Onderzoek legt privacyrisico’s bij Google-diensten in het onderwijs bloot

Het gebruik van Google Workspace in het onderwijs brengt vermijdbare privacyrisico’s voor leerlingen en studenten met zich mee. Dat meldde Nu.nl onlangs, op basis van onderzoek van de Hogeschool van Amsterdam (HvA) en Rijksuniversiteit Groningen (RUG) en een bijbehorende Kamerbrief hierover. De kern is dat wanneer je deze dienst afneemt, Google zelfstandig beslist wat zij met metadata doet – en daarmee dus geen volwaardige verwerker is. Ook zit je natuurlijk met het punt van Amerikaanse verwerking. Wat betekent dit nu voor de praktijk?

In de Kamerbrief staat de kern van de materie als volgt omschreven:
Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen.
De term metadata verwijst naar data over de echte data, in dit geval data over studiegedrag en gebruiksgedrag van de dienst. Dat is vaak waardevoller dan die echte data. Het zal Google een zorg zijn wat er op de slides staat, maar weten dat studenten gemiddeld tussen 20.53 en 02.20 inloggen om studiemateriaal te consumeren, dát is waardevol. En dan kan ze nog zo mooi zeggen dat “we nooit klantgegevens of servicegegevens (zoals gebruikersactiviteit) gebruiken voor advertentie-targeting”, die gegevens gaan ergens het zwarte gat in dat je Googleprofiel heet. En dat mag niet.

Het probleem is natuurlijk dat dat niet hoort; als je een verwerker bent dan ga je geen eigen dingen met data doen, ook niet met afgeleide data of metadata die je krijgt bij zo’n dienst. Maar het is ook weer heel logisch dat Google dat doet.

De vraag is nu bij de AP neergelegd hoe verder. Normaal zou je na het constateren van zo’n hoog risico in je DPIA een voorafgaand advies vragen (en wachten tot dat er is) maar dat kan niet omdat het onderwijs al op grote schaal draait op Google. De pragmatische oplossing is dus doorgaan tot er duidelijkheid is.

Nadeel hiervan is wel dat er een reële kans is dat de AP zegt dat dit niet kan, en dat onderwijsinstellingen weg moeten bij deze dienstverlener. Alsof de ICT’ers hier nog niet genoeg aan hun hoofd hebben, meelezende onderwijs-ICT-mensen u heeft mijn sympathie.

Arnoud

20 reacties

  1. We hebben ons als samenleving vrij afhankelijk gemaakt van de Big Tech, waaronder Google’s online diensten. Hier blijkt dat ook vrij essentiele infrastructuren veel hebben draaien daarop. We denken in Nederland niet goed na over wat de nadelen zijn van deze afhankelijkheid, tot grenst tot op chantabel zijn. Wat als het AP zegt ‘mag niet’, en Google een Facebookje (Australië) flikt, en alle diensten in Nederland gewoon uitzet? Zijn we daar wel op voorbereid?

    1. Het gaat hier niet over de zoekmachine, de ad-fabriek of ‘zelfs’ Youtube. Er zijn prima alternatieven voor Google workspace (zoals MS365 of zelf een omgeving opzetten en beheren). Kost alleen wel meer geld – en een boel werk om te migreren.

      Zolang Europa gezamenlijk optreedt ben ik eerlijk gezegd niet zo bang voor “een Australie-tje”. Daar is onze markt te groot voor, communiceert te veel met mensen buiten Europa (i.t.t. bijv. China). Dan kan er bij een harde boycot door de leverancier ’te makkelijk’ een concurrent ontstaan die dan ook in de andere gebieden gebruikt gaat worden.

  2. Het was ook wel heel erg struisvogelpolitiek van de onderwijsinstellingen om van te voren net te doen alsof in zee gaan met Google geen problemen op het vlak van privacy betekent. En misschien ook wel naïef dat ze denken als ‘grote’ klant van Google hier enige inspraak over te hebben, of een gelijkwaardig partner van Google te zijn ofzo.

    Niemand in de IT wereld is hierover verbaast, maar ja, wanneer wordt er door mensen die het beleid maken ooit geluisterd of zelfs maar gevraagd naar de mening van mensen die verstand van IT hebben?

    Zie ook het stukje van Arjen Lubach over het gebrek aan IT kennis in de politiek, ik denk dat je dezelfde klacht kunt neerleggen bij de bestuurders en mensen verantwoordelijk voor het beleid in het onderwijs.

    1. In veel van dit soort gevallen geldt natuurlijk ook gewoon dat er lang niet altijd een geschikt alternatief is – of het alternatief is eveneens een Amerikaanse dienst waar min of meer dezelfde risico’s aan kleven.

      Dan komt de keus uiteindelijk neer op “Gaan we voor de optie die eenvoudig is, goed werkt, goedkoop is, waar iedereen mee bekend is en door iedereen wordt gebruikt (maar waar privacy mogelijk een dingetje zou kunnen zijn).” of “Gaan we op zoek naar een alternatief dat de privacy op orde zegt te hebben (wat we dan weer helemaal moeten gaan uitzoeken, want wie weet of het waar is), waar verder niemand mee bekend is, en eigenlijk maar een beetje de helft doet van wat we zouden willen.” Ik kan me goed voorstellen dat die keuze dan toch echt op de eerste valt.

      In hoeverre mag een verwerker eigenlijk metadata verwerken als dit geen persoonlijke data meer is?

    2. Niemand in de IT wereld is hierover verbaast, maar ja, wanneer wordt er door mensen die het beleid maken ooit geluisterd of zelfs maar gevraagd naar de mening van mensen die verstand van IT hebben?

      Op scholen, in elk geval in het primair onderwijs, is de vraag veelal nog sterker: zijn er überhaupt wel mensen die verstand van IT hebben? De lokale ICT-coördinator, of hoe ze het ook noemen, is doorgaans een kleuterjuf, een meester van de bovenbouw of de (adjunct)directeur die het naast z’n werk doet. Goedbedoeld, ongetwijfeld, en misschien prima als intern aanspreekpunt om verzoekjes m.b.t. vergeten wachtwoorden integraal naar een leverancier door te sturen, maar je kunt van een leek (terecht) niet veel meer verwachten op IT- of privacy-gebied. Mogelijk dat een overkoepelende stichting soms een rol speelt, hopelijk op IT- én op privacygebied, maar dan ogenschijnlijk wel van een bedenkelijk niveau. En dat is zorgelijk.

      Ik deel de sympathie van Arnoud wel, maar ik maak me wel zorgen. Hoe kan het dat scholen massaal Google-diensten gebruiken…?

      1. In het onderwijs maken we heus wel een bewuste afweging… Heeft niks te maken met wel / geen verstand van zaken hebben, want er zijn genoeg partijen die dat wel hebben en daarin kunnen adviseren. Maar lesgeven is voor een groot deel een kwestie van routine. En doorgaan op de lijn die je inzet. Ook als die niet perfect is. Pas als de gewone dingen vanzelf gaan, heb je tijd over om ook de leerlingen die anders zijn, goed te bedienen. Kortom we gaan niet elke paar jaar overstappen op een nieuw systeem, want dat gaat ten koste van de kwaliteit van het onderwijs. En daar beschadigen we dan indirect kwetsbare kinderen mee. Veel meer en veel directer dan met die data die Google verzamelt. Die data staat toch al op een server. En bij Google waarschijnlijk veiliger dan bij de lokale IT dienstverlener.

        Als jij zou moeten kiezen: Google die meta data verzamelt of dat het leerkrachten niet opvalt dat een leerling bv niet goed leert lezen of rekenen, omdat ze moeten wennen aan een nieuwe manier van werken?

        Dus ja, veel onderwijsbestuurders hebben zoiets van compliant of niet, jammer dan! Moeten ze maar niet zomaar die wet veranderen… We kunnen niet elke paar jaar switchen en eenmaal gekozen is gekozen. Is misschien vreemd in deze tijd, maar in het onderwijs maken we nog keuzes en houden we ons daar dan een tijdje aan. Alhoewel dat helaas wel steeds minder wordt, maar zo zouden meer scholen moeten blijven vind ik. Want ook al valt iets tegen, dan kan je daarmee leren omgaan. We zijn in het onderwijs inmiddels ook wel gewend, dat we ons niet aan alle wetten kunnen houden en dat we daar meestal mee wegkomen. Begrijp me niet verkeerd, wat we kunnen doen we. Als het om foto’s gaat is er een hoop veranderd, maar dat beïnvloedt het onderwijs minder. Als het om lesmateriaal gaat: daar moeten we een jaar of 8 mee kunnen doen. Samen met de beslis termijn van 2 jaar heb je dan ongeveer een periode van 10 jaar waarin, als in de tussentijd de wet verandert, uiterlijk over 10 jaar alle scholen ook aan die wet voldoen. Is met nieuwe eisen aan bv het rekenonderwijs niet anders. Scholen krijgen 10 jaar de tijd.

        1. Dus de wetgeving wordt bewust overtreden, want “ze” durven ons toch niets maken. WIJ van het onderwijs zijn superieur.

          Je stelling is in ieder geval duidelijk.

          PS. De betrokken wetgeving is fundamenteel niet aangepast sinds midden jaren ’90, een kleine 30 jaar geleden.

        2. In het onderwijs maken we heus wel een bewuste afweging…

          Een bewuste om de AVG (en voorheen de Wbp) te overtreden? Kan natuurlijk.

          Heeft niks te maken met wel / geen verstand van zaken hebben, want er zijn genoeg partijen die dat wel hebben en daarin kunnen adviseren.

          Ja, die partijen zijn er. Maar worden die ook geraadpleegd? En worden de uitkomsten van zo’n traject dan ook opgevolgd, of aan de kant geschoven omdat de uitkomst niet zo goed past binnen het tienjarenplan?

          Dus ja, veel onderwijsbestuurders hebben zoiets van compliant of niet, jammer dan! Moeten ze maar niet zomaar die wet veranderen… We kunnen niet elke paar jaar switchen en eenmaal gekozen is gekozen. Is misschien vreemd in deze tijd, maar in het onderwijs maken we nog keuzes en houden we ons daar dan een tijdje aan.

          Not sure if serious. De AVG is niet fundamenteel anders dan de Wbp. En de verandering is niet ‘zomaar’ doorgevoerd. Van scholen wordt net zo goed verwacht de wet na te leven als bedrijven. En geloof me, daar komt het ook niet altijd uit om veranderingen door te voeren.

  3. Helaas ontstaan dit soort situaties door management gestuurde beslissingen. Er moet samengewerkt worden en gedeeld, maar hat mag niets (of heel weinig) kosten. Dus als ik als school apparatuur uitdeel, pak ik Chrome Books. Die zijn goedkoop en ik kan meteen die leuke dienst van Google gebruiken, die mij als school niet veel kost.

    Helaas hebben de beslissers weinig inzicht en is op veel scholen IT een ondergeschoven kindje, soms bij goedbedoelende leerkrachten.

  4. Ik heb geen sympathie voor de beslissers.

    Dit moet vooraf nagekeken worden en met Google was dat wel te voorspellen.

    De enigste oplossing is om te verplichten direct te stoppen, dan leren ze er tenminste iets van. Ze moesten het maar vooraf nagekeken hebben.

  5. Het is hier net zoals bij de banken zou moeten zijn: too big to fail is too big to exist. Alle tech-giganten in stukjes hakken, zoals dat ruim een eeuw geleden is gedaan met Standard Oil (in 34 stukken) en nu bijna 40 jaar geleden met Bell, die in 1984 in 9 stukken ging (de “Baby-Bells”). Zelfde moeten we nu doen met Amazon, Facebook, en Google, en mogelijk ook met Apple en Microsoft. Wel zou dan elke “Baby-Tech” de complete auteursrechten- en octrooiportfolio mee moeten krijgen (constructie waarbij elke partij al die dingen kan gebruiken en in licentie kan geven: kunnen ze ook daarmee lekker concurreren: het leuke van dit soort rechten: die hoef je niet op te splitsen, die kun je gewoon allemaal hebben).

    1. Zo eenvoudig is dat niet. Olie/benzine: simpel: maakt niet uit welk merk ik tank. Telefoonnetten: maakt niet uit wie de dienst levert, we kunnen bellen. Maar voor social media is de essentie van de dienst juist het bij elkaar brengen van zoveel mogelijk mensen op 1 platform, dat gaat verloren als je de boel in sub-platformpjes gaat opdelen. Vergelijk het met het opdelen van telefoonnetten onder diverse concurrenten die allemaal een eigen nummersysteem gaan hanteren en waar je niet meer kunt bellen naar een klant van een concurrent. Gaat dus niet gebeuren. Microsoft idem dito. Vijf verschillende Windows smaken die mogelijk niet eens meer compatibel zijn omdat ze allemaal zelf op een ander pad doorontwikkelen? Ik zie een hele diep ravijn in de wereldeconomie verschijnen…

      Je zal je moeten afvragen of het product waar het bedrijf voor staat splitsbaar is, meestal niet dus.

      1. Dat is waar, zeker. Ik zie wel een paar mogelijkheden alhoewel die ook niet zo ver kunnen gaan als Jeroen voorstelde. Als voorbeeld Microsoft: Je hoeft niet vijf verschillende smaken Windows te krijgen, maar je kan wel Microsoft opsplitsen in de “Windows”, “Office”, “Gaming”, “Azure” e.d. stukken. Dit gaat natuurlijk op mits elk onderdeel zichzelf kan bedruipen; bij Google bijvoorbeeld kan je niet “Search” opsplitsen van “Ads” omdat alleen “Ads” geld verdiend. Overigens is Google natuurlijk al opgesplitst in verschillende bedrijven onder Alphabet, maar het blijft een concern.

        De argumenten van tegenstanders zijn ook waar, weer als voorbeeld Microsoft: die X-Box is niet uit het niets ontstaan, die heeft gebruik gemaakt van de technische know-how en menskracht van Microsoft en divisie heeft jarenlang alleen maar verlieslijdend gedraaid tijdens de ontwikkeling van het apparaat. Het ontbreken van meer aanbieders is vaak ook een teken dat het niet eenvoudig is voor een echte nieuwkomer om die markt te betreden; er is een grote partij nodig met diepe zakken om e.e.a te bekostigen, en is het dan niet meer dan eerlijk dat die partij ook synergie kan behalen en de winst mag maken als het goed gaat? Het gaat immers ook vaak genoeg mis, neem die lelijke poep-bruine mp3-speler die ze ooit hadden.

        Misschien is een betere oplossing te vinden in het op een of andere manier verplichten tot het gebruik maken van open protocollen of het vrijgeven van de specificaties ervan als er om technische redenen een nieuw protocol nodig is. Dit gecombineerd met een verbod op het hebben van patenten (of beter gezegd: elke maatregel bedoeld om het gebruik van dat protocol door anderen te dwarsbomen) of het afschermen van API’s. In deze korte samenvatting vallen een hoop spelden te steken, maar waar het op neerkomt is om interoperabiliteit af te dwingen zodanig dat je altijd met je data naar een andere partij kan, dat documenten delen ook werkt als de een op platform X zit en de ander op platform Y.

  6. Het is wel interessant om te kijken hoe het zover is gekomen, want de privacyzorgen rondom Google zijn niet nieuw. De eerste universiteit die volledig overging op Google Cloud was Tilburg University. Over een periode van vijf jaar zou 175.000 euro worden bespaard. Privacyzorgen waren er niet zoveel:

    “Belangrijke onderdelen van dit contract zijn dat er géén reclame is en dat Google ook geen gebruikersdata oogst en doorverkoopt. Ook is het Europese recht van toepassing.” Studenten die hun mailbox niet in de cloud willen, kunnen er voor kiezen om een opt-out verzoek in te dienen.
    Uiteindelijk kozen 11 studenten voor een opt-out (ongeveer 1 op de 1000).

    De Universiteit van Tilburg stelde dat het Cbp geen privacyproblemen zag bij een overstap naar de cloud en wees daarbij op de Zienswijze inzake de toepassing van de Wet bescherming persoonsgegevens bij een overeenkomst met betrekking tot cloud computing diensten van een Amerikaanseleverancier van het Cbp van 10 september 2012. In de zienswijze lees ik toch wat anders, namelijk dat de Safe Harbor-bepalingen op zichzelf ontoereikend zijn, dat de verantwoordelijke zelf moet controleren dat de privacy is gewaarborgd, en daar bovenop aanvullende contractuele afspraken moet maken. Daarbij is het Cbp er vanuit gegaan dat de verantwoordelijke in Nederland is gevestigd, maar merkt zij op dat er vaak sprake is van meerdere verantwoordelijken. Dat laatste is nu een probleem geworden met betrekking tot de metadata.

    Ik kan het verzamelen van de metadata niet rijmen met het citaat hierboven waarin werd gesteld dat Google geen gebruikersdata zou oogsten. Ik ben heel benieuwd hoe dit mogelijk is, maar de mantelovereenkomst tussen Google en Surf is geheim. In 2014 beweerde de directeur Benelux van Google Enterprise nog dat Google geen verdienmodel had voor de diensten voor het onderwijs, maar tegelijkertijd werd toen duidelijk dat Google toch data verzamelt:

    Aangezien studenten en onderzoekers geen reclame ontvangen in hun mailbox zou het scannen niet nodig zijn, maar Google doet dit toch om de advertenties buiten de universitaire omgeving aan te passen.

  7. Als systeembeheerder in het onderwijs volg ik deze zaak en als school die gebruik maakt Google, raakt dit ons uiteraard. Al lezende krijg ik de indruk dat mensen denken dat alle scholen gewoon lukraak begonnen zijn Google for Education.

    Bij ons ligt dat in ieder geval anders, bij de keuze voor Google for Education, na een behoorlijk periode van vooronderzoek en vergelijk met de mogelijkheden van Microsoft 365, wat we al gebruikten, hebben we wel gelijk gekozen voor de Enterprise versie zodat de data in ieder geval op servers in de EU staat (dat kunnen we zelf instellen). Daarnaast worden de Chromebooks van de leerlingen door ons beheerd d.m.v. een account dat ze van ons verkrijgen. (Ze kunnen evenwel een privéaccount ernaast instellen omdat het Chromebook eigendom is van de leerling/ouders). Dat schoolaccount moeten ze ook, verplicht, gebruiken onder schooltijd, voor bv huiswerk inleveren en via een beheerde portal, kunnen ze via kant en klare linkjes, inloggen bij de uitgeverijen voor het digitale lesmateriaal. We hebben ruime ervaring met het MS 365 platform waar we ook voor hadden kunnen kiezen. De keuze viel echter op Google omdat we er qua onderwijs veel meer mee konden, ook in kwalitatief opzicht. De verwerkingsovereenkomsten die we met hebben met Google en het feit dat de servers in de EU staan, leek ons destijds, 3 jaar geleden, voldoende waarborg, zeker ook omdat de leerlingen niet met een privéaccount aan het werk waren maar met een account verstrekt door de school, dat dit nu met een DPIA, uitgevoerd door experts, toch anders blijkt is uiteraard een behoorlijke tegenvaller, waarvan we hopen dat Google overstag gaat om zich alsnog te conformeren aan de AVG/GDPR.

    Wat mij eigenlijk toch wel verbaast, kijkend naar de wereld om mij heen, daar zie ik eigenlijk nog maar nauwelijks mensen, jong en oud, zonder smartphone, tablet, chromebook, laptop, etc. is dat het daar blijkbaar veel minder belangrijk is dat de AVG/GDPR gerespecteerd wordt. Zeker op smartphone gebied is Google met Android denk ik toch wel marktleider, op het moment dat je een smartphone, tablet of chromebook met daarop Chrome of Android opstart en inricht, is het eerste wat je doet, akkoord gaan met de voorwaarden van Google en een Google account aanmaakt of ermee inlogt (als je er al één hebt, voordat je het apparaat kan inrichten en gebruiken. Wat maakt nou dat de (meta)data van een Google For Eduation-account, dat gelinkt is aan een schoolaccount (niet helemaal anoniem maar het scheelt niet heel veel), toch met zoveel meer argusogen bekeken en bewaakt wordt dan dezelfde metadata van diezelfde leerlingen die tegelijkertijd met hun eigen smartphone en metadata van hun privéaccount al lang en breed te koop lopen? Metadata die ook daadwerkelijk aan hun privéleven te koppelen valt en te herleiden is.

    Begrijp me niet verkeerd, ik hecht grote waarde aan de AVG (GDPR) maar vraag me daadwerkelijk af of we niet doorschieten in de toepassing ervan, zeker als dit zou resulteren in het moeten stoppen met het gebruik een prachtig en zeer krachtig onderwijsplatform waar we heel goede resultaten mee behalen en dat voor ons personeel en leerlingen een verademing bleek in bedieningsgemak etc. in vergelijk met andere platformen die wij gebruikten of getest hebben. Een platform dat zich tijdens de lockdownperiode enorm bewezen heeft in het thuiswerken en thuislesgeven via internet en in stabiliteit en snelheid echt veel beter scoorde dan bijvoorbeeld de evenknie van Microsoft.

    Als het oordeel namelijk is dat die Metadata ook onderhevig zou moeten zijn aan de AVG (GDPR) en laten we eerlijk zijn, dat zou eigenlijk wel moeten. Waarom geldt dat dan ook niet voor het account dat je gebruikt om je smartphone in gebruik te nemen of je chromebook, want dat is eigenlijk ook een deal met de spreekwoordelijke duivel 😉 de techreus… je koopt een dure smartphone maar om die te kunnen gebruiken leg je wel je metadata in de handen van die techreus waarbij je sommige zaken nog enigszins kan beschermen en uitzetten maar lang niet alles.

    Daarnaast rijst bij mij ook de vraag, wat heeft het voor gevolgen als ik kijk naar het onderwijs in de omliggende EU-landen? Google for Education is echt een heel groot en wijdverbreid, populair platform.

    1. Wat maakt nou dat de (meta)data van een Google For Eduation-account, dat gelinkt is aan een schoolaccount (niet helemaal anoniem maar het scheelt niet heel veel), toch met zoveel meer argusogen bekeken en bewaakt wordt dan dezelfde metadata van diezelfde leerlingen die tegelijkertijd met hun eigen smartphone en metadata van hun privéaccount al lang en breed te koop lopen?
      Het verschil is dat het ene een ‘vrije’ keuze is (je hoeft immers geen account aan te maken op een Android Telefoon) en het andere wordt opgedrongen zonder dat je kunt weigeren.

      1. Opgedwongen in welke zin? We voorzien vanuit de school in een educatie account, gerelateerd aan ons eigen educatiedomein. Het is niet zo dat we de leerling dwingen om een privé Google account aan te maken en dat vervolgens voor school te gebruiken. In tegendeel de leerlingen mogen van ons, het eventuele, privé Google account niet gebruiken onder schooltijd of voor schoolse zaken.

        Je hebt wel gelijk als je zegt dat je geen Google account hoeft aan te maken om een Android telefoon te gebruiken maar probeer vervolgens maar eens om apps uit de store te installeren of te gebruiken. Overigens is dat Apple niet anders en voorheen bij de Windows Telefoons ook zo. De dagen van de Nokia telefoons zijn soms pijnlijk ver weg 😉

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.