Uitvoeren van DPIA’s in het onderwijs - Kamerbrief minister OCW

Met de toenemende digitalisering van het onderwijs is de bescherming van de privacy van de leerlingen, studenten en medewerkers een belangrijke en steeds complexere zaak die onze voortdurende aandacht vraagt. Onderwijsinstellingen zijn verantwoordelijk voor de omgang met persoonsgegevens conform de Algemene verordening gegevensbescherming (AVG) en worden geacht hier zorgvuldig invulling aan te geven. De Rijksoverheid ondersteunt waar dat nodig is, bijvoorbeeld bij de uitvoering van een Data Protection Impact Assessment (DPIA) op grote internationale technologiebedrijven. Hiermee geeft het kabinet tevens uitvoering aan de motie-Kwint-Van Meenen.(1) Met deze brief informeren we uw Kamer over de uitvoering van deze motie.

Data Protection Impact Assessments (DPIA’s) in het onderwijs

In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Onderwijsinstellingen zijn verantwoordelijk voor de keuze van veilige digitale leermiddelen en platforms, voor een zorgvuldige omgang met de persoonsgegevens van leerlingen, studenten en docenten, en de naleving van privacywetgeving, waarvan de AVG de belangrijkste is. Het gaat hierbij onder meer om het opstellen van informatiebeveiligings- en privacybeleid, de aanstelling van een functionaris voor de gegevensbescherming, de inrichting van toegangs- en beheerrechten in ict-systemen, de logging hiervan, de uitvoering van risicoanalyses (zoals DPIA’s) en het afsluiten van verwerkersovereenkomsten met leveranciers (verwerkers).

Wanneer een leverancier persoonsgegevens verwerkt die een hoog risico vormen voor de privacy van leerlingen, studenten of docenten moet er in sommige gevallen vooraf een DPIA uitgevoerd worden door de verwerkingsverantwoordelijke. Naar aanleiding van de DPIA kunnen maatregelen getroffen worden om deze privacyrisico’s te verkleinen.

De coöperaties SIVON en SURF ondersteunen scholen en onderwijsinstellingen die DPIA’s uitvoeren op partijen die op grote schaal persoonsgegevens in het onderwijs verwerken. Voor een individuele school of instelling kan dat in sommige gevallen een complexe opgave zijn. Omdat de systemen die scholen gebruiken weinig van elkaar verschillen is het efficiënt om gezamenlijk DPIA’s uit te voeren. Dit geldt met name voor de producten van de internationale technologiebedrijven als Microsoft en Google. In deze gevallen wordt nauw samengewerkt met de Rijksoverheid.

De minister van Binnenlandse Zaken en Koninkrijksrelaties bevordert vanuit de verantwoordelijkheid voor het Rijksinkoopstelsel een gecoördineerde benadering van strategische ICT-leveranciers van de rijksoverheid. De verantwoordelijkheid voor de uitvoering hiervan is, conform de governance van het Rijksinkoopstelsel, bij verschillende ministeries belegd. Het aanspreekpunt voor Microsoft en Google is belegd bij het onderdeel Strategisch Leveranciersmanagement Rijk (SLM Rijk) van het ministerie van Justitie en Veiligheid.

DPIA Microsoft

In 2019 heeft SLM Rijk een aantal DPIA’s uitgevoerd op producten van Microsoft die ook in het Nederlandse onderwijs gebruikt worden. Naar aanleiding daarvan zijn aanvullende afspraken met Microsoft gemaakt waarbij ook SURF namens het Nederlandse onderwijs betrokken was. Via SURF gelden de gemaakte afspraken ook voor Nederlandse onderwijsinstellingen die gebruik maken van Microsoft. De uiteindelijke conclusie van die DPIA's was dat voor het gebruik van Microsoft producten geen hoge risico's overblijven, mits de gebruiker een aantal maatregelen neemt. Hoe scholen dat kunnen doen is onder andere te vinden bij SURF en op de website van Kennisnet. (2)

DPIA Google G Suite

SLM Rijk heeft medio 2020 een DPIA uitgevoerd in verband met het voorgenomen gebruik van G Suite Enterprise van Google. Hierover is uw Kamer vandaag geïnformeerd middels een brief van de minister van Justitie en Veiligheid.

Parallel aan de DPIA op Google G Suite Enterprise door SLM Rijk hebben de Hogeschool van Amsterdam en de Rijksuniversiteit Groningen een DPIA laten uitvoeren op G Suite for Education, de onderwijsvariant van het product waar SLM Rijk een DPIA op heeft uitgevoerd. Omdat de kantoorapplicaties van G Suite Enterprise en G Suite for Education grotendeels overeenkomen, zijn deze twee DPIA’s in onderlinge afstemming met elkaar uitgevoerd. Hierbij heeft SLM Rijk ook namens het onderwijs de gesprekken met Google gevoerd over de contractuele voorwaarden. Namens de onderwijssector zijn SURF (namens het hoger onderwijs en mbo) en SIVON (namens het primair en voortgezet onderwijs) nauw betrokken bij deze DPIA’s. Samen zorgen zij ervoor dat de gemaakte afspraken met Google gelden voor de hele onderwijssector.

Uit deze DPIA's blijkt dat er privacyrisico's zijn bij het gebruik van Google G Suite en G Suite for Education. Een van deze risico’s betreft de omgang met metadata. Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. (3) Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen. Dat betekent dat onderwijsinstellingen die Google G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt. Omdat deze privacyrisico’s resteren heeft SLM Rijk op 15 februari jl. een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (AP) aangevraagd. Dit is een procedure die gestart wordt als er privacyrisico’s overblijven na een DPIA, en de verwerking nog niet gestart is.

Omdat veel scholen en onderwijsinstellingen al werken met de producten van Google, kan deze stap vanuit het onderwijs niet gezet worden. SIVON en SURF vragen daarom een advies aan de AP (conform art 58 lid 3 sub b AVG) over de privacyrisico’s bij het gebruik van G Suite for Education. Daarnaast heeft het kabinet contact gelegd met de Europese Commissie. De scholen en onderwijsinstellingen zullen in de komende periode via de diverse informatiekanalen die hen ter beschikking staan (websites, nieuwsbrieven) vanuit SURF, SIVON, PO-Raad en VO-raad worden geïnformeerd en ondersteund. SLM Rijk blijft ook namens het Nederlandse onderwijs de gesprekken met Google voeren. Het doel is dat G Suite for Education veilig gebruikt kan worden zonder risico’s voor de privacy van leerlingen, studenten en docenten.

(1) Kamerstukken II 2019/2020, 32034, nr. 34
(2) https://aanpakibp.kennisnet.nl/app/uploads/DPIAs-Microsoft.pdf
(3) metadata gaan over hoe een gebruiker bepaalde programma’s gebruikt, bijvoorbeeld: wanneer er wordt ingelogd, op welk type apparaat, met welke instellingen gewerkt wordt, en welke programma’s worden gebruikt.

Kamerbrief referentie: 27090302
Datum 1 maart 2021
Betreft Uitvoeren van DPIA’s in het onderwijs

Download hier de kamerbrief

Naar het overzicht