OR moet alert zijn bij gebruik Google
De privacytoezichthouder Autoriteit Persoonsgegevens (AP) stelt dat veelgebruikte Google-diensten zoals Gmail, Docs en Google Meet niet voldoen aan de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG). Goed voor de OR om te weten in het kader van het adviesrecht en het instemmingsrecht dat van toepassing kan zijn bij het gebruik van zulke software.
Werken met Google-diensten zoals Gmail, GoogleDocs en Google Meet (Google Workspace) is inmiddels meer regel dan uitzondering, ook voor zakelijk gebruik. De AP raadt het gebruik van de Google-diensten sterk af, omdat deze niet voldoen aan de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG). Dit blijkt uit twee vertrouwelijke adviezen van de AP aan het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) en het ministerie van Justitie en Veiligheid, die in handen zijn van het Financieele Dagblad. Omdat onduidelijk is waar Google de persoonlijke gegevens verwerkt, voor welk doel, en met welke grondslag, is een rechtmatige verwerking ervan niet mogelijk. De ministeries lieten zich eerder al kritisch uit over de gebrekkige privacy van Google-software en vroegen de AP daarom om advies.
Bestuurder kan niet om OR heen bij invoering gebruik Google
Wil een bestuurder bijvoorbeeld niet langer op het lokale netwerk werken, maar met Google Drive, of wil hij het werken met bijvoorbeeld GoogleDocs introduceren in de organisatie, dan kan hij niet om de OR heen. De OR heeft namelijk adviesrecht bij de invoering van een belangrijke technische voorziening (artikel 25, lid 1k WOR). Ook kan het instemmingsrecht van de OR van toepassing zijn, bijvoorbeeld als er sprake is van het verwerken en beschermen van persoonsgegevens (artikel 27, lid 1k WOR).
OR kan bestuurder ondersteunen bij verbetering bescherming privacy achterban
Werkt de organisatie al met Google-diensten, dan is het rapport van de AP een goede aanleiding om de risico’s daarvan voor de privacy van de achterban op de agenda voor de overlegvergadering te zetten. De OR kan de bestuurder vragen om het gebruik en risico’s van de Google-diensten te onderzoeken, tijdelijk te stoppen met het gebruik van de diensten en om eventuele alternatieven te overwegen die de privacy van de achterban wel beschermen. De OR kan de bestuurder hierbij ook ondersteunen door een concreet voorstel te doen op basis van het initiatiefrecht (artikel 23, lid 3 WOR).
Google denkt de nodige verbeteringen door te kunnen voeren
De adviezen van de AP zijn voorlopig nog vertrouwelijk en niet openbaar, omdat de Tweede Kamer zich er eerst nog over gaat buigen. De ministeries, onderwijskoepels en de IT-koepel voor academici zijn in overleg met Google om tot verbetering te komen. Google heeft inmiddels laten weten de tekortkomingen waarschijnlijk snel te kunnen verhelpen.