image

Ministers: privacyrisico's bij gebruik van Google G Suite

dinsdag 2 maart 2021, 09:47 door Redactie, 28 reacties
Laatst bijgewerkt: 02-03-2021, 10:43

Bij het gebruik van Google G Suite en G Suite for Education zijn er privacyrisico's waardoor organisaties die de software gebruiken geen of onvoldoende grip houden op wat er met de gegevens van gebruikers gebeurt, zo melden minister Grapperhaus van Justitie en Veiligheid, minister van Engelshoven van Onderwijs en minister Slob voor Basis- en Voortgezet Onderwijs en Media.

Strategisch Leveranciersmanagement (SLM) Rijk heeft vorig jaar de Haagse Privacy Company een Data Protection Impact Assessment (DPIA) laten uitvoeren naar het voorgenomen gebruik van G Suite Enterprise van Google. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen.

Parallel aan de DPIA op Google G Suite Enterprise door SLM Rijk hebben de Hogeschool van Amsterdam en de Rijksuniversiteit Groningen een DPIA laten uitvoeren op G Suite for Education, de onderwijsvariant van G Suite. Uit het onderzoek naar Google G Suite zijn tien hoge risico's met betrekking tot de databescherming gevonden. Naar aanleiding van deze uitkomsten hebben SLM Rijk en Google overleg gevoerd om de hoge risico’s te verhelpen.

Deze gesprekken hebben geleid tot een aantal juridische en technische toezeggingen aan de kant van Google en een aantal mogelijke organisatorische maatregelen aan de kant van de Rijksorganisaties. Op basis van deze uitkomsten is er op 12 februari jongstleden een herbeoordeling van de hoge risico’s afgerond. De uitkomst hiervan is dat er acht hoge risico’s resteren", schrijft minister Grapperhaus in een brief aan de Tweede Kamer.

De hoge risico’s betreffen een gebrek aan doelbinding, een gebrek aan transparantie, gebrek aan juiste grondslag, ontbrekende mogelijkheden voor privacyvriendelijke instellingen, gebrek aan controle over sub-verwerkers en gebrek aan het recht op inzage voor betrokkenen in het kader van de voorgenomen verwerkingen bij het gebruik van de onderzochte Google-diensten.

Ook de omgang met metadata wordt als risico genoemd. "Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt", aldus de ministers. Daarnaast staan in de privacyovereenkomsten dat Google de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen.

"Dat betekent dat onderwijsinstellingen die Google G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt", stellen Slob en Van Engelshoven. De gevonden privacyrisico's zijn nog altijd aanwezig. Daarom heeft SLM Rijk de Autoriteit Persoonsgegevens om advies gevraagd. Ook voor onderwijsinstellingen is een dergelijk advies aangevraagd.

Het kabinet is inmiddels in overleg met de Europese Commissie. Verder blijft SLM Rijk namens het Nederlandse onderwijs de gesprekken met Google voeren. "Het doel is dat G Suite for Education veilig gebruikt kan worden zonder risico’s voor de privacy van leerlingen, studenten en docenten", schrijven de ministers.

Update

In een eerste versie van dit artikel werd abusievelijk gesproken over Strategisch Leveranciersmanagement Microsoft Rijk dat moest Strategisch Leveranciersmanagement Rijk zijn. Dit is aangepast.

Image

Reacties (28)
02-03-2021, 10:09 door Anoniem
Wel raar om mensen van Microsoft naar een Google product te laten kijken.

Ja, ik ga er vanuit dat de medewerkers van Strategisch Leveranciersmanagement Microsoft (SLM) Rijk, bebonust worden door Microsoft.
02-03-2021, 10:14 door Anoniem
Dus ongeveer dezelfde risico's die je loopt bij gebruik van de GGD...
Oh nee... die bij de GGD zijn veel groter. Je weet wel, GGD. Volledig Nederlands.
02-03-2021, 10:15 door Anoniem
"Strategisch Leveranciersmanagement Microsoft (SLM) Rijk".. Waarom triggert me dat hier in combinatie met Google?

Niet dat ik zo'n fan ben van Google (ik ben van geen van deze enorm grote toko's een fan), maar de naam lijkt op belangenverstrengeling..
02-03-2021, 10:16 door Anoniem
Tsja, als ze bij Microsoft Office al privacy issues tegen komen, dan zal Google G Suite uiteraard al helemaal belabberd uit een audit komen.
02-03-2021, 10:20 door Anoniem
Joh echt, dat is al heel lang zo hoor.
Vast verkiezingstijd, de paar dagen dat de burgers weer moeten aanhoren hoe goed ze weer bezig zijn.
Tot 1 minuut na het sluiten van de stembussen welteverstaan. Dan zijn ze weer vergeetachtig zoals altijd.
02-03-2021, 10:21 door Anoniem
: privacyrisico's EN Google ????? goed dat Autoriteit Persoonsgegevens hier op toeziet oh wacht zie volgende bericht
"Dekker zal motie over budget Autoriteit Persoonsgegevens niet uitvoeren"

btw deze ministers verdienen 1000 euro per dag netto voor dingen uitzoeken die al 20 jaar bekend zijn
02-03-2021, 10:27 door walmare
Niet dat ik een fan van Google ben hoor. Is dit een poging om de concurrentie zwart te maken?
De ministers zijn blijkbaar gebrieft door Microsoft via Strategisch Leveranciersmanagement Microsoft (SLM) . Zien deze digibeten nu werkelijk niet dat het privacy risico door gebruik van Microsoft producten vele malen groter is, gezien de malware incidenten van de laatste jaren op dit platform en dan hebben we het nog niet over MS telemetrie.
02-03-2021, 10:36 door Anoniem
Je verwacht het niet he! Google als privacy issue...
Maar het gros van de telefoons draait hun OS, het gros van de mensen mailt en zoekt via hun systemen.
We werpen ze de data massaal in de schoot.
02-03-2021, 10:36 door Anoniem
Hogeschool van Amsterdam is zelf pas gehackt, dus waar bemoeien ze zich mee, als ze hun eigen toko niet veilig kunnen houden.
02-03-2021, 10:43 door Anoniem
Door Anoniem: "Strategisch Leveranciersmanagement Microsoft (SLM) Rijk".. Waarom triggert me dat hier in combinatie met Google?

Niet dat ik zo'n fan ben van Google (ik ben van geen van deze enorm grote toko's een fan), maar de naam lijkt op belangenverstrengeling..
Strategisch Leveranciersmanagement Microsoft (SLM) Rijk is een onderdeel van het rijk dat zich puur bezig houdt met het inkopen van Microsoft producten. Het is dus NIET Microsoft die Google beoordeelt, maar de ambtenaren die Micorsoft beoordelen doen dat ook voor Google.
02-03-2021, 11:47 door Anoniem
Door Anoniem: : privacyrisico's EN Google ????? goed dat Autoriteit Persoonsgegevens hier op toeziet oh wacht zie volgende bericht
"Dekker zal motie over budget Autoriteit Persoonsgegevens niet uitvoeren"

btw deze ministers verdienen 1000 euro per dag netto voor dingen uitzoeken die al 20 jaar bekend zijn

MP 171000 euro per jaar doe je sommetje eens opnieuw.
02-03-2021, 12:20 door Anoniem
"Strategisch Leveranciersmanagement (SLM) Rijk" staat er in de tekst, waar halen jullie Microsoft ineens vandaan?
02-03-2021, 12:44 door Anoniem
Door Anoniem: Wel raar om mensen van Microsoft naar een Google product te laten kijken.

Ja, ik ga er vanuit dat de medewerkers van Strategisch Leveranciersmanagement Microsoft (SLM) Rijk, bebonust worden door Microsoft.

U hebt gelijk, precies zoals het is gegaan. MS zit simpelweg met haar tentakels (te) dik in overheidsland. De betaalde diensten van Google zijn goed, degelijk en voorzien in iets dat qua beheer niet te overtreffen is.
02-03-2021, 13:20 door Anoniem
Door Anoniem: "Strategisch Leveranciersmanagement (SLM) Rijk" staat er in de tekst, waar halen jullie Microsoft ineens vandaan?

Eerder stond in het artikel Microsoft i.p.v. management.

Update
In een eerste versie van dit artikel werd abusievelijk gesproken over Strategisch Leveranciersmanagement Microsoft Rijk dat moest Strategisch Leveranciersmanagement Rijk zijn. Dit is aangepast.
02-03-2021, 13:36 door Anoniem
De praktijk is nu eenmaal tenenkrommend: Chromebooks worden gratis of tegen een habbekrats aangeboden op scholen. Als zijnde blinde digibete kippen nemen scholen dit aanbod van Google meestal met beide handen aan om vervolgens Google aan gratis -uit leerlingen afgedwongen- metadata en persoonsgegevens te helpen.
Nu heb je dus ipv lessen informatica, cursussen Google voor je kinderen. Dat terwijl m.i. onderwijsinstellinigen een verantwoordelijkheid hebben kinderen juist in de eerste levensfasen ver mogelijk weg te houden en te waarschuwen voor heimelijke data breachers als Google. Dus leerlingen leren laten voor wat Big Tech is. En kennis laten maken met échte programmeertaal (bijv. linux builds, e.d.) en focussen op ongewenste elementen als ads en trackers bij dagelijks internetgebruik ipv die laatsten te negeren of te promoten.
02-03-2021, 13:49 door Anoniem
@ Vandaag, 11:47 door Anoniem

Op jaarbasis gaat het Binnenhof zelfs vijftien weken op slot

Twee maanden vergadervrij in de zomer, drie weken met kerst, twee weken in mei en dan ook nog een week geen Tweede Kamer in de herfstvakantie én tijdens de krokusvakantie

Het salaris van de minister-president is € 170.910 inclusief vakantiegeld en eindejaarsuitkering (2020). Daarnaast heeft hij recht op een vaste onkostenvergoeding en een aantal andere tegemoetkomingen en voorzieningen. Dat is geregeld in artikel 10 van het Voorzieningenbesluit. De minister-president verdient hetzelfde salaris als een minister.

52x5 is 260 dagen - 105 dagen vakantie is 155 dagen werken voor € 170.910 inclusief vakantiegeld en eindejaarsuitkering (2020)

en dan nog niet eens de royale vaste onkostenvergoeding en een aantal andere tegemoetkomingen en voorzieningen

nu u weer
02-03-2021, 15:10 door Anoniem
Door Anoniem: De praktijk is nu eenmaal tenenkrommend: Chromebooks worden gratis of tegen een habbekrats aangeboden op scholen. Als zijnde blinde digibete kippen nemen scholen dit aanbod van Google meestal met beide handen aan om vervolgens Google aan gratis -uit leerlingen afgedwongen- metadata en persoonsgegevens te helpen.
Nu heb je dus ipv lessen informatica, cursussen Google voor je kinderen. Dat terwijl m.i. onderwijsinstellinigen een verantwoordelijkheid hebben kinderen juist in de eerste levensfasen ver mogelijk weg te houden en te waarschuwen voor heimelijke data breachers als Google. Dus leerlingen leren laten voor wat Big Tech is. En kennis laten maken met échte programmeertaal (bijv. linux builds, e.d.) en focussen op ongewenste elementen als ads en trackers bij dagelijks internetgebruik ipv die laatsten te negeren of te promoten.
Liever meta data naar Google dan ransomware op een Microsoftwerkplek. Daarnaast hebben we het dan weer over een spreadsheet ipv excel.
02-03-2021, 15:26 door walmare - Bijgewerkt: 02-03-2021, 15:33
Het is mij al vaker opgevallen dat een link naar Microsoft niet wordt gepubliceerd. In dit geval foutje bedankt.
Laat je niet voor de gek houden het is gewoon Microsoft die een dikke vinger in de pap heeft bij de overheid via allerlei instanties. Check hier de url: https://slmmicrosoftrijk.nl/ en https://www.rijksoverheid.nl/documenten/publicaties/2021/03/01/stand-van-zaken-google-01-maart---memo-slm
02-03-2021, 16:24 door _R0N_
Door Anoniem: Wel raar om mensen van Microsoft naar een Google product te laten kijken.

Ja, ik ga er vanuit dat de medewerkers van Strategisch Leveranciersmanagement Microsoft (SLM) Rijk, bebonust worden door Microsoft.

Dit is net als dat Google security issues ontdekt in Microsoft producten. De Security tak van beide bedrijven zijn gewoon security bedrijven onderdeel van een hele grote organisatie.

Niet smis mee dus.
02-03-2021, 16:48 door Anoniem
En dan zeggen ze ook nog op de TV : googel kan zien wat jij zoekt.
Dan denkt iedereen, wat een nutteloze onzin weer op het nieuws.

Met andere woorden, ze kunnen gewoon doorgaan met hun data-graaien.
Ze willen per-se iets wat ze zelf niet kunnen krijgen of maken.
Stop eens met die eindgebruiker mentaliteit.
02-03-2021, 17:43 door Anoniem
Door Anoniem: @ Vandaag, 11:47 door Anoniem

Op jaarbasis gaat het Binnenhof zelfs vijftien weken op slot

Twee maanden vergadervrij in de zomer, drie weken met kerst, twee weken in mei en dan ook nog een week geen Tweede Kamer in de herfstvakantie én tijdens de krokusvakantie

Het salaris van de minister-president is € 170.910 inclusief vakantiegeld en eindejaarsuitkering (2020). Daarnaast heeft hij recht op een vaste onkostenvergoeding en een aantal andere tegemoetkomingen en voorzieningen. Dat is geregeld in artikel 10 van het Voorzieningenbesluit. De minister-president verdient hetzelfde salaris als een minister.

52x5 is 260 dagen - 105 dagen vakantie is 155 dagen werken voor € 170.910 inclusief vakantiegeld en eindejaarsuitkering (2020)

en dan nog niet eens de royale vaste onkostenvergoeding en een aantal andere tegemoetkomingen en voorzieningen

nu u weer

het is naief om te denken dat de functie enkel en alleen maar op die 155 dagen a 8h per dag uitgevoerd wordt. een leuk boekhoudkundig sommetje, maar salariering en werkelijke werkdruk zijn al tijden niet in overeenstemming als je in NL bij de overheid werkt. menig docent / professor aan een uni kunnen je dat vertellen. de werk druk neemt elke keer toe, ook die van de min. pr., maar de ruimte, staff of salariering niet. overigens denk ik dat het 'in de markt' ook niet altijd beter gaat, als ik zo zie hoe mensen bij amazon, uber etc. etc. etc. behandeld worden.
02-03-2021, 19:09 door Anoniem
Acht hoge risico’s blijven over en dan moet nog de AP om advies gevraagd worden? Ik zou zeggen: niet doen! En misschien toch dat budget van de AP verhogen als je hem lastig gaat vallen met dit soort vragen,
02-03-2021, 19:32 door Anoniem
Wat interessant is, is dat diezelfde heer Grapperhaus steeds tegen end-to-end encryptie is geweest. Tja, als je wil dat iemand de gegevens in kan zien, betekent dat vrijwel automatisch technisch dat andere partijen het ook kan. En nu jammeren dat Google de gegevens in kan zien? Wees nu eens consequent. Make up your mind!
02-03-2021, 20:27 door Anoniem
Door Anoniem:Liever meta data naar Google dan ransomware op een Microsoftwerkplek. Daarnaast hebben we het dan weer over een spreadsheet ipv excel.
De conclusie moet zijn dat je beide niet wilt.

Overigens mist in deze discussie nog het gevolg van de Schrems II uitspraak. Dat speelt ook bij Microsoft, maar is in de DPIA destijds niet meegenomen (die werd namelijk uitgevoerd voor de uitspraak). Bij Microsoft zullen er vandaag de dag dus ook hoge privacyrisico's zijn op het overtreden van de privacy- en persoonsgegevensbeschermingwetgeving.

Het risico op een boete daarentegen, is weer niet zo hoog. Maar dat is te danken aan een eiland waar men het niet zo nauw neemt met de wetgeving (lees: Ierland).
02-03-2021, 20:39 door Anoniem
Door _R0N_:
Door Anoniem: Wel raar om mensen van Microsoft naar een Google product te laten kijken.

Ja, ik ga er vanuit dat de medewerkers van Strategisch Leveranciersmanagement Microsoft (SLM) Rijk, bebonust worden door Microsoft.

Dit is net als dat Google security issues ontdekt in Microsoft producten. De Security tak van beide bedrijven zijn gewoon security bedrijven onderdeel van een hele grote organisatie.

Niet smis mee dus.
Heel veel mis met jouw vergelijking. Google security tak is geen onderdeel van SLM. Die communiceren niet via de overheid.
03-03-2021, 13:42 door Anoniem
Hoe zo heten dit "privacyrisico's"? Je weet dat de privacy geschonden wordt en Google de data rooft. Dit is net zoiets als naar een smeulende hoop as kijken en zeggen dat er een "brand-risico" is.
03-03-2021, 16:07 door Anoniem
Door Anoniem: Hoe zo heten dit "privacyrisico's"? Je weet dat de privacy geschonden wordt en Google de data rooft. Dit is net zoiets als naar een smeulende hoop as kijken en zeggen dat er een "brand-risico" is.
Weten is iets anders dan bewijzen.
03-03-2021, 17:45 door Anoniem
Goed dat deze punten bij google aangekaart zijn en dat google toewerkt naar een systeem dat het akkoord stempeltje van de overheid krijgt.

Alles beter dan Microsoft. Heel fijn als er keuzemogelijkheid komt van Google werkt VEEL FIJNER dan MS.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.