Wat is er hand met de chromebook? Denemarken verbiedt de diensten van Google op bepaalde scholen, terwijl in andere landen zo’n verbod wordt geopperd. Bij ons blijft het stil.
De kwestie begon in Helsingør, een stadje in het oosten van Denemarken. Helsingør werd door de Deense gegevensbeschermingsautoriteit gelast om een risicobeoordeling uit te voeren van de verwerking van persoonsgegevens in hun basisscholen. Op basis van dat onderzoek stelde de Deense gegevensbeschermingsautoriteit deze zomer vast dat de gegevensverwerking van de Workspace-clouddienst ‘op verschillende punten niet in overeenstemming is met de vereisten van de GDPR’. Zo kunnen gegevens zonder het vereiste beveiligingsniveau aan derde landen worden doorgegeven.
In hun besluit legt Datatilsynet (de Deense gegevensbeschermingsautoriteit) een algemeen verwerkingsverbod voor Google Workspace (voorheen G Suite for Education). Let wel, als je hun beslissing goed leest, is dat verbod is er in principe enkel voor scholen in dat Deense stadje Helsingør. Maar de conclusies gelden op zich natuurlijk ook voor andere scholen en openbare diensten die Google Workspace gebruiken. Want de geest is uit de fles. Andere gaan zich ook vragen stellen, in Denemarken en daarbuiten.
Vervelend
De beslissing is om te beginnen vervelend voor Google, dat in het onderwijssegment een belangrijke markt ziet met zijn software én hardware. Want ook die chromebooks delen in de klappen: geen chromebook op school zonder Google-toepassingen.
Maar eigenlijk is het indirect ook vervelend voor scholen en leerlingen. Laptops zijn duur voor sommige leerlingen (en vooral voor hun ouders) en een chromebook is dan al snel een goedkoper alternatief op school. Google liet enkele maanden al weten dat het werkt aan een aanpassing van Workspace voor gebruikers in Europa. Hiermee zouden ze de datatransfers van en naar de EU beter in de hand (moeten) houden.
Tegelijk roept de zaak natuurlijk vragen op over de privacy-aanpak van de aanbieders van onderwijssoftware. Uit onderzoek van Atlas VPN, dat vorige week uitkwam, blijkt dat 92 procent van de educatieve apps op Android gebruikersgegevens verzamelt. Learning-app HelloTalk en leerplatform Google Classroom, ontwikkeld door Google zelf, staan bovenaan de lijst als de meest privacy-invasieve. De Deense beslissing komt dus niet uit de lucht vallen.
In Nederland waren er ook al discussies op niveau van de Tweede Kamer als het ging om de privacy-aanpak van technologiebedrijven bij onderwijstoepassingen. Nederlandse onderwijsinstellingen kregen een jaar geleden het advies Google-diensten niet meer te gebruiken vanwege de verwerking van persoonsgegevens. Al leidde dat in tegenstelling tot in Denemarken (nog) niet tot een verbod.
Kaspersky
In Vlaanderen en België blijft het erg stil over deze zaak. Ik heb er nog niets over gehoord, en pedagoog Pedro De Bruyckere ook niet, las ik enkele dagen geleden. Ook al is de context helemaal anders, het doet me toch een beetje denken aan de zaak met Kaspersky en het gebruik van hun security-toepassingen door overheidsinstanties. Alle landen nemen een standpunt in, maar bij ons bleef (en blijft) het stil hierover.
Als je fileert moet je je huiswerk maken.
Als je items in je blog zet moet je je niet baseren op titels uit kranten…maar je informeren.
De stad in Denemarken heeft zelf een grove fout gemaakt met de instellingen in Google Workspace for Education waardoor op Youtube (een niet-Google Workspace for Education die je zelf actief moet aanzetten) informatie van leerlingen kwam.
Dus een fout van de Administrator waar Google nu actief mee helpt om dit soort zaken niet meer voor te hebben.
Google is al langer in gesprek met Vlaanderen om tot een positief en bruikbare overeenkomst te komen waar onderwijs alleen maar beter van wordt. Daar is tijd voor nodig. De hoofdreden daarvan is dater destijds een GDPR werd uitgeschreven, klaar en duidelijk. Nu gaan gemeenten, landen, scholen,… hun eigen varianten gaan uitwerken. Zo werkt het echter niet.
https://cloud.google.com/blog/products/identity-security/helping-european-education-providers-navigate-privacy-assessments
Wij hebben wel degelijk ons huiswerk gemaakt en ons gebaseerd op de beslissing van Datatilsynet, de Deense gegevensbeschermingsautoriteit. We hebben dat document grondig doorgenomen na vertaling. Beslissingen van gegevensbeschermingsautoriteiten zoals Datatilsynet zetten in deze kwesties de lijnen uit, zo gaat dat nu eenmaal.
Los daarvan blijkt ook uit andere onderzoeken (zoals onder meer ook aangehaald in dit opinie-artikel) dat er inzake privacy toch wel wat vragen kunnen gesteld worden over het privacy-aspect van sommige Google-diensten of -producten. Dit blijkt geen alleenstaand geval.