Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 20 april 2023

In 2020 is geconstateerd dat Google Workspace for Enterprise, een geheel van software-toepassingen dat in grote lijn vergelijkbaar is met onder meer Microsoft Word, Excel, Powerpoint niet voldoet aan de eisen die de Algemene Verordening Gegevensbescherming (hierna: AVG) stelt.

Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (hierna: SLM) heeft tussen augustus 2020 tot en met 11 februari 2021 gesprekken gevoerd met Google over maatregelen en afspraken om AVG-compliant gebruik mogelijk te maken. Deze gesprekken hebben niet het gewenste resultaat opgeleverd.

Vervolgens heeft SLM, op basis van zijn bevindingen over Google Workspace op dat moment, op 15 februari 2021 een voorafgaande raadpleging gedaan bij de Autoriteit Persoonsgegevens (hierna: AP). De AP heeft hier op 31 mei 2021 schriftelijk op gereageerd.1 Op basis van de reactie van de AP is met Google een verbeterplan overeengekomen dat moest leiden tot het mitigeren van de resterende risico’s. Op 30 mei 2022 is uw Kamer geïnformeerd over de afgesloten rijksbrede overeenkomst die, in combinatie met het verbeterplan, het gebruik van Google Workspace mogelijk maakte.2

Stand van Zaken

Google heeft op 19 december 2022 de uitvoering van het verbeterplan opgeleverd, waarna SLM de uitvoering van het verbeterplan geverifieerd heeft. Daarbij is geconstateerd dat de getroffen maatregelen voor een aanzienlijke voortgang hebben gezorgd in het oplossen van de risico’s. Er is ook gebleken dat niet alle risico’s voldoende zijn weggenomen.

Met Google is op 17 maart jl. opnieuw een plan overeengekomen om deze maatregelen alsnog door te voeren. Hierbij is afgesproken dat voor 1 mei 2023 de eerste resultaten worden opgeleverd en dat uiterlijk op 9 juni 2023 de afgesproken maatregelen volledig zijn doorgevoerd. Na uitvoering door Google van de afgesproken maatregelen worden deze opnieuw door SLM geverifieerd.

Om ook de risico’s van internationale doorgifte van persoonsgegevens te beoordelen wordt er een Data Transfer Impact Assessment (hierna: DTIA) uitgevoerd. Wanneer deze is afgerond is niet bekend.

Verder is met Google afgesproken dat er ook na 9 juni 2023 een proces is ingeregeld om blijvende AVG-compliance te borgen. Als eerste binnen dit proces gaat SLM in gesprek over nieuwe bevindingen die in de afgelopen periode zijn geconstateerd en waarvoor nader vervolgonderzoek nodig is om de impact te kunnen inschatten.

Over de resultaten van de uitvoering van het met Google overeengekomen plan en de voortgang van de DTIA, zal ik uw Kamer zo spoedig mogelijk na 9 juni 2023 nader informeren.

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius