Under 2021 uppstod en omfattande oro i Nederländerna kring skyddet av personuppgifter vid användning av Chromebook-enheter inom utbildning. För att bemöta dessa farhågor och uppfylla kraven i dataskyddsförordningen (GDPR), utvecklade Google en ny funktion som stärker dataskyddet: ChromeOS Databehandlarläge (Data Processor Mode, DPM). Denna funktion är nu tillgänglig även i Sverige och kräver en noggrann översyn av skolornas befintliga dataskyddsdokumentation.
Hur påverkar det nya databehandlarläget för Chromebook skolor och dataskydd?
Det nya databehandlarläget (Data Processor Mode) stärker dataskyddet genom att göra Google till personuppgiftsbiträde för grundläggande tjänster. Detta kräver dock att skolor, i egenskap av personuppgiftsansvariga, omgående uppdaterar sina konsekvensbedömningar avseende dataskydd (DPIA) för Google Workspace for Education för att säkerställa fullständig regelefterlevnad.
Implementering och effekter av databehandlarläget
Tidigare har utbildningsanordnare inte kunnat begränsa Googles roll som personuppgiftsansvarig vid databehandling på Chromebooks. Med det nya avtalet om databehandlarläge (ChromeOS Data Processor Mode Agreement, DPMA) delas Chromebook-enheternas funktioner upp i två tydliga kategorier enligt följande struktur:
| Tjänstekategori |
Googles roll |
Administratörens kontrollåtgärd |
| Grundläggande tjänster (Essential Services) |
Personuppgiftsbiträde under DPMA-avtalet. |
Aktiveras automatiskt för standardfunktioner. |
| Tilläggstjänster (Optional Services) |
Personuppgiftsansvarig för databehandlingen. |
Kan inaktiveras helt via admin-konsolen för minskad risk. |
Konsekvensbedömningens roll för dataskyddet i skolan
Googles satsningar på ökad transparens är ett viktigt steg framåt, men innebär också att utbildningsanordnare måste ta ett aktivt ansvar för att uppdatera sin riskanalys. När ni uppdaterar er konsekvensbedömning bör följande aspekter beaktas:
- Samordnad analys: Chromebook-enheter och användarkonton administreras i Google Workspace for Education. Konsekvensbedömningen (DPIA) kan därför inte göras separat utan måste integreras i en helhetsanalys.
- Kontinuerlig process: En DPIA är inte ett engångsdokument. Den måste uppdateras regelbundet i takt med att Google introducerar nya funktioner, tjänster eller avtalsvillkor.
- Resursbehov: Att utvärdera komplexa tekniska flöden och juridiska villkor kräver både tid, juridisk expertis och djupgående systemförståelse.
Hjälp med er konsekvensbedömning
Som Nordens ledande dataskyddstjänst för utbildning ser Edudata.io till att er skola alltid är uppdaterad vid regelförändringar. Våra CIPP/E-certifierade dataskyddsjurister har djupgående kunskaper om effekterna av Chromebooks senaste uppdateringar och hjälper er hela vägen med er dokumentation.
Hör av er till oss på Edudata.io så hjälper vi er att ta nästa steg!
