Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 maart 2021

Op 20 december 20181 berichtte ik u, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de dataverzameling door Microsoft. Op 1 juli 20192 informeerde ik u voorts per brief over de door het Strategisch Leveranciersmanagement Rijk (hierna: SLM Rijk) uitgevoerde verificatie op de uitvoer van het verbeterplan met Microsoft. Naar aanleiding van de Rijksbrede afspraken omtrent de verwerking van persoonsgegevens die met Microsoft zijn gemaakt, is aan SLM Rijk op 15 juli 2019 door de CTO raad de opdracht verleend om met Google tot een vergelijkbare Rijksbrede afspraak te komen. Door middel van deze brief bericht ik u over het resultaat van het door SLM Rijk uitgevoerde Data Privacy Impact Assessment (hierna: DPIA) inzake Google. Ten slotte bericht ik u over de voorafgaande raadpleging bij de Autoriteit Persoonsgegevens.

In het geval een gegevensverwerking waarschijnlijk een hoog risico vormt voor de rechten en vrijheden van natuurlijke personen, dient conform art. 35 lid 1 van de Algemene Verordening Gegevensbescherming (hierna: AVG) een DPIA te worden uitgevoerd. Een eventuele inzet van een nieuwe technologische toepassing als Google-diensten en de hiermee gepaard gaande grootschalige verwerkingen rechtvaardigt de uitvoering van de DPIA.3

SLM Rijk heeft medio 2020 een DPIA uitgevoerd in verband met het voorgenomen gebruik van de enterpriseversie van Google G Suite (hierna: G Suite Enterprise). Hierbij zijn de dataprotectierisico’s die kunnen ontstaan bij het gebruik van verschillende onderdelen van de Google G Suite Enterprise via de Chrome-browser op de besturingssystemen Windows 10, MacOS en Chrome OS (op een Chromebook) en via mobiele applicaties op Android en iOS in kaart gebracht. Enkele voorbeelden van de diensten die zijn getest zijn Gmail, Calender, Hangouts, Sheets, Slides, Cloudsearch en Drive.

Uit deze DPIA zijn tien hoge dataprotectierisico’s voortgekomen. Naar aanleiding van deze uitkomsten hebben tussen medio 2020 en februari 2021 meerdere gesprekken tussen SLM Rijk en Google plaatsgevonden met als doel de hoge risico’s te mitigeren. Deze gesprekken hebben geleid tot een aantal juridische en technische toezeggingen aan de kant van Google en een aantal mogelijke organisatorische maatregelen aan de kant van de Rijksorganisaties. Op basis van deze uitkomsten is er op 12 februari jl. een herbeoordeling van de hoge risico’s afgerond. De uitkomst hiervan is dat er acht hoge risico’s resteren.

De hoge risico’s zien op een gebrek aan doelbinding, een gebrek aan transparantie, gebrek aan juiste grondslag, ontbrekende mogelijkheden voor privacy-vriendelijke instellingen, gebrek aan controle over sub-verwerkers en gebrek aan het recht op inzage voor betrokkenen in het kader van de voorgenomen verwerkingen bij het gebruik van de onderzochte Google-diensten. In de bijlage bij deze brief is de DPIA toegevoegd waarin de risico’s in detail zijn beschreven4.

Wanneer er na uitvoering van een DPIA hoge dataprotectierisico’s bestaan die niet door maatregelen worden gemitigeerd, is het op grond van art. 36 lid 1 van de AVG verplicht om een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (AP) aan te vragen. Om deze reden heeft SLM Rijk op 15 februari jl. een voorafgaande raadpleging bij de AP aangevraagd. De AP zal conform art. 36 lid 2 AVG schriftelijk advies uitbrengen.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus