Management

Juridische zaken
G Suite

Rijksoverheid met Google in de clinch over databescherming G Suite

Gebrek aan doelbinding en transparantie.

© Google
1 maart 2021

Gebrek aan doelbinding en transparantie.

Het Rijk en Google liggen in de clinch over bescherming van data in onder meer Gmail, Calender, Hangouts, Sheets, Slides, Cloudsearch en Drive. Het lukte de Amerikaanse techreus na maandenlange gesprekken niet om zorgen volledig weg te nemen, zo blijkt uit een brief van minister Grapperhaus aan de Tweede Kamer in handen van AG Connect. Inmiddels is Autoriteit Persoonsgegevens geraadpleegd. 

Het Rijk heeft grote twijfels bij de dataverwerking van Googles G Suite Enterprise, waarvan rijksambtenaren aanvankelijk gebruik zouden gaan maken. Voorlopig gaat dat niet door. Diverse onderdelen van de dienst kennen volgens Grapperhaus een hoog risico vanwege onder meer een gebrek aan doelbinding, een gebrek aan transparantie en een gebrek aan juiste grondslag voor gegevensverwerking. Ook ontbreken mogelijkheden voor privacyvriendelijke instellingen en is er te weinig controle over subverwerkers.

Hoge risico's Gmail, Calender, Hangouts 

De risico’s werden aangetroffen na een zogeheten ‘Data Privacy Impact Assessment’ (DPIA) waarover AG Connect eerder berichtte. Deze toets werd in opdracht van het Strategisch Leveranciersmanagement (SLM) uitgevoerd door het bedrijf Privacycompany met de bedoeling om te achterhalen met welke ‘datarisico’s’ rijksambtenaren precies te maken hebben tijdens hun werk. In de brief van Grapperhaus valt te lezen dat risico’s in kaart zijn gebracht voor Google G Suite Enterprise via de Chromebrowser op de besturingssystemen Windows 10, MacOS en Chrome OS en via mobiele applicaties op Android en iOS. Voorbeelden van geteste onderdelen waar een hoog dataprotectierisico naar voren kwam, zijn onder meer Gmail, Calender, Hangouts, Sheets, Slides, Cloudsearch en Drive. In de DPIA worden deze uitvoerig beschreven.  

Maandenlange gesprekken

Uit de brief blijkt dat het ministerie en Google niet op één lijn lijken te zitten. De onderzoekers troffen bij de DPIA in eerste instantie tien ‘hoge dataprotectierisico’s’ rondom het gebruik van G suite Enterprise aan. Tussen medio 2020 en februari 2021 werd uitvoerig gesproken over hoe deze risico’s kunnen worden weggenomen. Het leidde volgens Grapperhaus tot ‘enkele juridische en technische toezeggingen aan de kant van Google' en een aantal 'mogelijke organisatorische maatregelen aan de kant van de rijksorganisaties.’ Daarmee kon uiteindelijk slechts een klein deel van de bezwaren worden weggenomen. Na een herbeoordeling blijven er namelijk acht hoge risico’s staan, zo valt op te maken uit de brief.

Raadpleging Autoriteit Persoonsgegevens

De bal ligt voorlopig bij de Autoriteit Persoonsgegevens. Omdat er geen maatregelen worden genomen is het Rijk op basis van de AVG verplicht om een raadpleging bij de Autoriteit Persoonsgegeven aan te vragen, die hierover een schriftelijk advies zal uitbrengen.

Het traject waarin techreuzen aan een DPIA worden onderworpen is niet nieuw. Microsoft doorliep zo'n DPIA-traject eerder al en beloofde na lang onderhandelen met het Rijk dat zakelijke klanten meer transparantie en privacy rondom het gebruik van data krijgen. Het ministerie van Justitie en Veiligheid stapte vervolgens over naar Teams, om zo tijdens de coronacrisis op afstand te kunnen communiceren.

Lees meer over
Lees meer over Management OP AG Intelligence
2
Reacties
M. Commandeur 01 maart 2021 22:58

Nog een tip voor de komende verkiezingen: Mark Rutte wenst zich niet te verdiepen in het neoliberalisme. Universitair geschoold maar het boek "De utopie van de vrije markt" van Hans Achterhuis gaat ie al jaren uit de weg. Dat zelfde geld voor elke discussie over het neoliberalisme; dat wordt met alle macht gemeden. De enige die enigszins uit de kast durft te komen is Patrick van Schie van het wetenschappelijk bureau van de VVD.
Neoliberalisme was een mooi thema in Trouw van zaterdag 27-2-2021 (j.l.): Ewald Engelen met een goede definitie en PvS die het woord mijdt maar in z'n antwoorden toch een aardig beeld schetst van het neoliberalisme.
https://www.trouw.nl/politiek/keert-echt-elke-partij-zich-tegen-het-neo…
Het (afscheids-)debatje van Ronald van Raak met de slecht belezen Mark Rutte (vraagt om een boek over de leidende politieke ideologie):
Ronald van Raak (SP) ontlokt visieloze Mark Rutte een visie
https://www.youtube.com/watch?v=Y25TmS-gJpA

M. Commandeur 01 maart 2021 22:36

Mag de overheid z'n eigen communicatie uit handen geven aan externe bedrijven?
In het kader van de discussie over neoliberalisme (machtsoverdracht van overheid naar de onzichtbare hand van de markt), zou dit niet een overheidstaak moeten zijn? Begin met een platform als Linux i.p.v. Windows of Chrome. Open Source zou ook gebruikt moeten worden voor de communicatie-software zelf: dat garandeert inzage in de broncode en algoritmen. In samenwerking met de vele Open Source initiatieven zou de Nederlandse- of beter nog de Europese overheid daar groot genoeg voor zijn.
Alles in handen geven van een steeds kleiner wordende groep, veel te machtig wordende, bedrijven is een doodlopende weg, lijkt mij. De overheid kan ons dan tevens behoeden voor de aanstaande of al verwezenlijkte private monopolies.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.