Eindelijk duidelijkheid: Google-cloud is niet geschikt voor het onderwijs, maar desondanks gedoogbeleid!

Vorig jaar, in juni 2020, blogden we al over de motie Wiersma in de Tweede Kamer. En eindelijk, na bijna een jaar is duidelijk dat we in 2019 niet voor niets met het Veilig CloudVaardig project zijn begonnen, omdat de twee meest gebruikte cloudplatformen die op in de Nederlandse scholen worden gebruikt van Microsoft en Google, niet aan de AVG (privacywetgeving) voldoen. De brief die de minister van Onderwijs op 1 maart 2021 naar de Tweede Kamer stuurde over de resulaten van de onderzoeken (DPIA’s), laat weinig ruimte voor twijfel: “Uit deze DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite en G Suite for Education.” Lees meer over de bevindingen bij de DPIA’s in de weblog van de Privacy Company, die eerder ook de onderzoeken voor het Rijk naar de Microsoft cloudproducten uitvoerde.

SIVON en Kennisnet waren al lang op de hoogte

Zodra duidelijk werd dat we ondersteuning door het SIDNfonds zouden krijgen, hebben we SIVON al in december 2019 gevraagd of we op het OnderwijsInzicht congres dat ze in januari 2020 voor schoolbesturen en ICT-verantwoordelijken organiseerden, over ons toen net gestarte VeiligCloudVaardig (VCV) project mochten vertellen en er scholen vragen om mee te gaan doen aan ons project. We wilden natuurlijk graag aan andere ICT-ers uitleggen waarom we VCV gestart waren, omdat ook toen al duidelijk was dat er bij de doelgroep van het congres weinig bekend was over de privacyrisico’s bij de techgiganten. We waren er echter niet welkom. Gelukkig heeft professor José van Dijck ons project nog wel genoemd in haar “college” over de platformisering van het onderwijs.

We waren een paar weken later wel welkom voor een overleg in Zoetermeer. Dit gesprek verliep in een zeer prettige en positieve sfeer en hier bleek dat deze door de overheid betaalde onderwijskundige professionals wel degelijk op de hoogte waren van de privacygevaren van de cloudplatformen die in het Nederlands onderwijs steeds populairder worden. We werden ook gewaarschuwd dat het basisonderwijs nu net de allerlastigste groep zou zijn om met iets nieuws voor aan te komen op dit gebied.

Slecht signaal: continuïteit(sangst) belangrijker dan privacy

Ook toen in juli 2020 met het Schrems II-arrest, waar Google en Microsoft zich op beriepen als het over veilig verwerken van (privacygevoelige) gegevens gaat, volledig onderuit gehaald werd door het Europese Hof, hield de onderwijswereld zich stil. Veel te druk ook met #lesopafstand, Teams opschalen en andere Corona-ellende toen. En wat geven Surf, Kennisnet en SIVON ook nu weer een alarmerend slecht signaal af, door onderwijsinstellingen aan te raden gewoon door te gaan met het gebruik van Google Workspace for Education en alleen scholen die overwegen over te stappen op de Google cloud nu adviseren die beslissing nog even uit te stellen. De DPIA zelf laat er geen twijfel over bestaan dat op dit moment de wettelijke grondslag compleet ontbreekt voor alle data-inzameling die plaatsvindt. Dit geldt zowel voor de inhoud van de data zelf, als voor de verzamelde metadata.

De Corona-maatregelen lijken een stuk bedreigender voor de continuiteit van het onderwijs en veel schadelijker voor de geestelijke gezondheid van de leerlingen, dan scholen te adviseren zo snel mogelijk over te stappen op wel veilige open source alternatieven. En zo ook meteen te voldoen aan het pas-toe-of-leg-uit verplichting die voor de hele overheid geldt ten aanzien van Open Source. Komt de vrijheid van onderwijs daarmee in gevaar, nee toch?

Sprookjes bestaan nog

SIVON heeft zelfs het lef om net te doen alsof deze organisatie nu opeens de gedoodverfde vertegenwoordiger op privacygebied voor het basisonderwijs en VO zou zijn en is op haar website schoolbesturen gaan vragen een aanmeldformulier in te vullen, waarmee de school SIVON machtigt om namens haar het woord te voeren tegenover Google en Microsoft. Ze zijn er heilig van overtuigd dat ze met deze giganten tot overeenstemming zullen komen. Een beoogde termijn daarvoor wordt wijselijk niet eens genoemd.

Grootmoeder Google, wat fijn dat u privacy voorop stelt..

Zalvende woorden vanuit Google over hoeveel waarde ze wel niet hechten aan privacy, beveiliging en compliance en op een blog verschenen, een dag nadat de Tweede Kamer werd ingelicht, voeden dit waanbeeld. Je zou denken dat de kinderen in groep 1 allang niet meer in dit soort sprookjes geloven, maar blijkbaar worden schoolbesturen op dit gebied nog een stuk naïever ingeschat.

Tweede Kamer nu ook bezorgd over het voldoen van digitale leermiddelen aan de GDPR

De tekst van de motie luidt:

MOTIE VAN HET LID WIERSMA
Voorgesteld 16 juni 2020
De Kamer,
gehoord de beraadslaging,
constaterende dat scholen zelf een afweging mogen maken met welke partijen zij in zee gaan als het gaat om digitale leermiddelen en zij hiervoor logischerwijs veelal kiezen voor “gratis” producten;

constaterende dat er momenteel strenge Europese regels gelden die de privacy van leerlingen beschermen, maar dat het uiteindelijk de verantwoordelijkheid is van scholen en aanbieders om hier verder goede afspraken over te maken en deze in de praktijk te brengen;


van mening dat het niet wenselijk is om de verantwoordelijkheid van
dergelijke afspraken volledig bij scholen en aanbieders te beleggen;


verzoekt de regering, met de Autoriteit Persoonsgegevens in gesprek te gaan om te inventariseren welke digitale leermiddelen er momenteel door scholen worden gebruikt en of deze volledig voldoen aan de strenge Europese regels die gelden voor de privacy van leerlingen, en hierover de Kamer te informeren voor 1 oktober 2020,


en gaat over tot de orde van de dag.
Wiersma