Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 23 december 2022

Hierbij sturen wij u het antwoord op de vraag van de commissie over het bericht dat de Duitse overheid het gebruik van Microsoft 365 op scholen heeft verboden vanwege zorgen over de privacy van leerlingen.

De Duitse Datenschutzkonferenz (DSK) heeft op 2 november een rapport gepubliceerd waarin zij stelt dat het gebruik van Microsoft 365 in strijd is met de Algemene Verordening Gegevensbescherming (AVG). SURF, de coöperatieve vereniging van onderzoek- en onderwijsinstellingen in het mbo en ho, en SIVON, coöperatie van schoolbesturen in het po en vo, hebben namens het Nederlandse onderwijs onderzoek laten doen naar de bevindingen van de DSK. Zij concluderen dat er geen reden is om te twijfelen aan de rechtmatigheid van het gebruik van Microsoft 365 in het Nederlandse onderwijs. SURF en SIVON hebben dit op 20 december 2022 aan de onderwijsinstellingen gemeld.

Op basis van een Data Protection Impact Assessment (DPIA) zijn er in 2019 afspraken gemaakt over het verwerken van persoonsgegevens door Microsoft. In 2021 zijn daar, naar aanleiding van richtlijnen van de European Data Protection Board, nog aanvullende afspraken over gemaakt. Met deze afspraken worden de bevindingen van de DSK in Nederland voldoende ondervangen. De privacyrisico’s die in Duitsland zijn geconstateerd zijn in Nederland dus niet meer aanwezig.

SURF en SIVON blijven bestaande contracten periodiek toetsen en passen deze aan waar nodig. Daarmee dragen zij er zorg voor dat deze diensten veilig en verantwoord gebruikt kunnen worden in het onderwijs. Zoals aangekondigd in de kamerbrief van 14 juli (Kamerstukken 35 925 VIII, 26 643 en 32 761, nr. 190) faciliteren we het uitvoeren van DPIA’s waar nodig. Zo investeren wij structureel € 6 miljoen in digitale veiligheid van het funderend onderwijs. Daarnaast investeren we de komende vijf jaar jaarlijks € 5 miljoen in het verhogen van de digitale weerbaarheid en privacy in het mbo. In het hoger onderwijs investeren we van 2023 tot en met 2026 in totaal € 57,5 miljoen en daarna € 7,5 miljoen structureel in cyberveiligheid en risicomanagement.

Net als de DSK vinden wij dat de privacy van leerlingen en studenten optimaal beschermd moet zijn. Organisaties die persoonsgegevens van leerlingen en studenten verwerken dienen zich vanzelfsprekend te houden aan de AVG. Vooralsnog is dit voor Microsoft 365 in Nederland het geval. Wij zien daarom op dit moment geen belemmering voor de Nederlandse onderwijsinstellingen om het gebruik van Microsoft 365 voort te zetten.

Meer informatie over de gemaakte afspraken met Microsoft is te vinden op de websites van SURF en SIVON.

De Minister van Onderwijs, Cultuur en Wetenschap, R.H. Dijkgraaf

De Minister voor Primair en Voortgezet Onderwijs, A.D. Wiersma