Wat is de rol van Cloudwise als het gaat om de DPIA naar Google Workspace for Education?
Cloudwise is als ICT-partner een belangrijke schakel in het ICT-landschap voor het onderwijs. Wij vinden het dan ook belangrijk om scholen op de hoogte te houden van de laatste informatie die wij van onze partners (zoals Google en Microsoft) ontvangen. Als ICT-dienstverlener ligt onze kennis en expertise in het ontzorgen en technisch beheren van jullie ICT-omgeving. Daarnaast denken we graag mee als het gaat om inhoudelijke ICT-vraagstukken, zoals de toepasbaarheid van Google Workspace for Education, bij jou in de klas. De DPIA naar Google Workspace for Education is echter ook voorzien van een juridische grondslag. Ondanks dat we jullie hier graag bij helpen, kunnen we je niet voorzien van een juridisch advies of het uitvoeren van een DPIA. Daarvoor is het van belang dat een onderwijsinstelling een Functionaris Gegevensbescherming inschakelt.
Wat kan Cloudwise voor scholen betekenen op dit gebied?
Cloudwise helpt scholen op twee manieren. In de eerste plaats geeft Cloudwise via dit overzicht inzicht in de impact van de adviezen die volgens Kennisnet/SIVON doorgevoerd moeten worden. Wij hebben dit overzicht inmiddels aangevuld met een beschrijving van de impact die een maatregel heeft op de praktische werking voor medewerkers en leerlingen.
Ten tweede neemt Cloudwise werk uit handen door de technische instellingen in de Google beheeromgeving (Admin) door te voeren. Deze instellingen voeren wij alleen door op verzoek van de Functionaris Gegevensbescherming of het College van Bestuur. De bovenschoolse ICT´ers kunnen deze verzoeken wel bij ons aanleveren, maar daarin moet duidelijk zijn dat de FG of het CvB goedkeuring heeft gegeven. Tot slot heeft Cloudwise een signalerende functie en neemt de impact van de adviezen mee in gesprekken met Kennisnet/SIVON.
Is de beschrijving van een doelbepaling voldoende om een ´hoog risico´ weg te nemen?
In maart 2021 zijn er 8 hoge privacyrisico’s vastgesteld voor gebruikers van Workspace for Education (Plus). SURF en SIVON hebben met Google afspraken gemaakt over het beperken van deze risico’s. Om alle hoge risico’s te kunnen beperken, moet de nieuwe overeenkomst met Google geaccepteerd worden en alle technische maatregelen uitgevoerd worden die zijn beschreven in de Technische Handleiding. Als deze stappen niet allemaal worden uitgevoerd, dan moet de onderwijsinstelling zelf (in overleg met de Functionaris Gegevensbescherming bepalen of de 8 hoge privacyrisico’s voldoende zijn gemitigeerd. (Bron)
Wat zijn de gevolgen als je een of meer aanbevelingen niet overneemt op de hoogte van de geïnventariseerde privacyrisico's?
Kom je er via de DPIA achter dat een verwerking van persoonsgegevens een hoog risico oplevert voor de privacy van leerlingen of medewerkers? En kun je geen maatregelen nemen om dat risico te beperken? Dan moet je een melding doen aan de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. (Bron)
Wat zijn mogelijke additionele risico's en te nemen mitigerende maatregelen?
In de tabel van de ‘Handreiking onderwijs specifieke DPIA Google Workspace for Education’ staan in paragraaf 3.1.2. de mitigerende maatregelen die Google moet nemen beschreven. Deze tabel is overgenomen uit de ‘Update on Google Workspace for Education DPIA’. Het is aan de onderwijsorganisatie zelf om samen met de FG te bepalen of deze maatregelen voldoende zijn om de hoge risico’s voor het gebruik van Google Workspace for Education weg te nemen.
Bron: https://www.surf.nl/files/2021-08/handreiking-onderwijsspecifieke-dpia-google-workspace-for-education.pdf - pagina 17