Google-software voor onderwijs niet veilig genoeg, volgens ministers

Dat blijkt uit de resultaten van een zogeheten Data Privacy Impact Assessment (DPIA), dat het kabinet in de loop van vorig jaar heeft laten uitvoeren. Minister Grapperhaus (Veiligheid & Justitie) presenteerde de uitkomsten maandag aan de Tweede Kamer. Uit de beoordeling zijn ‘tien hoge dataprotectierisico’s’ bij gebruik van bepaalde Google-producten voortgekomen, schrijft Grapperhaus. Gesprekken met het bedrijf om de euvels te verhelpen hadden beperkt effect. Bij een herbeoordeling in februari bleken slechts twee risico’s te zijn verholpen.

Door de twijfels over databescherming zullen rijksambtenaren voorlopig geen gebruik maken van Google Workspace, wat oorspronkelijk in de planning lag. Daar vallen onderdelen als Gmail, Google Drive en Hangouts onder. De Autoriteit Persoonsgegevens moet zich over de zaak buigen, voordat producten van het bedrijf kunnen worden geïmplementeerd bij overheidsbedrijven, schrijft Grapperhaus.

Behalve in het onderwijs, want daar heeft Google de laatste jaren flink aan de weg getimmerd. Privacyorganisaties hebben vaak op het gevaar daarvan gewezen. Nu schrijven ook Ministers Slob (Basis- en Voortgezet Onderwijs) en Van Engelshoven (Onderwijs) aan de Kamer dat er ‘privacyrisico’s’ zijn bij het gebruik van Google Workspace en Google Workspace for Education. Onder meer de omgang met metadata baart zorgen, waarmee het techbedrijf kan zien wat gebruikers aanklikken, hoe lang ze ingelogd blijven en welke zoekopdrachten worden gebruikt.

‘Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt’, schrijven de onderwijsministers. Scholen hebben volgens hen ‘geen of onvoldoende grip’ hierop.

De privacyrisico’s van Google werden onderzocht na een motie van SP en D66. Mede-indiener Peter Kwint schrijft op Twitter dat de uitkomst van de beoordeling ‘precies is waarom ik aan de bel getrokken heb bij het kabinet’. Eerder liet het kabinet al vergelijkbaar onderzoek doen naar Microsoft. Dat bleek data naar wens te beschermen, ‘mits de gebruiker een aantal maatregelen neemt’.

‘We hebben tijdens het DPIA-proces nauw samengewerkt met het Nederlandse Ministerie van Justitie en Veiligheid en we zien dit proces als kans om onze toewijding aan privacy en veiligheid aan de publieke sector te tonen’, reageert Google in een statement. Het techbedrijf schrijft ‘een aantal stappen’ ondernomen te hebben om ‘tegemoet te komen aan de zorgen’. Ook liggen sommige punten van kritiek van de overheid in de ogen van het techbedrijf genuanceerder.