Reacties op bevindingen
Reactie op Franse bevindingen ten aanzien van (gratis) online diensten van Google en Microsoft
22 december 2022 - Recent zijn er publicaties verschenen over het gebruik van verschillende online-producten van Google in Frankrijk. Onderwijsinstellingen zijn daar onderdeel van de staat, en de verwerking van (persoons)gegevens valt daarom onder de regels voor verwerking door overheidsinstellingen. Omdat het gebruik van een aantal Google-diensten deels gratis is, zijn aanbestedingsregels daarop in beginsel niet van toepassing. Dat is volgens Franse beleidsregels wel noodzakelijk. De opslag van gevoelige gegevens mag ook niet onderworpen zijn aan regels van niet-EU landen. Daarom adviseert de Franse overheid nu om géén gebruik te maken van (gratis) online diensten van Google en Microsoft. Deze Franse regels zijn echter niet van toepassing in Nederland. Anders dan de AVG zijn er geen specifieke voorwaarden dat gegevens van onderwijsinstellingen alleen in Nederland of in de Europese Unie mogen worden opgeslagen. Evenmin gelden er specifieke inkoopvoorwaarden die voorschrijven dat gratis online-diensten niet mogen worden gebruikt. De ontwikkelingen in Frankrijk geven daarom op dit moment geen reden om te twijfelen aan de rechtmatigheid van het gebruik van Google-diensten door Nederlandse onderwijsinstellingen.
SURF en SIVON blijven in overleg met Google over het gebruik van Google Workspace for Education door Nederlandse onderwijsinstellingen.
Reactie op Duitse bevindingen ten aanzien van Microsoft 365
20 december 2022 - In een rapport van 2 november 2022 heeft het samenwerkingsverband van Duitse privacy-toezichthouders (hierna; DSK) gesteld dat het gebruik van Microsoft 365 in Duitsland in strijd is met de Algemene Verordening Gegevensbescherming (AVG). SURF, APS IT-diensten, SLBdiensten en SIVON hebben met belangstelling kennisgenomen van het rapport van de DSK en hebben een onderzoek laten instellen naar aanleiding van deze bevindingen van de DSK.
Conclusie: rechtmatig gebruik van Microsoft 365 in het Nederlandse onderwijs
Naar aanleiding van het onderzoek komen SURF, APS IT-diensten, SLBdiensten en SIVON tot de conclusie dat er geen reden is om te twijfelen aan de rechtmatigheid van het gebruik van Microsoft 365 door de Nederlandse onderwijs- en onderzoeksinstellingen. In 2019 hebben SURF, APS IT-diensten en SLBdiensten (noot 1) reeds afspraken gemaakt met Microsoft over het gebruik van Microsoft 365 binnen de Rijksoverheid en het Nederlandse onderwijs en onderzoek, waarin aanvullende privacy afspraken zijn meegenomen. Veel van de bevindingen die door DSK in het rapport zijn genoemd, werden in eerder uitgevoerde DPIA’s (Data Protection Impact Assessment) reeds geïdentificeerd en vervolgens gemitigeerd in aanvullende afspraken. Daarnaast hebben wij in 2021, naar aanleiding van de richtlijnen van de EDPB (European Data Protection Board) met betrekking tot verwerkingen buiten de EER in juli 2021, nogmaals waar nodig aanvullende privacy afspraken met Microsoft gemaakt.
Continu monitoren van rechtmatigheid van groot belang
SURF, APS IT-diensten, SLBdiensten en SIVON erkennen het belang van privacy en streven ernaar om privacy afspraken te verankeren in contracten met leveranciers. Daarom hechten we veel belang aan het continu evalueren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan. Samen met SIVON houden SURF, APS IT-diensten en SLBdiensten de veranderende wet- en regelgeving in de gaten, toetsen deze periodiek aan bestaande contracten en passen deze aan waar nodig. Daarnaast blijven we constant in gesprek en in onderhandeling met leveranciers om te zorgen dat diensten veilig en verantwoord zijn te gebruiken.
Noot 1: Onderwijs- en onderzoeksinstellingen maken gebruik van deze contracten via SURF, APS IT-diensten en SLBdiensten.