Google Workspace – onderzoek afgerond

'Head in de cloud, feet on the ground!'

Op 25 juni 2024 is de Tweede Kamer geïnformeerd over de afronding van het in opdracht van Strategisch Leveranciersmanagement Microsoft, Google Cloud en AWS uitgevoerde onderzoek naar Google Workspace.

Hieronder is de tekst van deze Kamerbrief integraal weergegeven:

In april 2023 is uw Kamer geïnformeerd over de voortgang van de privacy-onderzoeken op Google Workspace door Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (hierna: SLM).  In deze brief is aan uw Kamer toegezegd u te informeren over het uitvoeren van de privacymaatregelen door Google en de voortgang van het Data Transfer Impact Assessment (DTIA). 

Hierbij informeer ik uw Kamer dat de eerder geconstateerde privacy-risico’s bij het gebruik van Google Workspace zijn opgelost. 

Stand van Zaken           

Kort na 9 juni 2023 is door SLM vastgesteld dat Google de afgesproken maatregelen uit de Data Privacy Impact Assessment (DPIA) volledig heeft doorgevoerd. 

In de afgelopen periode is een DTIA op Google Meet (een representatief onderdeel van Google Workspace) uitgevoerd. Uit dit onderzoek blijkt dat er, bij toepassing van de aanbevolen maatregelen, geen hoge risico’s zijn als gevolg van internationale doorgifte van persoonsgegevens. Bij deze conclusie wordt er vanuit gegaan dat Google Meet niet wordt gebruikt om bijzondere categorieën persoonsgegevens en gevoelige persoonsgegevens te delen. De volledige lijst van aanbevolen maatregelen is te vinden in het DTIA-rapport.

Tot slot zijn, aanvullend op bovenstaande, additionele privacy-bevindingen in de tussentijd opgelost. 

Dit betekent dat AVG-compliant gebruik van Google Workspace mogelijk is. Elke overheidsorganisatie die het gebruik van Google Workspace overweegt, dient een eigen afweging te maken om vast te stellen of voor haar eigen specifieke situatie nadere aanvullende maatregelen nodig zijn. 

(De Engelstalige detailrapporten omtrent de DPIA, DTIA en additionele bevindingen zijn in de bijlage bij deze brief opgenomen).

Inmiddels heeft ook Google gecommuniceerd over deze resultaten via een blog: A safer choice for EU public sector organizations with Dutch DPIA/DTIA approval | Google Workspace | Google Workspace Blog

Strategisch Leveranciersmanagement Microsoft, Google Cloud en AWS wil op twee aspecten uit dit Google-blog de juiste nuance aanbrengen:

  1. De uitkomsten van het onderzoek en de daaropvolgende conclusies van SLM zijn op inhoudelijke argumenten gebaseerd en zijn geen bevestiging van ‘vertrouwen’ dat SLM bij voorbaat zou hebben in de onderzochte diensten.
  2. Er is geen sprake van eerdere ‘goedkeuring / approval’ door SLM. Pas bij de verzending van de brief van 25 juni jl. heeft SLM laten weten dat de risico’s voldoende zijn gemitigeerd en AVG-compliant gebruik van Google Workspace mogelijk is.

Bij verdere vragen kunt u contact opnemen met Strategisch Leveranciersmanagement Microsoft, Google Cloud en AWS.