Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 25 juni 2024

In april 2023 is uw Kamer geïnformeerd over de voortgang van de privacy-onderzoeken op Google Workspace door Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (hierna: SLM).1 In deze brief is aan uw Kamer toegezegd u te informeren over het uitvoeren van de privacymaatregelen door Google en de voortgang van het Data Transfer Impact Assessment (DTIA).

Hierbij informeer ik uw Kamer dat de eerder geconstateerde privacy-risico’s bij het gebruik van Google Workspace zijn opgelost.

Stand van Zaken

Kort na 9 juni 2023 is door SLM vastgesteld dat Google de afgesproken maatregelen uit de Data Privacy Impact Assessment (DPIA) volledig heeft doorgevoerd.

In de afgelopen periode is een DTIA op Google Meet (een representatief onderdeel van Google Workspace) uitgevoerd. Uit dit onderzoek blijkt dat er, bij toepassing van de aanbevolen maatregelen, geen hoge risico’s zijn als gevolg van internationale doorgifte van persoonsgegevens. Bij deze conclusie wordt er vanuit gegaan dat Google Meet niet wordt gebruikt om bijzondere categorieën persoonsgegevens en gevoelige persoonsgegevens te delen. De volledige lijst van aanbevolen maatregelen is te vinden in het DTIA-rapport.

Tot slot zijn, aanvullend op bovenstaande, additionele privacy-bevindingen in de tussentijd opgelost.

Dit betekent dat AVG-compliant gebruik van Google Workspace mogelijk is. Elke overheidsorganisatie die het gebruik van Google Workspace overweegt, dient een eigen afweging te maken om vast te stellen of voor haar eigen specifieke situatie nadere aanvullende maatregelen nodig zijn.

De Engelstalige detailrapporten omtrent de DPIA, DTIA en additionele bevindingen zijn in de bijlage bij deze brief opgenomen.

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius