Veel schoolorganisaties maken gebruik van Google Workspace for Education om hun digitale onderwijsomgeving te ondersteunen. Maar met het IBP Normenkader wordt informatiebeveiliging en privacy steeds belangrijker. Is een gratis Google-licentie voldoende om aan de eisen van het normenkader te voldoen? In deze blog geven we je inzicht in de verschillende licentiemogelijkheden en hoe je kunt bepalen of jouw organisatie op dit gebied goed is voorbereid.
Of je gratis licentie toereikend is, hangt sterk af van hoe jouw organisatie Google Workspace for Education gebruikt. Maak je alleen gebruik van de Google Admin Console om je Chrome-apparaten te beheren? Of werk je ook met applicaties zoals Google Meet, Drive, of Classroom? Afhankelijk van welke tools en functionaliteiten je gebruikt, kan het zo maar zijn dat aanvullende licenties nodig zijn. Met name wanneer je persoonsdata opslaat.
Met een gratis Google Workspace for Education Fundamentals-licentie heb je toegang tot de basisfunctionaliteiten. Dit is een goede optie voor kleinere organisaties of scholen die beperkt gebruik maken van de diensten. Maar als je te maken hebt met gevoelige gegevens of geavanceerdere beveiligingsfuncties nodig hebt, kan een upgrade verstandig zijn.
“Recent heeft SIVON een dringend advies uitgebracht: de gratis versie van Google Workspace voldoet niet langer aan de eisen van het normenkader.”
SIVON heeft recentelijk aangegeven dat de gratis versie van Google Workspace niet langer voldoet aan de eisen van het normenkader. Het IBP Normenkader stelt dat scholen grip moeten hebben op hun data, waaronder waar deze wordt opgeslagen. Hoewel Google Workspace for Education conform de GDPR (AVG) werkt, stelt Nederland met het Normenkader strengere eisen voor het onderwijs. Een belangrijk punt hierin is dat je in de gratis versie van Google Workspace niet kunt kiezen waar je data wordt opgeslagen. Dit betekent dat leerling- en personeelsgegevens mogelijk buiten Europa worden verwerkt. Met een betaalde licentie kun je daarentegen de Europese Unie selecteren als datalocatie. Hierdoor worden gegevens uitsluitend opgeslagen in datacenters binnen de EU, zoals Nederland. Indien je als schoolbestuur besluit om geen betaalde licentie te nemen, dien je volgens het Normenkader te onderbouwen waarom je geen dataregio wenst te selecteren. Een Data Protection Impact Assessment, kortweg DPIA genoemd kan jouw hierbij helpen.
Een Data Protection Impact Assessment (DPIA) is een middel om privacyrisico’s van gegevensverwerking in kaart te brengen. Het beoordeelt de mogelijke gevolgen van het gebruik van persoonsgegevens om daarmee de risico’s te verkleinen of volledig weg te nemen. In een DPIA beschrijf je de verschillende risico’s en welke maatregelen je vaststelt om de risico’s te verminderen of weg te nemen.
Om te bepalen of je een betaalde licentie nodig hebt, moet je weten hoe er gebruik wordt gemaakt van Google Workspace for Education. In de praktijk zien we 3 manieren waarop er wordt gewerkt met Google Workspace for Education:
In dit geval is een betaalde licentie niet nodig. Er wordt immers Google account gebruikt en daarmee geen data opgeslagen bij Google. Een licentie is dan niet nodig.
In dit scenario slaan de leerlingen documenten en bestanden op in de cloud. Er is dus een risico dat in deze bestanden persoonsgegevens staan vermeld. Bepaal in dit geval als school jouw prioritering in het risico en maak op basis daarvan een afweging. Let op: Het kan zijn dat leerlingen inloggen met Google accounts middels ZuluConnect of een andere digitale leeromgeving voor leerlingen.
In deze situatie is de kans dat in de bestanden en documenten informatie staat over leerlingen vrij groot. In een dergelijke situatie adviseren we om een betaalde licentie af te nemen.
De betaalde versies van Google Workspace for Education – zoals Education Standard en Education Plus – bieden meer dan alleen datalocatie-opties. Ze stellen scholen in staat om specifieke beveiligingsinstellingen aan te passen die essentieel zijn voor naleving van het IBP Normenkader.
Ben je benieuwd hoe de tools en producten binnen Google Workspace for Education jouw organisatie kunnen ondersteunen om te voldoen aan het IBP Normenkader? Bekijk hieronder een IBP Normenkader FO overzicht van O21.nl.
Wanneer je data opslaat binnen Google Workspace for Education, bijvoorbeeld via Google Drive, wordt de data, afhankelijk van jouw instellingen, opgeslagen in een van de Google-datacenters. Google heeft datacenters in verschillende regio’s, waaronder de Verenigde Staten, Europa, Azië en Zuid-Amerika. In Europa bevinden deze datacenters zich onder andere in Nederland, België, Ierland, Denemarken en Finland. Met een betaalde versie van Google Workspace for Education kun je ervoor kiezen om de data uitsluitend in Europa op te slaan. Dit voorkomt echter niet dat Amerikaanse inlichtingsdiensten toegang kunnen krijgen tot de gegevens. De U.S. Cloud Act beschrijft namelijk dat elke Amerikaans bedrijf (en daarmee ook de inlichtingendiensten) data mag opvragen binnen de VS én daarbuiten.
De keuze om over te stappen op een betaalde licentie is sterk afhankelijk van jouw eigen ICT-inrichting en mate van risicodekking. Hieronder een aantal redenen om over te stappen:
Het kiezen van een licentie is een persoonlijke afweging voor scholen. Als je besluit geen betaalde licentie te gebruiken, is het belangrijk om deze keuze goed te onderbouwen en vast te leggen.
Gebruik je momenteel de gratis versie van Google Workspace for Education? Maak dan voor jouw organisatie een risico analyse en beschrijf je schoolspecifieke DPIA. Heb je hulp nodig hierbij? Neem contact met ons op – we denken graag met je mee!
Maak je klaar voor de toekomst en bereid je voor op het einde van Windows 10
Alles wat je moet weten om jouw school veilig en IBP-compliant te maken