Google on ilmoittanut muuttavansa tietojenkäsittelyn toimintatapojaan. Cloudpointin Google-asiantuntijamme ja Edudata.io-palvelun tietosuoja-asiantuntijamme kertovat nyt, mitä uusi muutos tarkoittaa tietosuojan ja Googlen näkökulmasta. Tämä muutos on erittäin positiivinen maksullisille Google Workspace for Education -käyttäjille sekä opetuksen järjestäjille tietosuojan silmin katsottuna.
Mitä Googlen muuttuminen palvelutietojen käsittelijäksi tarkoittaa käytännössä?
Uusi muutos tarkoittaa sitä, että Google sitoutuu käsittelemään Google Workspace for Education -palvelussa kerättävää palvelutietoa (kuten diagnostiikkadataa) tietojen käsittelijän, eikä enää rekisterinpitäjän roolissa. Tämä muutos parantaa merkittävästi oppilaitosten tietosuojaa ja vähentää käyttöön liittyviä juridisia riskejä.
Google tuo Google Workspace for Education -asiakkaiden saataville uuden Workspace for Education Service Data Addendumin (Addendum), jossa Google sitoutuu tähän uuteen käsittelijän rooliin. Aikaisemmin Google on käsitellyt näitä palvelutietoja laajemmin itsenäisenä rekisterinpitäjänä.
Uudet ehdot perustuvat Google Workspace for Educationista Euroopassa tehtyihin tietosuojan vaikutustenarviointeihin ja niissä tunnistettuihin riskeihin. Alankomaiden viranomaisten sekä Tanskan Helsingørissä tehdyissä vaikutustenarvioinneissa Googlen rooli rekisterinpitäjänä suhteessa kaikkeen Google Workspacen käytöstä syntyneeseen palvelutietoon nähtiin ongelmallisena.
Tämä uusi tietosuojaan liittyvä positiivinen muutos, Addendum, on saatavilla Google Workspace for Education Standard- ja Plus-lisenssitason asiakkaille, joita myös Cloudpoint tarjoaa luotettavana ja pitkäaikaisimpana Googlen kumppanina Suomessa. Turvalliseen ja lainsäädännön mukaiseen käyttöön liittyvät myös palvelun eri asetusten oikeat määritykset, joihin liittyen Cloudpoint tarjoaa teknistä pääkäyttäjäpalveluamme (hopea- tai kultataso) sekä ympäristön terveystarkastusta ja auditointia.
Mistä ja miten järjestelmänvalvoja hyväksyy uudet ehdot?
Addendum on saatavilla vain maksullisissa Google Workspace for Education Standard- ja Plus-tilauksissa. Asiakkailla on mahdollisuus hyväksyä uudet ehdot ja liitteet Google Workspace -hallinnassa seuraavasti:
- Siirry pääkäyttäjänä Google Admin -hallintaan.
- Valitse polku Account > Account settings > Legal & compliance.
- Ilmoita Googlelle ajantasaiset tietosuojayhteystiedot, kuten tietosuojavastaavan tiedot (Data protection officer details).
- Hyväksy uusi Workspace for Education Service Data Addendum sivun alalaidasta.
Ensimmäisessä kohdassa on Google Workspace -palvelun henkilötietojen käsittelysopimus (CDPA), joka on osa palvelun käyttöehtoja. Tästä seuraavassa osiossa organisaatio voi ilmoittaa EU:n tietosuojalainsäädännön pätevän heidän henkilötietojen käsittelyynsä. Google tarkistaa asiakkaan EU-tietosuojalainsäädännön alaisuuden asiakkuuden laskutusosoitteen mukaan, mutta Cloudpoint suosittelee sitoumuksen vahvistamista myös Google Workspace -hallinnassa.
Viimeinen kohta käyttöehdoista koskee Yhdysvaltalaisen terveydenhuollon erityisiä vaatimuksia käyttäjien terveystietojen käsittelyyn liittyen. Näitä HIPAA-ehtoja (Health Insurance Portability and Accountability Act) suomalaisen opetuksenjärjestäjän ei tarvitse hyväksyä.
Tietosuojan vaikutustenarvioinnit ja Google Workspace for Education
Workspace for Education Service Data Addendum on vapaaehtoinen opetuksenjärjestäjälle, ja vain Education Standard- sekä Plus-asiakkaat voivat sen halutessaan hyväksyä Googlen hallinnassa. Mikäli organisaatio ei hyväksy Addendumia, vanhat, voimassaolevat tietosuojaa ja tietojen käsittelyä koskevat ehdot pysyvät ennallaan.
Opetuksenjärjestäjän on tietosuojalainsäädännön sekä European Data Protection Boardin julkista sektoria koskevan määräyksen mukaisesti tehtävä laaja tietosuojan vaikutustenarviointi (DPIA) esimerkiksi Google Workspace -käytöstä opetuksessa.
Kun Google Workspace for Education -palvelun laajaa tietosuojan vaikutustenarviointia tehdään, on asiakkaan syytä huomioida mm. palveluntarjoajan keräämien diagnostiikkatietojen muodostamat riskipisteet ja niiden vaikutus palvelun jäännösriskiin. Tämän jäännösriskin pienentäminen on nyt mahdollista käyttämällä Workspacen maksullisia versioita, Standard- tai Plus-palvelua.
Lisäksi myös Alankomaiden tietosuojaviranomainen sekä Suomen tietosuojavaltuutettu ovat ottaneet kantaa näiden palvelutietojen keräämiseen liittyen sekä Googlen että Microsoftin tapauksissa, minkä seurauksena Google muutti ehtojaan ja sitoutuu jatkossa käsittelemään palvelusta kerättyä dataa suurelta osin käsittelijän roolissa.
Cloudpointin Edudata.io-palvelu tarjoaa erilaisia palveluita opetuksenjärjestäjälle tietosuojan lainmukaisen toiminnan takaamiseksi. Hallinnoi koko tietosuojaprosessia Edudata.io:lla ja huolehdi, että laajat tietosuojanarvioinnit on tehty lain mukaisesti ja kustannustehokkaasti, sekä kaikki sovellukset arvioitu läpinäkyvästi. Tutustu tarkemmin Edudata.io-tietosuojapalveluun
Heräsikö ajatus? Kirjoita kommentti!