Onze aandacht voor de privacy en veiligheid van klantgegevens in Google Workspace

Bij Google Cloud hebben we Google Workspace-producten en -oplossingen, waaronder Google Workspace for Education, zo ontworpen dat de privacy en gegevens van onze klanten beveiligd en beschermd zijn. Onze cloud is erop gericht om te voldoen aan de verwachtingen en strenge beveiligings- en privacy-eisen van Europese organisaties. Dit is een van de redenen waarom klanten in heel Europa vertrouwen hebben in Google Workspace.

We willen ook de keuzemogelijkheden voor de publieke sector en scholen in heel Europa vergroten door toegang te bieden tot innovatieve oplossingen, tegen lagere kosten, betere beveiliging en een grotere weerbaarheid.

Daarnaast implementeren we beleidsmaatregelen en houden ons aan regelgeving en compliancy-voorschriften om de gegevens van onze klanten te beschermen. Tevens geloven we dat het enorm belangrijk is om transparant te zijn over onze producten en werkwijzen. Hiermee zorgen we ervoor dat onze klanten en partijen zoals beleidsmakers dat we enorm veel waarde hechten aan privacy, beveiliging en compliance.

We werken nauw samen met Europese klanten, regelgevers, beleidsmakers en andere stakeholders om een hoger niveau van transparantie te bieden en zo vertrouwen op te bouwen. Hierdoor begrijpen we hun beveiligings- en privacybehoeften nog beter en we nemen hun feedback mee bij het ontwikkelen van onze producten en tools. We gebruiken deze feedback ook om onze openbare documentatie te verbeteren, zodat klanten en gebruikers begrijpen hoe ze onze diensten kunnen configureren om aan hun compliance-behoeften of privacyvoorkeuren te voldoen.

Eén manier om die feedback te krijgen is via een proces dat Data Protection Impact Assessment (DPIA) wordt genoemd. DPIA's zijn vaak een standaard onderdeel van aanbestedingsprocessen voor nieuwe technologie en worden uitgevoerd door organisaties in zowel de publieke als de private sector om beter te begrijpen hoe hun leveranciers persoonsgegevens verwerken. Gisteren heeft de Nederlandse regering een DPIA over Google Workspace gepubliceerd en hebben het Nederlandse ministerie van Onderwijs en het ministerie van Justitie brieven aan het parlement gestuurd met een samenvatting van de bevindingen van de DPIA's die zijn uitgevoerd voor Google Workspace en Google Workspace for Education.

We hebben tijdens het DPIA-proces nauw samengewerkt met het Nederlandse Ministerie van Justitie en Veiligheid en we zien dit proces als kans om onze toewijding aan privacy en veiligheid aan de publieke sector te tonen. Als partner van organisaties in de publieke sector in heel Europa nemen wij bovengenoemde zaken uiterst serieus. We hebben al een aantal stappen ondernomen om tegemoet te komen aan de bezorgdheden die in de DPIA naar voren worden gebracht, en zetten de besprekingen met de Nederlandse regering voort. In de tussentijd willen wij op open en transparante wijze een aantal belangrijke punten verduidelijken die in de DPIA aan de orde komen.

Ten eerste willen we duidelijk maken dat we nooit klantgegevens of servicegegevens (zoals gebruikersactiviteit) gebruiken voor advertentie-targeting. In de premiumversies van Workspace en Workspace for Education Core Services, waarin we abonnees tools zoals Gmail, Google Meet en Google Chat aanbieden, tonen we geen advertenties. Daarnaast verwerken we nooit klantgegevens of servicegegevens om advertentieprofielen te maken of om Google Ads-producten te verbeteren.

Ten tweede, klanten hebben controle over hun gegevens. Klantgegevens zijn van de klant, niet van Google. Wij verwerken gegevens van Cloud-klanten alleen volgens de instructies die in de overeenkomsten met onze klanten zijn opgenomen.

Ten derde, Google is toegewijd aan transparantie, naleving van regelgeving zoals de GDPR, en best practices voor privacy. We streven voortdurend naar het verbeteren van transparantie. Daarom hebben we vorig jaar onze openbare documentatie over hoe Google persoonsgegevens verwerkt, in het kader van het gebruik van cloud-services, uitgebreid. We begrijpen dat onze klanten hier meer duidelijkheid over willen en hebben stappen ondernomen om hierin tegemoet te komen met het publiceren van de Google Cloud Privacy Notice. Hier kunnen gebruikers informatie vinden over hoe we servicegegevens verwerken; zoals de informatie die Google verzamelt of genereert tijdens het leveren en beheren van Google Workspace. Deze informatie is van cruciaal belang om de veiligheid en beschikbaarheid van onze services te waarborgen. We erkennen dat er altijd ruimte is om de transparantie te verbeteren en zullen Google Cloud Privacy Notice specifieker te maken in lijn met deze feedback.

We hebben ook onze Workspace Data Protection Implementation Guide bijgewerkt en een nieuwe Google Workspace for Education Data Protection Implementation Guide gepubliceerd om meer informatie te verschaffen over de manier waarop gegevens worden verwerkt in Workspace Core Services en aanvullende services. Daarnaast hebben we een nieuwe sectie toegevoegd over best practices op het gebied van privacy.

Het is onze doelstelling bij het behandelen van de  DPIA om volledige transparantie voor onze klanten, regelgevende instanties en beleidsmakers te bieden over de openstaande kwesties. We zullen de bevindingen de komende maanden blijven bespreken met de Nederlandse regering, met als doel een overeenkomst te bereiken die leidt tot meer keuze voor organisaties in de publieke sector in Nederland en daarbuiten.