Deense Autoriteit: school moet (pre-) DPIA uitvoeren op Google Chromebooks om verwerking in overeenstemming te brengen met AVG

De Deense gegevensbeschermingsautoriteit heeft uitspraak gedaan in de eerste van een reeks zaken over het gebruik van Google Chromebooks en G Suite for Education (nu Workspace genoemd) op basisscholen (Dossiernummer: 2020-431-0061).

In het besluit van de Deense gegevensbeschermingsautoriteit in de specifieke zaak betreffende het gebruik van Google Chromebooks in de gemeente Helsingør staat dat de wet op het openbaar onderwijs de gemeenten het recht geeft om de in het onderwijs te gebruiken IT-apparatuur en -toepassingen te kiezen.

Het is de verantwoordelijkheid van de gemeente als verantwoordelijke voor de verwerking om ervoor te zorgen dat de IT-apparatuur en -toepassingen worden gebruikt op een wijze die in overeenstemming is met de regels inzake gegevensbescherming. In het bijzonder dat de verrichte verwerkingen niet verder gaan dan het door de onderwijswet voorgeschreven doel. Als voorbeeld van een dergelijk doel noemt de gegevensbeschermingsautoriteit openbaarmaking wanneer informatie wordt gebruikt voor marketing of profilering.

In dit specifieke geval had de gemeente niet de nodige risicobeoordelingen uitgevoerd met betrekking tot de rechten van de betrokkenen.

In het besluit staat dat voor delen van de gebruikersinstellingen van Chromebooks en het gebruik van G-Suite de toegang tot de applicaties en de manier waarop zij werken, moeten worden geconfigureerd om ze rechtmatig te kunnen gebruiken.

Aangezien de gemeente dit niet had beoordeeld, beschikte zij ook niet over bewijs dat de configuratie was uitgevoerd op een wijze die in verhouding stond tot de risico's voor de betrokkenen.

De EDPS stelde vast dat het ontbreken van beoordelingen tot verschillende inbreuken op de verordening leidde.

De Deense gegevensbeschermingsautoriteit heeft de gemeente Helsingør een bevel gegeven om de verwerking van gegevens in overeenstemming te brengen met de verordening. Indien de gemeente het risico van de verwerking niet kan beperken, is een beperking opgelegd, waardoor de gemeente de gegevens na een bepaalde periode niet meer mag verwerken.

Bovendien had de toezichthouder ernstige kritiek op de door de gemeente uitgevoerde verwerkingen. De toezichthouder waarschuwde de gemeente Helsingør ook dat het gebruik van extra producten bij de G-Suite niet rechtmatig kon worden verwerkt zonder een effectbeoordeling (DPIA) waarin de risico's van de verwerking werden teruggebracht tot minder dan een hoog risico voor de rechten en vrijheden van de betrokkenen.

Besluit
De gegevensbeschermingsautoriteit komt hierbij terug op de zaak waarbij de gemeente Helsingør de gegevensbeschermingsautoriteit op 29 januari 2020 in kennis heeft gesteld van een inbreuk in verband met persoonsgegevens.

Omdat andere voor de verwerking verantwoordelijken verschillende, vrij gelijkaardige inbreuken hebben gepleegd, zijn delen van de zaak in deze zaken samen en parallel onderzocht.

Na onderzoek van de zaak is de gegevensbeschermingsautoriteit van oordeel dat er redenen zijn om de gemeente Helsingør een bevel te geven om de verwerking van Chromebooks in overeenstemming te brengen met de verordening, overeenkomstig artikel 58, lid 2, onder d), van de GDPR. In de risico-evaluatie wordt gedeeltelijk ingegaan op de noodzakelijke opties voor de configuratie van het product en op de vragen over de reikwijdte van de home rule die de wet op de openbare scholen biedt in verband met het door de leerlingen vereiste gebruik. Indien het risico voor de betrokkenen en hun vrijheden groot wordt geacht, omvat het rechterlijk bevel tevens de opstelling van een effectbeoordeling.

De toezichthoudende autoriteit voor gegevensbescherming waarschuwt de gemeente Helsingør dat het gebruik van de aanvullende programma's van G-Suite zonder een gegevensbeschermingseffectbeoordeling (DPIA) in strijd is met de GDPR, tenzij uit de nu gelaste beoordeling blijkt dat het risico voor de rechten en vrijheden van betrokkenen niet groot is. De waarschuwing wordt gegeven op grond van artikel 58, lid 2, onder a), van de verordening gegevensbescherming.

Indien uit de risicobeoordelingen van de gemeente Helsingør blijkt dat er een hoog risico voor de rechten en vrijheden van betrokkenen bestaat, en indien deze risico's niet vóór het verstrijken van de termijn voor het uitvaardigen van het rechterlijk bevel op 1 november 2021 tot een lager niveau dan hoog zijn teruggebracht, stelt de Toezichthouder voor gegevensbescherming de gemeente Helsingør hierbij in kennis van een tijdelijke beperking van de verwerkingen, zodat verwerkingen die een hoog risico voor de rechten en vrijheden van betrokkenen inhouden, na die datum niet meer mogen worden uitgevoerd totdat het risico tot een lager niveau dan hoog is teruggebracht. De beperking van de verwerking wordt aangemeld overeenkomstig artikel 58, lid 2, onder f), van de verordening gegevensbescherming.

Niet-naleving van een bevel of een tijdelijke beperking wordt, tenzij een zwaardere straf gerechtvaardigd is, bestraft met een boete of met een gevangenisstraf van maximaal zes maanden, overeenkomstig artikel 41, lid 2, punt 4, van de Wet gegevensbescherming.

Klik hier voor meer informatie (in het Deens)

Voor iedereen die geïnteresseerd is in het gebruik van technologie op scholen, is dit deel van het arrest misschien interessant (GDPRhub):

"De Deense gegevensbeschermingsautoriteit is van mening dat het gebruik van nieuwe complexe technologie, waaronder software, met name op het gebied van onderwijs waar de betrokkenen kinderen en jongeren zijn, zich in het algemeen bevindt op het gebied waar de toezichthoudende autoriteit van mening is dat het gewoonlijk een hoog risico voor de rechten en vrijheden van deze leerlingen inhoudt. In het specifieke geval waarin de keuze voor Chromebooks en de technologieën die worden gebruikt om het systeem te ondersteunen, algemeen bekend is dat een deel van het bedrijfsmodel voor andere delen van de producten van Google bestaat uit het verzamelen van informatie, gerichte marketing en de verkoop van die informatie, zullen die factoren moeten worden meegenomen in de beoordeling van de betrokken risico's." (4.4)

Vertaald met www.DeepL.com/Translator (gratis versie)

 

Naar het overzicht