Google som databehandler
Etter forordningen har den behandlingsansvarlige plikt til kun å benytte databehandlere som gir tilstrekkelige garantier for at behandlingen skjer i henhold til forordningen. Kravene til bruk av databehandler, og krav til databehandleravtale, står i personvernforordningen artikkel 28.
Les vår generelle veiledning om hvordan man kan lage en databehandleravtale
Det er flere forhold som gjør Google til en utfordrende databehandler å forholde seg til. Google informerer om GSFE på en rekke nettsider. Disse inkluderer også avtalen som kommunene må akseptere for å benytte GSFE. Noe av informasjonen finnes på norsk og engelsk, mens noe kun er tilgjengelig på engelsk.
Det er vanskelig å få full oversikt over alle elementene som avtalen med Google omfatter. De henviser til andre nettsider innad i avtalen, som igjen henviser videre til andre nettsider. Google er også i ferd med å endre navn på tjenesten til Workspace. Per i dag er det derfor enda vanskeligere å få oversikt, ettersom «G Suite» og «Workspace» brukes om hverandre på de forskjellige nettsidene.
Her er noen av de relevante nettsidene og avtalene vi har funnet gjennom våre undersøkelser (listen er ikke uttømmende):
- G Suite for Education - hovedside (edu.google.com)
- Senter for personvern og sikkerhet (edu.google.com)
- Avtale for Google Workspace for utdanning på nettet (workspace.google.com)
- Data Processing Amendment to Google Workspace and/or Complementary Product Agreement (workspace.google.com)
- Google Workspace Service Specific Terms (workspace.google.com)
- Additional Product Terms (workspace.google.com)
- Google Cloud and Workspace Privacy Polic (cloud.google.com)
- G Suite for Education Privacy Notic (workspace.google.no)
- Services Summary (workspace.google.com)
- Google Cloud Terms (cloud.google.com)
- Google Cloud Platform Subprocessors (cloud.google.com)
- Retningslinjer for akseptabel bruk av Google Workspace (workspace.google.com)
- Google Meet Providers (workspace.google.com)
Kommunene må ha full oversikt over avtaleverket som er gjeldende for deres bruk av GSFE. Det vil si at de også må gå gjennom alle henvisningene i informasjonen fra Google, og vurdere hvilke deler som omfattes av kommunenes bruk. Denne oversikten må de ha før de signerer avtalen, og før behandlingen starter. Kommunene må også ha oversikt over alle underdatabehandlere som Google benytter, hvilke behandlinger som gjøres av de ulike underdatabehandlerne og til hvilke formål.
Ifølge Google er det kun gjennom inklusjon i deres Data Processing Amendment at de (og deres kunder) kan etterleve kravene i personvernforordningen (slik Google tolker dem). Dette er et tillegg til vilkårene som er valgfritt for Google sine kunder å aktivere (support.google). Slik vi forstår Google, må kommunene som tar i bruk GSFE manuelt aktivere dette gjennom administrasjonsgrensesnittet for at det skal være en del av tillegget.
Forordningen stiller krav til at databehandlere skal muliggjøre revisjoner som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige. Muligheten til revisjon inngår i Data Processing Amendment punkt 7.5. Kommunene må vurdere om en slik revisjon skal gjennomføres og eventuelt hvordan de kan gjøre det. Et alternativ er at flere kommuner samarbeider. Alternativt kan kommunene engasjere en uavhengig tredjepart.