Ik vind het een rare actie van de toezichthouder. Niet om Google goed te praten maar Google Workspace houdt zich volgens Google gewoon aan de AVG regels, dat kan je letterlijk binnen twee seconden vinden: https://workspace.google.com/terms/09242021/dpa_terms/

Dat gemeenten Google nogmaals na moet vragen of dat wel klopt, is vreemd. Dat is ook helemaal geen onderdeel van AVG.
En moeten ze dat dan ook met iedere leverancier doen? Waarom dat redundante werk?

Maar goed, het zal waarschijnlijk wel bangmakerij zijn. Ze hebben blijkbaar ook helemaal geen zaak dus daarom laten ze zonder boetes de zaak vallen...

Maar hoe zit het met de minimaal vijf andere google-domeinen die tijdens gebruik actief zijn? Lijkt mij een gevalletje google analytics gebruiken en zeggen dat deze privacy-vriendelijk ingesteld is en daarnaast meer diensten van google actief die afzonderlijk wel jouw data verzamelen.

Uit het artikel:
Kijk eens in hoofdstuk VII van de AVG, over samenwerking en coherentie. Daar lees je dat het EDPB (European Data Protection Board, in het Nederlands Europees Comité voor gegevensbescherming, in de AVG verder meestal Comité genoemd) behoorlijk wat richtsnoeren, aanbevelingen en beste praktijken heeft op te stellen. De AVG zelf werkt niet alles tot vijf cijfers achter de komma uit, de landelijke toezichthouders, verenigd in de EDPB, hebben als taak om dat nader in te vullen, en dat doen ze dan ook. Ze moeten binnen de AVG blijven, wat ze doen mag er niet mee in strijd zijn, maar ze hebben wel degelijk ruimte om dit soort dingen nader uit te werken en worden ook verondersteld dat te doen.

Wie verwerkingsverantwoordelijke blijft verantwoordelijk voor de verwerking, ook als die delen daarvan uitbesteedt aan een verwerker. Je neemt je verantwoordelijkheid niet als je geen idee meer hebt wat er nou echt gebeurt, dat moet je wel degelijk overzien.

De bouwsector levert een mooie vergelijking op. Het is alweer aardig wat jaren geleden, maar op een gegeven moment begonnen er opmerkelijk veel dingen mis te gaan met nieuwbouw: balkons die van appartementengebouwen afbraken, parkeergarages die instortten, dat soort ernstige ellende. Zoekend naar de oorzaken daarvan kwam men erop uit dat aannemers onderaannemers inschakelden, die weer onder-onderaannemers inschakelden, die misschien wel weer werk aan nog een ander uitbesteedden. Omdat het werk over teveel schijven verdeeld raakte raakte de hoofdaannemer het zicht kwijt op wat er nou werkelijk aan kwaliteit werd geleverd, de kwaliteitscontrole functioneerde niet meer, met alle gevolgen van dien. En dat gebeurde terwijl die hele uitbestedingskerstboom rondliep op dezelfde bouwplaats, zelfs dan was de kwaliteit niet meer te overzien.

Kijk in dit kader ook eens naar dat enorme datalek in 2023. Allerlei bedrijven besteedden klanttevredenheidsonderzoeken en dergelijke uit aan marktonderzoekbureaus. Die bleken vaak software van een bedrijf te gebruiken dat Nebu heet, dat, zoals dat tegenwoordig gaat, niet de software aan hun klanten leverde maar de verwerking vond bij de leverancier zelf plaats. Nebu was zo de spin in een enorm web, zat op gigantisch veel persoonsgegevens. En daar ging het mis. Je kan je voorstellen dat zo'n plek extra interessant is voor degenen die persoonsgegevens willen bemachtigen, en dat zo'n plek dan een extreem hoog beveiligingsniveau nodig heeft om het nog goed te laten gaan. Nebu bleek toen het mis was gegaan vooral erg goed te zijn in de kaken stijf op elkaar houden. Ik denk niet dat de NS of ArbonNed of een van die vele andere organisaties aan hun contracten hadden kunnen zien dat ze zo'n groot risico liepen, ik vermoed dat alle contracten keurig in orde waren. Wil zo'n organisatie de eigen verantwoordelijkheid voor dat risico zelfs maar kunnen nemen dan zal die dus verder moeten kijken dan alleen naar wat in de contracten staat, en geen verdere uitbesteding moeten accepteren dan qua overzicht en verantwoordelijkheid voor de goede werking nog behapbaar is.

Een contract of gebruikersovereenkomst is iets anders dan adequate risicobeheersing. En die vereist de AVG wel degelijk, die eist dat een passende beveiliging gewaarborgd is, dat gegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking, en tegen onopzettelijk verlies, vernietiging en beschadiging. Je moet dus zorgen dat die balkons niet omlaag donderen, dat moet je voor zijn, en alleen een contract waar alles goed in staat is kennelijk onvoldoende om dat werkelijk te waarborgen. Hoewel de verwerker wel degelijk ook verantwoordelijk is voor de aan hem uitbestede verwerking neemt dat de verantwoordelijk niet weg bij de verwerkingsverantwoordelijke.

Goed, er zijn ongetwijfeld allerlei juristen die vinden dat alles begint en eindigt bij een degelijk contract, dat is hun perspectief. De pest is dat dat helemaal niet garandeert dat het ook werkelijk goed gaat. Dan is zo'n contract heel belangrijk om schadeclaims af te handelen nadat het mis is gegaan. Je moet alleen voorkomen dat het misgaat en daar is zo'n contract wel een onderdeel van maar daar is duidelijk meer voor nodig. En kennelijk vindt EDPB dat ook.

In mijn ogen is die uitbestedingseconomie met die doorgeslagen juridische kijk op verantwoordelijkheden een belangrijk deel van het probleem. Ik vind het volkomen duidelijk dat die aanpak onvoldoende waarborgen vooraf geeft, waardoor we met datalekken voortdurend achter de feiten aanlopen. Het eerste doel moet niet zijn om een datalek goed af te handelen nadat het heeft plaatsgevonden, het eerste doel moet zijn om te voorkomen dat het gebeurt. Verantwoordelijkheid slaat niet alleen op het juridische deel, het slaat ook op voorkomen dat je daarop terug moet vallen, en op doen wat daarvoor nodig is.

Zouden ze hier in Nederland ook moeten doen want pas toe of leg uit werkt niet omdat er geen sancties op staan

Heel goed, minder Google is altijd beter.

Goede reactie, dank! Vooral de vergelijking met Nebu is inderdaad toepasbaar.
De gemeenten blijven uiteindelijk eindverantwoordelijk en het is hun nu duidelijk aangeven dat ze dit moeten gaan controleren. Het voelt wel een beetje als over de boeg gooien door de toezichthouder maar gezien de omvang van het gebruik ook wel weer logisch. Ik benieuwd of ze er ook nog opvolging aan gaan geven of de adviezen opgevolgd worden.