Το 2021, σύμβουλοι απορρήτου που εργάζονται για δύο ολλανδικά πανεπιστήμια εξέδωσαν μια κριτική κάρτα αναφοράς για τις εκπαιδευτικές εφαρμογές της Google, ένα σύνολο εργαλείων στην τάξη όπως τα Έγγραφα Google που χρησιμοποιούνται από περισσότερους από 170 εκατομμύρια φοιτητές και εκπαιδευτικούς σε όλο τον κόσμο.

Ο έλεγχος προειδοποίησε ότι τα εργαλεία της Google για τα σχολεία δεν διέθεταν μια σειρά από προστασίες απορρήτου – όπως στενά όρια στον τρόπο με τον οποίο η εταιρεία μπορούσε να χρησιμοποιήσει τα προσωπικά δεδομένα μαθητών και δασκάλων – που απαιτούνταν από την ευρωπαϊκή νομοθεσία. Αν και η εταιρεία αντιμετώπισε ορισμένες από τις ανησυχίες, ανέφερε η έκθεση, η Google αρνήθηκε να συμμορφωθεί με τα ολλανδικά αιτήματα για τη μείωση ορισμένων «υψηλών κινδύνων» που αναφέρθηκαν στον έλεγχο.

Χρειάστηκε μια απειλή από την Ολλανδική Αρχή Προστασίας Δεδομένων, τη ρυθμιστική αρχή απορρήτου του έθνους, για να βοηθήσει να ξεφύγει το αδιέξοδο: τα ολλανδικά σχολεία θα πρέπει σύντομα να σταματήσουν να χρησιμοποιούν τα εκπαιδευτικά εργαλεία της Google, ανέφερε η κυβερνητική υπηρεσία, εάν τα προϊόντα συνέχιζαν να ενέχουν αυτούς τους κινδύνους.

Δύο χρόνια αργότερα, η Google ανέπτυξε νέα μέτρα απορρήτου και εργαλεία διαφάνειας για να αντιμετωπίσει τις ανησυχίες των Κάτω Χωρών. Ο τεχνολογικός γίγαντας σχεδιάζει τώρα να εφαρμόσει αυτές τις αλλαγές στους εκπαιδευτικούς πελάτες του αργότερα φέτος στην Ολλανδία και αλλού σε όλο τον κόσμο.

Η ολλανδική κυβέρνηση και οι εκπαιδευτικοί οργανισμοί είχαν αξιοσημείωτη επιτυχία αναγκάζοντας τις μεγάλες εταιρείες τεχνολογίας να κάνουν σημαντικές αλλαγές στην ιδιωτικότητα. Η προσέγγισή τους με καρότο και ραβδί προσελκύει στελέχη υψηλού επιπέδου της Silicon Valley σε μήνες άκρως τεχνικών συζητήσεων και στη συνέχεια αξίζει τον κόπο διαπραγματεύοντας συλλογικές συμβάσεις που επιτρέπουν στις εταιρείες να πωλούν τα ελεγμένα εργαλεία τους σε διάφορα κυβερνητικά υπουργεία και σχολεία της χώρας. Και οι ολλανδικές προσπάθειες για την προώθηση της αλλαγής θα μπορούσαν να αποτελέσουν ένα βιβλίο παιχνιδιού για άλλα μικρά έθνη που τσακώνονται με τεχνολογικές υπερδυνάμεις.

Για ορισμένες εταιρείες τεχνολογίας των ΗΠΑ, το ολλανδικό imprimatur έχει πλέον γίνει σύμβολο κατάστασης, ένα είδος σφραγίδας έγκρισης που μπορούν να δείξουν στις ρυθμιστικές αρχές αλλού για να αποδείξουν ότι έχουν περάσει μια από τις πιο αυστηρές διαδικασίες συμμόρφωσης για την προστασία δεδομένων της Ευρώπης.

Το πώς η Ολλανδία, μια μικρή χώρα με πληθυσμό περίπου 17,8 εκατομμυρίων κατοίκων, έφτασε να επηρεάζει τους τεχνολογικούς γίγαντες των ΗΠΑ είναι μια ιστορία του David-and-Goliath που περιλαμβάνει έναν νόμο ορόσημο, που ονομάζεται Γενικός Κανονισμός Προστασίας Δεδομένων, ο οποίος τέθηκε σε ισχύ το 2018 από κράτη μέλη της Ευρωπαϊκής Ένωσης.

Αυτή η νομοθεσία της ΕΕ απαιτεί από τις εταιρείες και άλλους οργανισμούς να ελαχιστοποιούν τη συλλογή και τη χρήση προσωπικών πληροφοριών. Απαιτεί επίσης από εταιρείες, σχολεία και άλλους να διενεργούν ελέγχους, που ονομάζονται Εκτιμήσεις Επιπτώσεων Προστασίας Δεδομένων, για ορισμένες πρακτικές, όπως η επεξεργασία ευαίσθητων προσωπικών πληροφοριών, που θα μπορούσαν να θέτουν υψηλούς κινδύνους για το απόρρητο.

Ωστόσο, η ολλανδική κεντρική κυβέρνηση και τα εκπαιδευτικά ιδρύματα έχουν προχωρήσει πολύ παραπέρα αναθέτοντας εξαντλητικές τεχνικές και νομικές αξιολογήσεις σύνθετων πλατφορμών λογισμικού όπως το Microsoft Office και το Google Workspace – και διασφαλίζοντας τη συμμετοχή υψηλού επιπέδου εταιρειών στη διαδικασία.

«Έχουν μια συγκεντρωτική προσέγγιση που οδηγεί στην ικανότητα να έχουμε επεκτάσιμες λύσεις», δήλωσε η Τζούλι Μπριλ, η διευθύντρια προστασίας προσωπικών δεδομένων της Microsoft. «Η Ολλανδία χτυπάει πάνω από το βάρος της».

Πέρυσι, το Zoom ανακοίνωσε σημαντικές αλλαγές στις πρακτικές και τις πολιτικές προστασίας δεδομένων μετά από μήνες εντατικών συζητήσεων με τον SURF, έναν συνεταιρισμό στην Ολλανδία που διαπραγματεύεται συμβάσεις με προμηθευτές τεχνολογίας για λογαριασμό ολλανδικών πανεπιστημίων και ερευνητικών ιδρυμάτων.

Η Lynn Haaland, Chief Privacy Officer στο Zoom, είπε ότι οι συνομιλίες βοήθησαν την εταιρεία επικοινωνιών βίντεο να κατανοήσει πώς να βελτιώσει τα προϊόντα της ώστε να πληρούν τα ευρωπαϊκά πρότυπα προστασίας δεδομένων και «να είναι πιο διαφανής με τους χρήστες μας».

Μεταξύ άλλων, το Zoom δημοσίευσε ένα έγγραφο 11 σελίδων που περιγράφει λεπτομερώς πώς η εταιρεία συλλέγει και χρησιμοποιεί προσωπικές πληροφορίες για άτομα που συμμετέχουν σε συναντήσεις και συνομιλίες στην πλατφόρμα της.

Η ολλανδική τεχνική εμπειρογνωμοσύνη βοήθησε τους ελεγκτές απορρήτου να αποκτήσουν ασυνήθιστα λεπτομερείς πληροφορίες σχετικά με τον τρόπο με τον οποίο μερικές από τις μεγαλύτερες εταιρείες λογισμικού συγκεντρώνουν προσωπικά δεδομένα εκατοντάδων εκατομμυρίων ανθρώπων. Έχει επίσης επιτρέψει σε Ολλανδούς εμπειρογνώμονες να καλούν τις εταιρείες για πρακτικές που φαίνεται να παραβιάζουν τους ευρωπαϊκούς κανόνες.

Ορισμένες μεγάλες εταιρείες τεχνολογίας των ΗΠΑ αρνούνται στην αρχή, είπε η Sjoera Nas, ανώτερη σύμβουλος στην Privacy Co., μια εταιρεία συμβούλων στη Χάγη που διεξάγει τις εκτιμήσεις κινδύνου δεδομένων για την ολλανδική κυβέρνηση και άλλους θεσμούς.

«Είμαστε τόσο μικροί που, αρχικά, πολλοί πάροχοι cloud απλώς μας κοιτούν, σηκώνουν το φρύδι και λένε: «Και, λοιπόν; Είσαι η Ολλανδία. Δεν πειράζεις», είπε ο Νας, ο οποίος βοήθησε να ηγηθεί των ολλανδικών διαπραγματεύσεων με τη Microsoft, το Zoom και την Google.

Αλλά μετά, είπε, οι εταιρείες αρχίζουν να καταλαβαίνουν ότι οι ολλανδικές ομάδες διαπραγματεύονται τη συμμόρφωση για την Ολλανδία με τους κανόνες προστασίας δεδομένων που ισχύουν επίσης σε ολόκληρη την Ευρωπαϊκή Ένωση.

«Τότε οι πάροχοι τεχνολογίας συνειδητοποιούν ότι δεν θα είναι σε θέση να παρέχουν τις υπηρεσίες τους σε 450 εκατομμύρια ανθρώπους», είπε ο Nas.

Η ολλανδική προσπάθεια άρχισε να συγκεντρώνεται το 2018, αφού το Υπουργείο Δικαιοσύνης και Ασφάλειας της χώρας ανέθεσε τον έλεγχο μιας εταιρικής έκδοσης του Microsoft Office. Η έκθεση ανέφερε ότι η Microsoft συγκέντρωσε συστηματικά έως και 25.000 τύπους δραστηριότητας χρηστών, όπως αλλαγές ορθογραφίας και λεπτομέρειες απόδοσης λογισμικού από προγράμματα όπως το PowerPoint, το Word και το Outlook, χωρίς να παρέχει τεκμηρίωση ή να δίνει στους διαχειριστές τη δυνατότητα να περιορίσουν τη συλλογή δεδομένων. Σε μια ανάρτηση ιστολογίου εκείνη την εποχή, ο Nas, η εταιρεία του οποίου διενήργησε τον έλεγχο, περιέγραψε τα αποτελέσματα ως «ανησυχητικά».

Το λογισμικό καταναλωτών συνήθως συλλέγει δέσμες δεδομένων χρήσης και απόδοσης από συσκευές χρηστών και υπηρεσίες cloud – διαγνωστικά δεδομένα που οι εταιρείες τεχνολογίας των ΗΠΑ χρησιμοποιούν συχνά ελεύθερα για επαγγελματικούς σκοπούς, όπως η ανάπτυξη νέων υπηρεσιών. Ωστόσο, σύμφωνα με τη νομοθεσία της ΕΕ, τα διαγνωστικά δεδομένα που συνδέονται με έναν αναγνωρίσιμο χρήστη θεωρούνται προσωπικά στοιχεία, όπως ακριβώς τα email που στέλνει ένα άτομο ή οι φωτογραφίες που δημοσιεύει.

Αυτό σημαίνει ότι οι εταιρείες πρέπει να περιορίσουν τη χρήση διαγνωστικών προσωπικών δεδομένων και να παρέχουν στους χρήστες αντίγραφά τους κατόπιν αιτήματος. Ο ολλανδικός έλεγχος διαπίστωσε ότι η Microsoft δεν το είχε κάνει.

Η Microsoft συμφώνησε να αντιμετωπίσει αυτά τα ζητήματα. Το 2019, η εταιρεία εισήγαγε μια νέα πολιτική απορρήτου και διαφάνειας για πελάτες cloud σε όλο τον κόσμο που περιλάμβανε «αλλαγές που ζητήθηκαν από το ολλανδικό Υπουργείο Δικαιοσύνης», έγραψε ο Brill σε μια ανάρτηση ιστολογίου της εταιρείας. Η Microsoft κυκλοφόρησε επίσης ένα εργαλείο προβολής δεδομένων για να επιτρέπει στους πελάτες να βλέπουν τα “ακατέργαστα διαγνωστικά δεδομένα” που έστειλε το Office στην εταιρεία.

Η Brill είπε ότι οι συζητήσεις με τους Ολλανδούς βοήθησαν τη Microsoft να αγκαλιάσει τις ευρωπαϊκές απόψεις για την προστασία των δεδομένων, μια αλλαγή στην επιχειρηματική κουλτούρα που είπε ότι ήταν πιο σημαντική από τις αλλαγές στο λογισμικό.

«Ξεκινά με τον πολιτισμό και στη συνέχεια διασφαλίζοντας ότι ο πολιτιστικός άξονας εμφανίζεται στα προϊόντα και το λογισμικό μας και το πιο σημαντικό, στον τρόπο που περιγράφουμε αυτό που κάνουμε στους πελάτες μας», είπε ο Brill.

Η πανδημία επιτάχυνε την ολλανδική επίδραση στις αμερικανικές εταιρείες τεχνολογίας.

Το 2021, ο ολλανδικός έλεγχος των εργαλείων της Google για σχολεία, γνωστά πλέον ως Google Workspace for Education, ανέφερε ότι τα προϊόντα δεν διέθεταν ορισμένους ελέγχους απορρήτου, διαφάνεια και συμβατικά όρια σχετικά με τη χρήση προσωπικών δεδομένων. Τα εκπαιδευτικά εργαλεία περιλάμβαναν εφαρμογές όπως το Gmail και το Google Classroom, ένα διαδικτυακό κόμβο εκμάθησης.

Η Google συμφώνησε τελικά με τα ολλανδικά αιτήματα να περιορίσει σημαντικά τον τρόπο με τον οποίο η εταιρεία θα μπορούσε να χρησιμοποιήσει τα προσωπικά δεδομένα που συλλέγονται από τα εκπαιδευτικά εργαλεία της – κάτι που δεν είχαν καταφέρει οι ρυθμιστικές αρχές των ΗΠΑ.

Μεταξύ άλλων, η Google συμφώνησε να περιορίσει τον τρόπο με τον οποίο χρησιμοποιούσε τα διαγνωστικά δεδομένα από τις βασικές εκπαιδευτικές εφαρμογές της σε τρεις μόνο σταθερούς σκοπούς, σε σύγκριση με περισσότερους από δώδεκα σκοπούς. Οι τρεις χρήσεις περιλάμβαναν την παροχή υπηρεσιών σε πελάτες και τον χειρισμό προβλημάτων όπως απειλές ασφαλείας.

Η Google συμφώνησε επίσης να μην χρησιμοποιήσει τα διαγνωστικά δεδομένα για σκοπούς όπως έρευνα αγοράς, δημιουργία προφίλ χρήστη ή ανάλυση δεδομένων. Και συμφώνησε να αναπτύξει ένα εργαλείο για τους εκπαιδευτικούς πελάτες για να βλέπουν τα διαγνωστικά τους δεδομένα.

«Έπρεπε να εξηγήσουμε στην Google ότι οι σχολικές επιτροπές έχουν καθήκον να φροντίζουν και πρέπει να ελέγχουν τα προσωπικά δεδομένα των μαθητών», δήλωσε ο Job Vos, υπεύθυνος προστασίας δεδομένων για το SIVON, έναν ολλανδικό συνεταιρισμό που διαπραγματεύεται συμβάσεις με προμηθευτές τεχνολογίας. εκ μέρους ολλανδικών σχολείων, που συμμετείχαν στις πολυετείς συνομιλίες με την Google. “Δεν μπορεί να χρησιμοποιηθεί για εμπορικούς σκοπούς.”

Σε πρόσφατη συνέντευξή του, ο Phil Venables, επικεφαλής της ασφάλειας πληροφοριών στο Google Cloud, είπε ότι η Google συνεργαζόταν τακτικά με ρυθμιστικές αρχές σε όλο τον κόσμο και δεν θεωρούσε τις συζητήσεις με τους Ολλανδούς –ή τις αλλαγές που προκύπτουν στις πρακτικές δεδομένων της Google– ως ιδιαίτερα αξιοσημείωτες. Πρόσθεσε ότι η εταιρεία χαιρέτισε την τεχνική πολυπλοκότητα των ολλανδικών προσπαθειών.

«Είμαστε χαρούμενοι που συνεργαστήκαμε με τους Ολλανδούς γιατί ήταν απαιτητικοί για αυτό», είπε ο Venables, «και έχουμε ανταποκριθεί σε αυτό».

Η Google συμφώνησε να παραδώσει νέους ελέγχους απορρήτου και εργαλεία διαφάνειας έως το τέλος του 2022. Οι Nas και Vos δήλωσαν ότι δοκιμάζουν τώρα τις προτεινόμενες λύσεις της Google, μια διαδικασία που μπορεί να διαρκέσει μήνες.

Οι προσπάθειες των Κάτω Χωρών θα μπορούσαν να προσφέρουν βελτιώσεις απορρήτου για σχολεία στις Ηνωμένες Πολιτείες και αλλού, πολλά από τα οποία δεν διαθέτουν την εσωτερική τεχνική τεχνογνωσία για να διερευνήσουν ανεξάρτητα τον τρόπο με τον οποίο σύνθετες πλατφόρμες όπως η Google συλλέγουν και χρησιμοποιούν τα δεδομένα των μαθητών.

Ωστόσο, οι Ολλανδοί εμπειρογνώμονες σε θέματα απορρήτου βλέπουν τη διαδικασία ελέγχου και διαπραγμάτευσης ως μέρος μιας πολύ μεγαλύτερης προσπάθειας από χώρες που προσπαθούν να διεκδικήσουν την ψηφιακή τους κυριαρχία απέναντι στις τεχνολογικές υπερδυνάμεις των ΗΠΑ.

«Βασικά είμαστε αιχμάλωτοι από τους τεχνολογικούς μεγαθήρες», είπε ο Nas. «Αρχίζουμε να συνειδητοποιούμε ότι ο μόνος τρόπος για να το αντιμετωπίσουμε είναι να διαπραγματευτούμε τη συμμόρφωσή μας με τα ευρωπαϊκά πρότυπα».

Αυτό το άρθρο δημοσιεύθηκε αρχικά στους New York Times.