomen over logs  

Google is hiermee nog niet volledig transparant. Dat levert geen hoog privacyrisico op omdat de huidige tekst transparantie biedt over de leveranciers van Google en de gepubliceerde informatie een beeld geeft van de door subverwerkers verwerkte gegevens. Door middel van de doelomschrijving en de voorbeelden in de toelichting op de verwerking van Service Data, in combinatie met het feit dat de subverwerkers gebonden zijn aan de contractuele afspraken omtrent doelbeperking en verwerkersrol voor Service Data, classificeren we dit niet meer als een hoog risico. We blijven met Google in gesprek om de informatie over haar leveranciers te (blijven) verbeteren.