Vuonna 2021 Alankomaissa nousi laaja huoli henkilötietojen suojasta opetuksen Chromebook-laitteita käytettäessä. Vastatakseen näihin huoliin ja tietosuoja-asetuksen (GDPR) vaatimuksiin Google kehitti tietosuojaa vahvistavan ominaisuuden: ChromeOS:n datankäsittelijätilan (Data Processor Mode, DPM). Datankäsittelijätilaan kuuluvat uudet käsittelijäehdot, jotka selkeyttävät Chromebook-laitteiden toteuttamaa henkilötietojen käsittelyä. Nämä ehdot ovat saatavilla nyt myös Suomessa, mutta niiden tuomat muutokset on syytä huomioida tietosuojan vaikutustenarvioinissa.

Datankäsittelijätilan käyttöönotto ja vaikutukset

Aikaisemmin opetuksen järjestäjällä ei ole ollut mahdollisuutta rajoittaa Googlen roolia rekisterinpitäjänä Chromebook-laitteiden tietojenkäsittelyssä, mutta uusi datankäsittelijätila tuo tähän muutoksen mm. uuden palvelujaottelun avulla. Jatkossa Chromebook-laitteiden ominaisuudet erotellaan selkeästi kahdeksi kokonaisuudeksi – peruspalvelut (Essential Sevices) ja lisäpalvelut (Optional Services).

Uuteen palvelujaotteluun sovelletaan datankäsittelijätilaa koskevaa sopimusta (ChromeOS Data Processor Mode Agreement, DPMA). Sopimuksen mukaan Google sitoutuu toimimaan vain henkilötietojen käsittelijänä peruspalveluiden eli Essential Services osalta. Uusien asetusmääritysten avulla pääkäyttäjä voi myös poistaa käytöstä kaikki lisäpalvelut eli Optional Services, joiden henkilötietojen käsittelyssä Google toimii edelleen rekisterinpitäjänä. Jotta sopimuksen (DPMA) ehtoja voidaan soveltaa tietosuojan parantamiseksi, on datankäsittelijätila välttämätön opetuksen käytössä olevilla Chromebook-laitteilla.

Pst! Datankäsittelijätilan käyttöönotto vaatii, että Chromebook-laitteet on liitetty opetuksen Google-ympäristön keskitettyyn hallintaan CEU-lisensseillä (Chrome Education Upgrade, nk. “hallintalisenssi”). Voit tilata hallintalisenssit ja Zero-touch käyttöönoton esimerkiksi meiltä! Lue lisää

Datankäsittelijätilan vaikutus opetuksen tietosuojaan

Googlen panostukset Chromebook-laitteiden tietojenkäsittelyn läpinäkyvyyteen ovat merkittävä edistysaskel opetuksen tietosuojassa. Vaikkakin datankäsittelijätilan vaikutukset opetuksen tietosuojaan ovat pääosin positiiviset, vaatii tämä käsittelymuutos kuitenkin huolellisuutta opetuksen järjestäjältä. Rekisterinpitäjänä on opetuksen järjestäjän ennen käsittelyn muutosta arvioitava suunniteltujen käsittelytoimien vaikutuksia oppijoiden henkilötietojen suojalle (tietosuojan vaikutustenarviointi, DPIA).

Sekä opetuksen Google-tunnuksia että opetuksen Chromebook-laitteita hallinnoidaan Google Workspace for Education -palvelussa. Opetuksen Chromebook-laitteiden tietosuojan vaikutustenarviointia ei siis voida toteuttaa erillisesti, vaan Google Workspace for Education -palvelun tietosuojan vaikutustenarviointi tarvitsee päivityksen. Mikäli tietosuojan vaikutuksenarviointia ei ole vielä tehty ja opetuksessa käytetään sekä Google-palveluita että Chromebook-laitteita, on näiden tietosuojan vaikutustenarviointi suositeltavaa toteuttaa yhdessä.

Tietosuojan vaikutustenarviointi on vaativa työ

Chromebook-laitteiden käsittelymuutos korostaa tietosuojan jatkuvista muutoksista aiheutuvia haasteita: DPIA ei ole kertaluonteinen toimenpide, vaan se on jatkuva prosessi. Tietosuojan vaikutustenarvioiniti vaatii säännöllistä ylläpitoa, jotta siinä voidaan ottaa huomioon henkilötietojen käsittelyn ja tietosuojariskien muutokset. Jopa tietosuojan parantamiseksi suunnitellut muutokset täytyy sisällyttää ja päivittää tietosuojan vaikutustenarviointiin, sillä ne voivat tuoda mukanaan uusia riskejä, jotka on tiedostettava ja joihin on puututtava. Nämä voivat edellyttää teknisiä tai organisaatiokohtaisia toimenpiteitä.

Tietosuojan vaikutustenarvioinnin tekemisen vaativuutta ei suosi vähätellä. Tekemisen taustalla kiteytyy erityisesti organisaation yksilölliset tarpeet ja vastuu omien riskien tiedostamisesta. Lisäksi juridinen osaaminen sekä teknisten ominaisuuksien hallinnan ja muutosten ymmärtäminen vaativat merkittävästi resursseja opetuksen järjestäjiltä.

Kumppanimme, Suomen johtava opetuksen tietosuojapalvelu Edudata.io huolehtii, että asiakkaat ovat aina ajan tasalla heidän tietosuojaa koskevista muutoksista. CIPP/E-sertifioidut tietosuojajuristit ovat tietoisia myös uusimmasta Chromebook-laitteiden uudistuksen vaikutuksesta, ja DPIA-palvelun tilaajille kerrotaan DPIA-dokumentin muutostarpeesta jo tulevalla viikolla. Autamme myös mielellämme asiakkaita, jotka ovat toteuttaneet tietosuojan vaikutustenarvioinnin kertatyönä – olettehan yhteydessä niin katsotaan, miten voimme auttaa!

Heräsikö ajatus? Kirjoita kommentti!

Sinua saattavat kiinnostaa myös nämä postaukset: