Under 2021 uppstod en omfattande oro i Nederländerna kring skyddet av personuppgifter vid användning av Chromebook-enheter inom utbildning. För att bemöta dessa farhågor och uppfylla kraven i dataskyddsförordningen (GDPR) utvecklade Google en funktion som stärker dataskyddet: ChromeOS Databehandlarläge (Data Processor Mode, DPM). Databehandlarläget inkluderar nya behandlingsvillkor som förtydligar hur Chromebook-enheter hanterar personuppgifter. Dessa villkor är nu även tillgängliga i Sverige, men de förändringar de medför bör beaktas i konsekvensbedömningar avseende dataskydd.
Tidigare har utbildningsanordnare inte haft möjlighet att begränsa Googles roll som personuppgiftsansvarig vid databehandling på Chromebook-enheter, men det nya databehandlarläget förändrar detta genom en ny tjänstefördelning. Framöver kommer Chromebook-enheternas funktioner att delas upp i två tydliga kategorier – grundläggande tjänster (Essential Services) och tilläggstjänster (Optional Services).
Den nya tjänstefördelningen omfattas av avtalet om databehandlarläge (ChromeOS Data Processor Mode Agreement, DPMA). Enligt avtalet förbinder sig Google att endast agera som personuppgiftsbiträde när det gäller grundläggande tjänster, dvs. Essential Services. Med hjälp av nya inställningar kan administratören även inaktivera alla tilläggstjänster, dvs. Optional Services, där Google fortfarande agerar som personuppgiftsansvarig för behandlingen av personuppgifter. För att villkoren i avtalet (DPMA) ska kunna tillämpas och förbättra dataskyddet, är databehandlarläget nödvändigt på Chromebook-enheter som används inom utbildning.
Googles satsningar på ökad transparens kring databehandling på Chromebook-enheter är ett viktigt framsteg för dataskyddet inom utbildning. Även om effekterna av databehandlarläget på dataskyddet inom utbildning i huvudsak är positiva, kräver denna förändring noggrant övervägande från utbildningsanordnaren. Som personuppgiftsansvarig måste utbildningsanordnaren, innan ändringar av behandlingen genomförs, bedöma konsekvenserna av de planerade behandlingsåtgärderna för elevernas personuppgifter (genom en konsekvensbedömning avseende dataskydd, DPIA).
Både Googles konton för utbildning och Chromebook-enheter för utbildning administreras via Google Workspace for Education. Konsekvensbedömningen avseende dataskydd för Chromebook-enheter inom utbildning kan därför inte utföras separat, utan konsekvensbedömningen avseende dataskydd för Google Workspace for Education måste uppdateras. Om en konsekvensbedömning avseende dataskydd ännu inte har gjorts och både Google-tjänster och Chromebook-enheter används inom utbildning, rekommenderas det att dessa konsekvensbedömningar görs samtidigt.
Förändringen i behandlingen av Chromebook-enheter belyser de utmaningar som ständiga förändringar inom dataskydd medför: DPIA är inte en engångsåtgärd, utan en kontinuerlig process. Konsekvensbedömningar avseende dataskydd kräver regelbundet underhåll för att beakta förändringar i behandlingen av personuppgifter och dataskyddsrisker. Även förändringar som syftar till att förbättra dataskyddet måste inkluderas och uppdateras i konsekvensbedömningen, eftersom de kan medföra nya risker som måste identifieras och åtgärdas. Dessa risker kan kräva tekniska eller organisatoriska åtgärder.
Svårigheten att utföra en konsekvensbedömning avseende dataskydd bör inte underskattas. Bakom arbetet ligger organisationens individuella behov och ansvar för att identifiera sina egna risker. Dessutom kräver juridisk kompetens samt förståelse för hantering och förändringar av tekniska funktioner betydande resurser från utbildningsanordnare.
Nordens ledande dataskyddstjänst för utbildning, Edudata.io, ser till att kunderna alltid är uppdaterade om förändringar som rör deras dataskydd. CIPP/E-certifierade dataskyddsjurister är medvetna om den senaste Chromebook-uppdateringens effekter, och prenumeranter på DPIA-tjänsten kommer att informeras om behovet av att ändra DPIA-dokumentationen. Vi hjälper även gärna kunder som har utfört konsekvensbedömningen avseende dataskydd som ett engångsprojekt – hör av er till oss, så hjälper vi er att ta nästa steg!