Datatilsynet har sat foreløbigt punktum i Chromebook-sagen: Skærpede krav til kommunerne

Datatilsynet har sat foreløbigt punktum i Chromebook-sagen: Skærpede krav til kommunerne

IT-ret Offentlig ret EU-ret Persondata og cybersikkerhed
Datatilsynet skærper kravene til kommunernes brug af Google Workspace: Elevers data må kun behandles efter instruks, tredjelandsbehandling uden tilsvarende beskyttelse skal lukkes, og den dataansvarlige skal kunne dokumentere roller, underdatabehandlere og kontroller. EDPB-udtalelse er på vej.

Skærpede krav fra Datatilsynet

Datatilsynet har afsluttet den foreløbige Chromebook-sag med påbud til kommunerne om at bringe brugen af Google Workspace i overensstemmelse med GDPR. Kernepunktet er, at elevers data ikke må behandles til leverandørens egne formål, men udelukkende efter kommunens instruks.

KL oplyser, at kommunerne har ændret kontrakterne, så Google alene agerer databehandler. Samtidig skal kommunerne afstå fra tjenester, hvor personoplysninger behandles i tredjelande uden et beskyttelsesniveau, der svarer til GDPR, også når det sker via service- og vedligeholdelsesfunktioner.

Transparens og dokumentation

Datatilsynet indskærper, at den dataansvarlige skal kunne forklare, hvordan behandlingen foregår, af hvem og i hvilke roller. Er kontrakter og vilkår uklare, uigennemsigtige eller skiftende, kan den dataansvarlige ikke opfylde oplysnings- og dokumentationskravene og risikerer dermed at handle i strid med GDPR.

Det medfører øget fokus på klare databehandleraftaler, fortegnelser over behandlingsaktiviteter og reelle muligheder for kontrol af underdatabehandlere. Kontraktuel kompleksitet fritager ikke for ansvar; den dataansvarlige skal kunne påvise overholdelse, herunder via passende tekniske og organisatoriske foranstaltninger.

Praktiske skridt og EU-afklaring

For at efterleve påbuddet skal kommunerne både sikre nye kontrakter og implementere kontroller, der kan dokumentere overholdelse. Datatilsynet har desuden anmodet EDPB om en udtalelse om dokumentationspligten ved brug af underdatabehandlere, hvilket kan skærpe kravene yderligere.

Følgende minimumstiltag er centrale for offentlige dataansvarlige, men relevante for alle, der bruger store cloudtjenester:

  • Indgå opdaterede databehandleraftaler med tydelig instruks, rollefordeling og kontroladgang, jf. GDPR art. 28.
  • Etabler løbende audits, logning og leverandørstyring, så overholdelse kan påvises i praksis.
  • Luk ned for funktioner og supportspor, der indebærer overførsel til tredjelande uden passende garantier, jf. GDPR kapitel V.

Konsekvensen er, at dataansvarlige proaktivt må gennemgå standardvilkår fra store techleverandører og sikre, at behandlingen kan forklares og dokumenteres. Manglende gennemsigtighed eller adgang til kontrol kan nødvendiggøre fravalg af bestemte funktioner eller hele tjenester.

Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Databehandleraftale, Gennemsigtighed, GDPR art. 32, GDPR art. 6, Datatilsynet, DPIA, Databeskyttelse, Databeskyttelsesforordningen, Dataansvarlig, GDPR art. 28, Kommunal forvaltning, Informationspligt, SaaS, Overførsel til tredjelande, EDPB, Personoplysninger, GDPR art. 5, Databehandler, Tilsynsmyndighed, Standardvilkår, Cloud computing, Dokumentationspligt, Kontrolforanstaltninger, Tilstrækkeligt beskyttelsesniveau, GDPR art. 46, GDPR art. 44, EU-ret, Rollefordeling, Underdatabehandlere, Fortegnelse art. 30, Google Workspace, Instruksbehandling, Folkeskoler, Chromebooks, Påbudsfrist

Relaterede artikler

Nylig dom markerer en skærpet praksis for brugen af miljø- og bæredygtighedsudsagn
Lund Elmer Sandager

Nylig dom markerer en skærpet praksis for brugen af miljø- og bæredygtighedsudsagn

En dom idømmer en dansk virksomhed en betydelig bøde for udokumenterede bæredygtighedspåstande. Afgørelsen skærper praksis for grøn markedsføring og anvender en omsætningsbaseret bødemodel. Samtidig implementeres EU-direktiv 2024/825 med klare forbud mod generiske miljøudsagn uden dokumentation.
Tv-overvågning af medarbejdere hos DSB Service & Retail A/S
Datatilsynet

Tv-overvågning af medarbejdere hos DSB Service & Retail A/S

Datatilsynet fastslår, at DSB Service & Retail A/S’ tv-overvågning til forebyggelse og opklaring af kriminalitet kan ske med hjemmel i GDPR art. 6, stk. 1, litra f. Adgang til optagelser kræver dog begrundet mistanke om grovere overtrædelser og fravær af mindre indgribende alternativer.
Nordic Defence & Cybersecurity Newsletter: The European Defence Industry Programme: Council Gives Final Approval
Moalem Weitemeyer

Nordic Defence & Cybersecurity Newsletter: The European Defence Industry Programme: Council Gives Final Approval

Rådet har endeligt vedtaget EDIP, som etablerer fælles EU-rammer for forsvarsanskaffelser, finansiering og forsyningssikkerhed. Skærpede krav til etablering, kontrol og leverandørkæder kombineres med høje støtteprocenter og mulighed for prioriterede ordrer under kriser.
Luxplus politianmeldt for vildledning af adskillige europæiske forbrugere
Forbrugerombudsmanden

Luxplus politianmeldt for vildledning af adskillige europæiske forbrugere

Forbrugerombudsmanden har politianmeldt Luxplus for vildledende abonnementspraksis og prisoplysninger på tværs af Danmark, Holland og Belgien. Sagen bygger på mange klager og vurderes at bryde markedsføringslovens § 5 og § 6, som kræver klar information før en transaktionsbeslutning.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Statens Serum Institut
Jurist til Afdelingen for Databeskyttelse og Informationssikkerhed på Statens Serum Institut
Statens Serum Institut
Politiets Efterretningstjeneste
Sektionsleder til Personalesikkerhed i PET
Politiets Efterretningstjeneste
Erhvervsministeriet
Juridisk sektionschef til spændfeltet mellem politik og jura
Erhvervsministeriet
Forsvaret
DPO til Hjemmeværnet
Forsvaret
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Erhvervsministeriet
Kontorchef med ansvar for tilsynet med pensionskasser
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →