Rijksoverheid met Google in de clinch over databescherming G Suite

Het Rijk heeft grote twijfels bij de dataverwerking van Googles G Suite Enterprise, waarvan rijksambtenaren aanvankelijk gebruik zouden gaan maken. Voorlopig gaat dat niet door. Diverse onderdelen van de dienst kennen volgens Grapperhaus een hoog risico vanwege onder meer een gebrek aan doelbinding, een gebrek aan transparantie en een gebrek aan juiste grondslag voor gegevensverwerking. Ook ontbreken mogelijkheden voor privacyvriendelijke instellingen en is er te weinig controle over subverwerkers.

Hoge risico's Gmail, Calender, Hangouts

De risico’s werden aangetroffen na een zogeheten ‘Data Privacy Impact Assessment’ (DPIA) waarover AG Connect eerder berichtte. Deze toets werd in opdracht van het Strategisch Leveranciersmanagement (SLM) uitgevoerd door het bedrijf Privacycompany met de bedoeling om te achterhalen met welke ‘datarisico’s’ rijksambtenaren precies te maken hebben tijdens hun werk. In de brief van Grapperhaus valt te lezen dat risico’s in kaart zijn gebracht voor Google G Suite Enterprise via de Chromebrowser op de besturingssystemen Windows 10, MacOS en Chrome OS en via mobiele applicaties op Android en iOS. Voorbeelden van geteste onderdelen waar een hoog dataprotectierisico naar voren kwam, zijn onder meer Gmail, Calender, Hangouts, Sheets, Slides, Cloudsearch en Drive. In de DPIA worden deze uitvoerig beschreven.

Maandenlange gesprekken

Uit de brief blijkt dat het ministerie en Google niet op één lijn lijken te zitten. De onderzoekers troffen bij de DPIA in eerste instantie tien ‘hoge dataprotectierisico’s’ rondom het gebruik van G suite Enterprise aan. Tussen medio 2020 en februari 2021 werd uitvoerig gesproken over hoe deze risico’s kunnen worden weggenomen. Het leidde volgens Grapperhaus tot ‘enkele juridische en technische toezeggingen aan de kant van Google' en een aantal 'mogelijke organisatorische maatregelen aan de kant van de rijksorganisaties.’ Daarmee kon uiteindelijk slechts een klein deel van de bezwaren worden weggenomen. Na een herbeoordeling blijven er namelijk acht hoge risico’s staan, zo valt op te maken uit de brief.

Raadpleging Autoriteit Persoonsgegevens

De bal ligt voorlopig bij de Autoriteit Persoonsgegevens. Omdat er geen maatregelen worden genomen is het Rijk op basis van de AVG verplicht om een raadpleging bij de Autoriteit Persoonsgegeven aan te vragen, die hierover een schriftelijk advies zal uitbrengen.

Het traject waarin techreuzen aan een DPIA worden onderworpen is niet nieuw. Microsoft doorliep zo'n DPIA-traject eerder al en beloofde na lang onderhandelen met het Rijk dat zakelijke klanten meer transparantie en privacy rondom het gebruik van data krijgen. Het ministerie van Justitie en Veiligheid stapte vervolgens over naar Teams, om zo tijdens de coronacrisis op afstand te kunnen communiceren.