Opinieartikel dat op 12 juli 2024 is gepubliceerd op iBestuur als reactie op het nieuws dat Google workspace in het onderwijs veilig te gebruiken zou zijn. Veel van de genoemde bezwaren gelden ook voor andere BigTech bedrijven.
Op 27 juni 2024 heeft de minister aan de Tweede Kamer gemeld dat nu echt alle problemen met Google Workspace in het onderwijs zijn opgelost. Blijkens recent onderzoek (DPIA en DTIA) is er geen sprake meer van hoge risico’s op het gebied van privacy en van internationale gegevensdoorgifte, mits scholen een aantal nieuwe instellingen in de software doorvoeren en er regelmatig wordt gecontroleerd of Google zich aan de gemaakte afspraken houdt.
Alleen in theorie
Maar dit is een schijnoplossing. Juridisch lijkt het misschien te kloppen – op dit moment – maar dat geldt alleen in theorie en alleen binnen de schoolomgeving. Het onderwijs loopt nog steeds aan de leiband van Google. Zolang er niet wordt gekozen voor de ontwikkeling van een eigen digitale infrastructuur, blijven we steeds achter de feiten aanlopen. Nemen we het risico dat de data van onze kinderen toch in vreemde handen komen. Leren we onze leerlingen niet om kritisch te denken en om te gaan met digitale hulpmiddelen.
Gegeven de (gekozen) afhankelijkheid van Big Tech kan alleen via tijdrovende assesments en daadwerkelijke implementatie van technische instructies worden gezorgd voor bescherming van de privacy van de leerlingen. Voor veel scholen is dat te veel gevraagd (kijk alleen al naar hoe scholen omgaan met cookies op hun website). Het gevolg is dat ondanks wetgeving en de kritische beoordeling van de Google-diensten, de digitale veiligheid in de praktijk totaal niet gegarandeerd is. Intussen maakt Google goede sier met de gunstige uitkomsten van de assesments.
In de praktijk is de digitale veiligheid totaal niet gegarandeerd.
Alleen op dit moment
De uitkomsten van DPIA en DTIA gelden alleen voor de huidige functies van Google Workspace.
De ervaring leert dat Google bij de introductie van nieuwe functies deze standaard ‘aan’ zet, vaak zonder de gebruikers te informeren. In feite zou het hele assesment-traject opnieuw moeten worden doorlopen, dat naar verwachting als volgt verloopt:
- Google introduceert een nieuwe functie, ‘privacy-schending-by-design’.
- Er wordt een nieuwe DPIA gedaan waarbij nieuwe risico’s worden geconstateerd.
- Er worden gesprekken gevoerd met Google om tot ‘oplossingen’ te komen.
- Dan wordt een technische handleiding opgesteld waarin staat dat bepaalde (moeilijk te vinden) instellingen aan- of uitgevinkt moeten worden.
Scholen zullen – net als nu – de geadviseerde aanpassingen amper doorvoeren. Er is te veel op het onderwijs bezuinigd, de prioriteiten liggen bij het nog ernstiger geworden lerarentekort, of misschien vindt men de nieuwe functie toch wel erg handig… En Google gaat er met de data vandoor.
Alleen de kerndiensten
De afspraken met Google betreffen alleen de ‘kern’-diensten van Google Workspace. ‘Aanvullende’ diensten zijn bijvoorbeeld Google Zoeken, Google Maps en YouTube. Die werken op basis van toestemming. Op een paar privacy-specialisten na, heeft niemand het onderscheid tussen kern- en aanvullende diensten helder. Google biedt de kern- en aanvullende diensten bovendien door elkaar aan. Menige lesmethode heeft zelfs de aanvullende dienst YouTube ingesloten in het lesmateriaal, inclusief alle advertentietrackers. Het gevolg is dat docenten en leerlingen zonder nadenken toestemming geven en daarmee hun data weggeven. Terwijl bijvoorbeeld OpenStreetMap of PeerTube een veilig alternatief bieden.
Menige lesmethode heeft zelfs de aanvullende dienst YouTube ingesloten in het lesmateriaal, inclusief alle advertentietrackers.
Alleen binnen de schoolomgeving
Zelfs al zou de digitale veiligheid binnen de schoolomgeving goed geregeld zijn, dan geldt dat nog niet daarbuiten. De geadviseerde instellingen om op school AVG-compliant met Google te werken, kunnen vaak niet worden toegepast in een privé-account. Erger is dat leerlingen op school niet leren om kritisch te kijken naar digitale hulpmiddelen en de voorwaarden waaronder zij die gebruiken. Integendeel, het lijkt voor hen ‘normaal’ om klakkeloos toestemming te geven voor gebruik van hun data en zij zullen dat ook doen buiten de schoolomgeving. Commerciële partijen kunnen hiermee persoonsprofielen opbouwen voor gerichte advertenties, het trainen van AI-algoritmen en het ‘personaliseren’ van diensten.
Aan de leiband van Google
Het is inmiddels 6 jaar geleden dat de AVG van toepassing werd voor de hele Europese Unie. Hoewel Google de juridische kennis en technisch capaciteit heeft om op dag één aan de wet te voldoen, lijkt ze er vooral op gericht om zoveel mogelijk tijd te rekken. Zo kunnen intussen de kostbare data worden verzameld, die het bedrijf helpen hun diensten te verbeteren en nog meer geld te verdienen. Het onderwijs worstelt al die tijd met de opdracht om deze gigant te controleren en te corrigeren op onwetmatig gebruik van persoonlijke data. Een eindeloze en ongelijke strijd.
Alternatief
Eerder hebben we een pleidooi gehouden voor een alternatief digitaal leersysteem, met als belangrijkste kenmerken: opensource software, privacy-by-design, (lokale) gegevensverwerking in Nederland of de EER. Daarmee nemen we het heft in eigen handen en maken we ons niet meer afhankelijk van Big Tech. Laten we leerlingen van kleins af aan leren om met opensource software te werken, zodat ze wèl zelf zeggenschap over hun data behouden. Dan vervullen scholen ook hun kerntaak: leerlingen voorbereiden op een leven als zelfstandige kritisch-denkende burger, in plaats van een klikkende cloud consument. Bovendien ontwikkelen we zodoende de benodigde competenties, die op lange termijn voor een bloeiende lokale IT-sector zorgen en behouden we onze autonomie en concurrentiepositie tegenover de USA en China.