Is Google Workspace illegaal in Denemarken?

Na beoordeling van de risicobeoordeling van de gemeente Helsingør en de documentatie van de gemeente in het algemeen, is de Gegevensbeschermingsautoriteit van mening dat er redenen zijn om de gemeente Helsingør een verbod op te leggen voor de verwerking van persoonsgegevens met behulp van Google Chromebooks en Workspace for Education. Het verbod geldt totdat de gemeente Helsingør de verwerkingsactiviteit in overeenstemming heeft gebracht met de GDPR, zoals uiteengezet in dit besluit, en daartoe adequate documentatie heeft overgelegd.

Bovendien wordt elke doorgifte van persoonsgegevens naar de Verenigde Staten die de gemeente Helsingør aan Google Cloud EMEA Limited heeft opgedragen als gegevensverwerker voor de gemeente, opgeschort totdat de gemeente Helsingør kan aantonen dat zij voldoet aan hoofdstuk V van de GDPR.

Het verbod en de opschorting worden onmiddellijk van kracht, maar de gemeente Helsingør krijgt tot 3 augustus 2022 de tijd om gebruikers en rechten in te trekken en te deactiveren, en reeds overgedragen gegevens te wissen.

De verboden worden uitgevaardigd krachtens artikel 58, lid 2, onder f) en j), van de gegevensbeschermingsverordening.

Inbreuken op een door de gegevensbeschermingsautoriteit uitgevaardigd verbod worden krachtens artikel 41, lid 2, punt 4, van de gegevensbeschermingswet bestraft met een geldboete of met een gevangenisstraf van ten hoogste zes maanden (zie artikel 41, lid 1).

Ten slotte vindt de Toezichthouder voor gegevensbescherming gronden voor ernstige kritiek op het feit dat de verwerking van persoonsgegevens door de gemeente Helsingør niet is geschied in overeenstemming met artikel 5, lid 2, van de gegevensbeschermingsverordening, zie artikel 5, lid 1, onder a), artikel 24, zie artikel 28, lid 1, artikel 35, lid 1, en artikel 44, zie artikel 46, lid 1.

Op 11 december 2019 heeft een burger bij het College bescherming persoonsgegevens een klacht ingediend over de verwerking van persoonsgegevens door de gemeente Helsingør.

Bij brief van 6 januari 2020 heeft de gemeente Helsingør bevestigd dat een ouder in 2019 bij de gemeente had geklaagd dat zijn kind - zonder zijn medeweten - een YouTube-account had gekregen, waardoor de naam van het kind op YouTube kon worden gepubliceerd.

De gemeente Helsingør verklaarde verder dat zij het onwaarschijnlijk achtte dat het incident had geleid tot een risico voor de rechten en vrijheden van betrokkenen en daarom geen aanleiding had gegeven tot een melding van een inbreuk in verband met persoonsgegevens aan de gegevensbeschermingsautoriteit, overeenkomstig artikel 33, lid 1, van de GDPR.

Op 29 januari 2020 meldde de gemeente Helsingør het incident bij de DPA als een inbreuk in verband met persoonsgegevens. Tegelijkertijd heeft een aantal andere gemeenten soortgelijke meldingen gedaan, zodat de gegevensbeschermingsautoriteit de zaken gezamenlijk heeft behandeld en bij brief van 11 maart 2020 de betrokken gemeenten om advies heeft gevraagd.

Op 10 september 2021 heeft de toezichthoudende autoriteit voor gegevensbescherming een besluit genomen over de betrokken inbreuk op persoonsgegevens die door de gemeente Helsingør aan de toezichthoudende autoriteit is gemeld. Het besluit van de gegevensbeschermingsautoriteit van 10 september 2021 is hierboven in punt 1 weergegeven en in zijn geheel bijgevoegd.

In reactie op het besluit van 10 september 2021 heeft de gemeente Helsingør bij brief van 10 november 2021 haar risicobeoordeling met betrekking tot het gebruik van Google Chromebooks en G-Suite for Education overgelegd, alsmede aanvullende documentatie om de rechtmatigheid van de verwerkingsactiviteit aan te tonen. Daarnaast heeft de gemeente op 9 december 2021 nadere informatie over de zaak verstrekt in antwoord op het verzoek van de EDPS van 2 december 2021.

Op 10 november 2021 heeft de gemeente Helsingør de risicobeoordeling van de gemeente voor het gebruik van Google Chromebooks en G-Suite for Education (Google Workspace for Education) ingediend.

Tegelijkertijd heeft de gemeente Helsingør de gegevensbeschermingsautoriteit meegedeeld dat de gemeente geen gebruik maakt van de aanvullende diensten van Google Workspace en daarom heeft beoordeeld dat de gemeente niet verplicht is een gegevensbeschermingseffectbeoordeling op te stellen.

Onder de door de gemeente Helsingør vastgestelde risico's bij het gebruik van Google Chromebooks komt in de risicobeoordeling het risico van "gebruik van gegevens voor onbedoelde doeleinden" voor. Het risico wordt als volgt omschreven:

"Er bestaat een risico dat Google of andere derden persoonsgegevens van docenten en leerlingen gebruiken voor marketing of andere doeleinden waarvoor de gemeente Helsingør, als verantwoordelijke voor de verwerking, niet wil dat persoonsgegevens worden verwerkt. Met name contactgegevens, IP-adres en digitale sporen (algemene informatie) zijn in dit verband relevant. Er zij op gewezen dat voor persoonsgegevens betreffende leerlingen speciale bescherming geldt krachtens de regels inzake gegevensbescherming en dat de toegang tot en de verwerking van persoonsgegevens betreffende leerlingen derhalve een extra element vormt met betrekking tot de risicobeoordeling."

Over de kans dat dit risico zich voordoet wordt het volgende gesteld:

"De gemeente gebruikt het product Google Workspace for Education Standard, waarbij de gemeente door de gegevensverwerkersovereenkomst wordt gegarandeerd dat gegevens niet voor andere doeleinden, waaronder marketing, worden gebruikt, mits de gemeente alleen Core Services gebruikt.

Er wordt verwezen naar de gegevensverwerkingsovereenkomst en de correspondentie van de gemeente Helsingør met Google, waarin Google heeft verklaard dat "informatie als onderdeel van het gebruik van Chromebooks en Google Workspace for Education Standard door Google niet kan worden gebruikt voor marketingdoeleinden ten aanzien van een leerling of leerlingen in een klas". "Er worden geen advertenties getoond in de kerndiensten van Google Workspace for Education. Ook wordt geen van de persoonlijke informatie die in de kernservices wordt verzameld, gebruikt voor advertentiedoeleinden ii) De gebruikersnaam van studenten, ook in verband met het aangemaakte Google Workspace for Education-account, is alleen toegankelijk voor Google als gegevensverwerker, en het gebruik van Chromebooks en Google Workspace for Education - bijvoorbeeld het bekijken van YouTube-video's - leidt niet tot de publicatie van de gebruikersnaam". "De beheerder van de school kan leerlingen toegang geven tot Google-services, zoals YouTube, die functies hebben waarmee gebruikers informatie met anderen of openbaar kunnen delen. Als je bijvoorbeeld een recensie achterlaat in Google Play, verschijnen je naam en foto naast je activiteit. En als u een foto deelt met een vriend die er vervolgens een kopie van maakt of de foto opnieuw deelt, kan die foto blijven verschijnen in het Google-account van uw vriend, zelfs nadat u deze uit uw Google-account hebt verwijderd. Vergeet niet dat wanneer u informatie openbaar deelt, uw inhoud toegankelijk kan worden via zoekmachines, waaronder Google Search. Voor meer informatie over hoe Workspace for Education-gegevens worden gedeeld, raadpleegt u de Workspace for Education Privacy Notice."

Kernservices (14 services: Classroom, Drive/Docs, G-mail, Chat, Chrome Sync, Groups, Meet, Vault, Playlist, Jamboard, Calendar, Keep (stickynotes), Tasks, Sites).

Voor aanvullende diensten van Google gelden andere voorwaarden in de bewerkersovereenkomst, waardoor de gemeente Google niet kan instrueren hoe persoonsgegevens gebruikt mogen worden. Daarom heeft de gemeente het gebruik van Aanvullende diensten uitgeschakeld.

Conclusie

Op basis van de hierboven uitgevoerde maatregelen schat de gemeente Elsinore de kans dat het risico werkelijkheid wordt laag in. Het kan echter niet volledig worden uitgesloten dat Google de contractuele verplichtingen schendt en niettemin persoonsgegevens gebruikt voor marketing of andere onbedoelde doeleinden waarvoor de gemeente Helsingør geen instructies heeft gegeven overeenkomstig de gegevensverwerkingsovereenkomst."

Een extra risico dat de gemeente Helsingør bij het gebruik van Google Chromebooks en Workspace for Education in de risicobeoordeling heeft vastgesteld, is het risico van doorgifte aan derde landen.

Het risico wordt als volgt beschreven:

"Er bestaat een risico dat persoonsgegevens van leerlingen en leerkrachten (in beginsel algemene persoonsgegevens, maar het kan niet worden uitgesloten dat ook gevoelige persoonsgegevens worden opgenomen) worden doorgegeven aan onveilige derde landen zonder een passende grondslag voor de doorgifte en zonder te waarborgen dat het betrokken derde land gelijkwaardige rechten inzake gegevensbescherming waarborgt als in andere EU-landen."

Over de kans dat dit risico zich voordoet wordt het volgende gezegd:

"De gemeente Helsingør heeft als verantwoordelijke voor de verwerking van persoonsgegevens van leerlingen de volgende relevante mitigerende maatregelen genomen om de kans dat het beschreven risico werkelijkheid wordt te verkleinen.

De standaardvoorwaarden van de EU-Commissie zijn afgesloten (overdrachtsbasis), aangezien er een risico bestaat op toegang vanuit de VS via ondersteuning. Als aanvullende basis (aanvullende maatregelen) is een afzonderlijke overdrachtseffectbeoordeling (TIA) opgesteld overeenkomstig de eisen van de gegevensbeschermingsautoriteit en de EDPB. Er wordt verwezen naar de opgestelde TIA.

Voorts zij opgemerkt dat de gemeente Helsingør heeft gekozen voor een oplossing waarbij, als duidelijk uitgangspunt, de gegevens zich uitsluitend binnen de EU in de betrokken datacentra bevinden. Alleen het risico van ondersteunende toegang vanuit een onveilig derde land kan dus leiden tot toegang vanuit een onveilig derde land:

"Instellingen in Gegevensregio's in Google Workspace for Education Standard zorgen ervoor dat het datacenter zich binnen de EU bevindt - en daarnaast: zal er online toegang zijn vanuit landen buiten de EU, bijvoorbeeld in verband met ondersteuning."

Conclusie

Op basis van de hierboven genomen maatregelen acht de gemeente Elsinore de kans klein dat het risico werkelijkheid wordt."

Voorts heeft de gemeente Helsingør haar bewijs van naleving van hoofdstuk V van de gegevensbeschermingsverordening bij het gebruik van Google Workspace for Education overgelegd in de vorm van de "Transfer Impact Assessment" (hierna: "TIA") van de gemeente.

Hieruit blijkt dat de gemeente Helsingør Google Cloud EMEA Limited gebruikt als gegevensverwerker met betrekking tot haar gebruik van Google Chromebooks en Workspace for Education. De gemeente heeft er met name via instellingen in Google Workspace for Education voor gezorgd dat persoonsgegevens alleen worden opgeslagen in datacentra die zich binnen de EU/EER bevinden.

Het blijkt echter dat - niettegenstaande bovengenoemde instelling - persoonsgegevens kunnen worden doorgegeven aan Google LLC in de Verenigde Staten in het kader van toegang op afstand voor ondersteuningsdoeleinden. De doorgifte vindt plaats op basis van het standaardcontract van de Commissie van de EU.

Tot slot staat in punt 1.8 over de context en het doel van de doorgifte van persoonsgegevens het volgende:

"Als onderdeel van de cloudoplossing van Google maakt Helsingør Kommune gebruik van:

Google Chromebooks en G Suite for Education (nu Workspace geheten), dat door Helsingør Kommune wordt gebruikt voor het onderwijs aan leerlingen in het kader van de publiekrechtelijke verplichting van Helsingør Kommune als lokale, openbare autoriteit om onderwijs te verstrekken. Helsingør Kommune is van mening dat deze verplichting het best kan worden vervuld met Google als leverancier van de bovengenoemde diensten en Datatilsynet heeft dit uitgangspunt aanvaard overeenkomstig het geldende recht in de Folkeskoleloven.

Opdat Helsingør Kommune de genoemde door Google aangeboden diensten en producten kan gebruiken, is het een vereiste dat Helsingør Kommune de persoonsgegevens met betrekking tot de in de punten 1.9-1.10 genoemde betrokkenen overdraagt aan de Google-cloud. Het doel van de overdracht is dus om de persoonsgegevens op te slaan in de datacentra (cloud), te zorgen voor een hoge beveiliging van de persoonsgegevens en voor beheer/ondersteuning door Google".

In de TIA heeft de gemeente Helsingør - voor zover de EDPS begrijpt - beoordeeld of de grondslag voor de doorgifte naar de VS in de vorm van het standaardcontract effectief is in het licht van de omstandigheden van de doorgifte, met inbegrip van de beoordeling of er wetten en/of praktijken in de VS zijn die de effectiviteit van het gesloten standaardcontract beïnvloeden.

Punt 2.4 van de TIA luidt dan ook als volgt:

"Hoeveel jaar zal het, op basis van statistieken en andere argumenten van de gegevensimporteur/gegevensontvanger, naast de beoordelingsperiode duren voordat de kans op toegang door een overheidsinstantie (die in het derde land rechtmatig is) nog slechts 50:50 is?

Op basis van de volgende statistieken en argumenten is de Helsingør Kommunes van oordeel dat zelfs indien de beoordelingsperiode van 5 jaar met 50 jaar wordt verlengd, de kans op toegang door een Amerikaanse overheidsinstantie (die in de VS rechtmatig is) die in strijd is met het EU-recht, zoals bepaald in het Schrems II-arrest, nog steeds slechts 50 % bedraagt en dat het risico op rechtmatige toegang binnen de beoordelingsperiode van 5 jaar dus eerder theoretisch dan praktisch van aard is:

Google GCP/G-Suite-toegangsverzoeken / openbaar gemaakt Denemarken 2019-2020: 0 / 0

Google Workspace Toegangsverzoeken / bekendgemaakt Denemarken 2019-2020: 1 / 0

Google Global Diplomatic Legal verzoeken: 1

Google Global User data requests / percentage disclosed Denemarken 2019-2020:

30 juni 2019 Noodtoestand 2 / 50%. Andere juridische 29 / 52%. Behoud 8 / 45%. 31 december 2019 Noodgeval 3 / 0%. Andere juridische 48 / 38%. Instandhouding 12 / 41%.

30 juni 2020 Noodgeval 5 / 100%.

Andere wettelijke 80 / 58%. Behoud 34 / 63%. 31 december 2020 Noodtoestand 1 / 100%. Andere wettelijke 87 / 75%. Behoud 32 / 41%

Google National Security Letter verzoeken (NSL) en vrijgegeven 2019/2020 totaal aantal alle landen: 21

Conclusie

Op basis van deze juridische benadering en deze statistieken is het duidelijk dat:

De TIA stelt verder in para. 3.4 dat de persoonsgegevens die aan Google LLC in de VS worden doorgegeven, in duidelijke tekst beschikbaar zullen zijn voor Google LLC:

"Zijn de betrokken persoonsgegevens in het beoogde rechtsgebied in niet-versleutelde tekst toegankelijk voor de gegevensimporteur/ontvanger of een derde (d.w.z. de gegevens zijn niet naar behoren versleuteld of er is toegang tot de sleutels om ze te ontsleutelen)?

De persoonsgegevens van Helsingør Kommune zijn altijd versleuteld wanneer ze in rust zijn, aangezien Google verschillende versleutelingslagen gebruikt om de gegevens van klanten in rust in Google Cloud-producten te beschermen, met behulp van een of meer versleutelingsmechanismen. Gegevens voor opslag worden opgesplitst in chunks, en elke chunk wordt versleuteld met een unieke data-encryptiesleutel. Deze gegevenscoderingssleutels worden samen met de gegevens opgeslagen, versleuteld met ("ingepakt" door) sleutelcoderingssleutels die uitsluitend worden opgeslagen en gebruikt binnen de centrale sleutelbeheerservice van Google. Google's Sleutelbeheerservice is redundant en wereldwijd gedistribueerd.

Alle in Google Cloud opgeslagen gegevens worden op opslagniveau versleuteld met AES256. In dit verband gebruikt Google een gemeenschappelijke cryptografische bibliotheek, Tink, waarin de FIPS 140-2-gevalideerde module, BoringCrypto, is opgenomen om encryptie consistent in bijna alle Google Cloud-producten te implementeren. Consistent gebruik van een gemeenschappelijke bibliotheek betekent dat slechts een klein team van cryptografen deze streng gecontroleerde en herziene code hoeft te implementeren en te onderhouden.

Deze versleuteling voorkomt echter niet dat Google-personeel toegang heeft tot de persoonlijke gegevens van Helsingør Kommune, omdat Google de sleutel heeft om gegevens te ontsleutelen. Google LLC in de VS is daarentegen niet in het bezit van de ontcijferingssleutel. Dit betekent dat Google in de VS of andere Google-entiteiten buiten de EU/EER of derden geen toegang hebben tot de persoonsgegevens van Helsingør Kommune zonder toestemming van de toepasselijke, in de EU gevestigde Google-entiteit (Google Ireland).

Hoewel encryptie - en pseudonimisering, die ook door Google wordt gebruikt - niet garandeert dat Helsingør Kommune volledige controle heeft over de toegang tot persoonsgegevens in het EU-datacentrum, dient het als een verzachtende omstandigheid om te voldoen aan regelgevings- of nalevingsverplichtingen, d.w.z. in overeenstemming met de richtsnoeren van de EDPB."

Voorts stelt de TIA in punt. 3.5 met betrekking tot de vastgestelde overdrachtsbasis het volgende:

"Zoals hierboven in punt 1.7 is vermeld, volgt uit het op 24 september 2021 gewijzigde gegevensverwerkingsamendement van Google op Google Workspace en/of de aanvullende productovereenkomst dat de SCC 2021 de rechtsgrondslag is voor doorgiften (inclusief online toegang als onderdeel van online ondersteuning) naar landen buiten de EU/EER zonder adequaatheidsbesluit. In dit verband is Google als verwerker contractueel verplicht te voldoen aan de verplichtingen die krachtens de Europese wetgeving inzake gegevensbescherming op haar rusten met betrekking tot de verwerking van de persoonsgegevens van Helsingør Kommune.

Helsingør Kommune heeft geen reden om aan te nemen dat een Google-entiteit de SCC niet zal naleven.

Voorts zal Helsingør Kommune evalueren, en er voortdurend op toezien, dat Google de SCC 2021 naleeft door bijvoorbeeld auditverslagen en standaardcertificaten die beschikbaar worden gesteld, te bekijken. Helsingør Kommune heeft ook het recht om een speciale audit door een derde partij uit te voeren indien dit noodzakelijk wordt geacht, cf. de DPA".

Ten slotte stelt de TIA in punt 4.1.1. 4.1.1 met betrekking tot wetgeving en/of praktijk in de Verenigde Staten die de doeltreffendheid van het gesloten standaardcontract beïnvloeden:

"De gegevensimporteur/ontvanger is niet onderworpen aan een hoger belang van een buitenlandse overheidsinstantie om toegang te vragen tot de persoonsgegevens (d.w.z. de gegevensimporteur of potentiële ontvanger is niet onderworpen aan nationale wetgeving die massasurveillance vergemakkelijkt)

Sectie 702 FISA

De Amerikaanse entiteit Google LLC kan in de praktijk worden beschouwd als de moedermaatschappij voor de EU-entiteiten die de diensten aan Helsingør Kommune verlenen. Google LLC. kan voor haar klanten in de VS worden aangemerkt als aanbieder van elektronische communicatiediensten in de zin van sectie 702 FISA, zoals de term ruim wordt opgevat: "elke andere aanbieder van communicatiediensten die toegang heeft tot draad- of elektronische communicatie, hetzij bij de transmissie, hetzij bij de opslag ervan".

Het is echter zeer waarschijnlijk dat de gegevens waartoe Google LLC toegang heeft, per se zijn uitgesloten van toegang op grond van sectie 702 FISA, omdat het gegevens betreft die niet door haar maar aan haar worden verzonden met het oog op het verlenen van een ondersteunende dienst. Het is dus een communicatie gericht op een "U.S. person" waarvoor de inlichtingenopzoekingen verboden zijn (zie Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", 21 december 2020, beschikbaar op https://bit.ly/3qHNMy7 en een volledige paper van dezelfde auteur op https://bit.ly/2V9veez met het vervolgbericht "Transferring EU Data To US After New Contractual Safeguards" van 17 mei 2021, beschikbaar op https://bit.ly/3l12oHZ). Bovendien omvatten de persoonsgegevens van Helsingør Kommune geen persoonsgegevens over "Amerikaanse personen" en hebben de Amerikaanse autoriteiten ook om die reden geen toegang tot gegevens op grond van sectie 702 van de FISA.

Daarom is het waarschijnlijk dat de persoonsgegevens van Helsingør Kommune in de EU-datacentra niet onder afdeling 702 FISA vallen.

Wij begrijpen dat dit argument wellicht niet door iedereen wordt gedeeld en dat er niettemin verzoeken met betrekking tot Google kunnen worden gedaan; daarom schatten wij de waarschijnlijkheid van dit argument voor alle zekerheid zeer conservatief in.

EO 12.333

Executive Order 12.333 (EO 12.333) machtigt Amerikaanse inlichtingendiensten om buitenlandse "signals intelligence"-informatie te verzamelen, dat wil zeggen informatie verzameld uit communicatie en andere gegevens die via radio, draad en andere elektromagnetische middelen worden doorgegeven of toegankelijk zijn (d.w.z. alle gegevens van telecom- en IT-infrastructuur). EO 12.333 staat dus "toezicht tijdens het vervoer" toe, zoals de toegang tot gegevens die niet naar behoren zijn versleuteld terwijl zij over trans-Atlantische kabels lopen. Zoals beschreven in punt 3.3. zullen alle persoonsgegevens met de vereiste en krachtige encryptie worden doorgegeven tijdens de doorreis. Wij zijn derhalve van oordeel dat EO 12.333 dankzij de vereiste technische meting door middel van encryptie geen hoger risico voor massasurveillance door de Amerikaanse autoriteiten inhoudt."

Hieronder blijkt dat de gemeente Helsingør de kans dat de bovenstaande beoordeling juist is op 40% heeft geschat.

Op basis van de brief van de gemeente Helsingør van 10 november 2021 met bijlagen heeft het College bescherming persoonsgegevens op 2 december 2021 de gemeente om nadere informatie verzocht. Het College bescherming persoonsgegevens stelde dat eventuele doorgifte van persoonsgegevens aan de Verenigde Staten in het kader van ondersteuning - naar het oordeel van het College bescherming persoonsgegevens - opzettelijk was, hoewel de gemeente dit als een risico van ondersteuning vanuit de Verenigde Staten heeft beoordeeld.

Het College bescherming persoonsgegevens heeft onder meer verzocht om een kopie van de doorgiftegrondslag van de gemeente, eventuele wijzigingen in de instructie- en gegevensverwerkingsovereenkomst met Google en een overzicht van eventuele aanvullende maatregelen die de gemeente noodzakelijk achtte.

Bij brief van 9 december 2021 heeft de gemeente Helsingør - ter verduidelijking van bovengenoemd risico - het volgende verklaard:

"De mogelijke overdracht aan Google - en het bijbehorende risico - is gerelateerd aan de opzet van Google. D.w.z. zelfs als de gemeente voor een EU-cloud heeft gekozen, heeft Google in de gegevensverwerkingsovereenkomst het recht veiliggesteld om mogelijk ondersteuning van derde landen te krijgen. Dit is ook de reden waarom Google onder de nieuwe AVG (vanaf juni 2021) een doorgiftebasis heeft vastgesteld, die de gemeente gebruikt bij haar risicobeoordeling.

Met betrekking tot het risico van ondersteuning in het bijzonder kan in het algemeen rekening worden gehouden met de volgende feiten: in zeer specifieke ondersteuningssituaties vanuit een onveilig derde land zal er een zeer beperkt venster zijn waarin de ondersteuner mogelijk toegang heeft tot persoonsgegevens in duidelijke tekst. Het is zeer onwaarschijnlijk dat de ondersteuner in dat beperkte venster door de overheid [van het onveilige derde land] zou worden verplicht de persoonsgegevens te verstrekken.

De gemeente merkt verder op dat in de opgestelde TIA staat dat de gemeente heeft beoordeeld dat het gebruik van Google Workspace for Education noodzakelijk is voor de uitvoering van de taken van de gemeente op grond van de Onderwijswet, dat de optie van ondersteuning door een derde land niet kan worden uitgesloten wanneer Google de gegevensverwerker is en dat de gemeente daarom het risico van het gebruik van Google heeft beoordeeld.

De overdrachtsbasis is, zoals gezegd, de nieuwe VCA (vanaf juni 2021)."

Over de gebruikte gegevensbronnen heeft de gemeente Helsingør de volgende informatie verstrekt:

"Er zijn verschillende "gegevensbronnen" met betrekking tot de risicobeoordeling en de TIA. De risicobeoordeling is gebaseerd op het feit dat de gegevensverwerkersovereenkomst de relatie tussen de partijen nader beschrijft, namelijk dat Google de gegevensverwerker voor de gemeente is en dat Google zich het recht voorbehoudt om ondersteuning vanuit derde landen te bieden, en dat de gemeente ervoor heeft gezorgd dat de dienst vanuit een EU-cloud wordt geleverd.

De TIA is gebaseerd op de documenten en links in het subtabblad van de TIA."

Daarnaast heeft de gemeente Helsingør de volgende informatie verstrekt over haar beoordelingen in de TIA:

"De beoordelingen in de DEB van de waarschijnlijkheid dat elk juridisch argument standhoudt, zijn ramingen. In dit verband is de gemeente van mening dat de vastgestelde waarschijnlijkheden conservatief zijn, d.w.z. dat de gemeente in het belang van de rechten en vrijheden van de betrokkenen rekening heeft gehouden met twijfels. Indien de EDPS een andere, gemotiveerde inschatting heeft van de kans dat de individuele argumenten opgaan, hoort de gemeente dat graag. Voor de goede orde wordt nog opgemerkt dat het berekende totale risico - onder meer op basis van deze argumenten, de omstandigheden van de mogelijke doorgifte, gepubliceerde statistieken van Google, praktijken en mitigerende maatregelen - vrij laag is. De gemeente verbindt zich er tevens toe de waarschijnlijkheid van de geldigheid van deze argumenten voortdurend te monitoren en te evalueren.

De rechtmatigheid van het gebruik van Google Workspace for Education in deze omstandigheden is dus niet afhankelijk van de beoordeling van de waarschijnlijkheid van de geldigheid van een enkel argument dat niet wordt bewogen door gemotiveerde argumenten."

Tot slot heeft de gemeente Elsinore een grote hoeveelheid documentatie overgelegd met betrekking tot de gegevensverwerkersregeling met Google Cloud EMEA Limited, waaronder de gegevensverwerkersovereenkomst "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" van 24 september 2021.

In het algemeen is de EDPS van mening dat een voor de verwerking verantwoordelijke die gebruik maakt van een gegevensverwerker - voor alle verwerkingen - moet voldoen aan de GDPR en de gegevensbeschermingswet en dit moet kunnen aantonen, ongeacht waar in de gegevensverwerkingsketen de verwerking plaatsvindt.

Dit volgt uit artikel 5, lid 2, van de GDPR, waarin staat dat de verantwoordelijke voor de verwerking verantwoordelijk is voor en moet kunnen aantonen dat lid 1 wordt nageleefd. Dit betekent onder meer dat de voor de verwerking verantwoordelijke verantwoordelijk is voor en moet kunnen aantonen dat de persoonsgegevens rechtmatig, eerlijk en transparant worden verwerkt, overeenkomstig artikel 5, lid 1, onder a).

Voorts vereist artikel 24, lid 1, van de verordening dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer legt om te waarborgen en aan te kunnen tonen dat de verwerking aan deze verordening voldoet. Daarbij moet rekening worden gehouden met de aard, de omvang, de context en de doeleinden van de betrokken verwerking, alsook met de risico's van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, en de maatregelen moeten zo nodig worden herzien en bijgewerkt.

Met dit besluit heeft de gegevensbeschermingsautoriteit alleen een standpunt ingenomen over de vraag of - en in welke mate - de gemeente Helsingør als verantwoordelijke voor de verwerking persoonsgegevens verwerkt overeenkomstig de gegevensbeschermingsregels. De bevoegdheid van de gegevensbeschermingsautoriteit volgt uit artikel 27 van de gegevensbeschermingswet en de hoofdstukken VI en VII van de gegevensbeschermingsverordening, met inbegrip van artikel 55, lid 2, daarvan.

Uit artikel 2, eerste lid, van de Onderwijswet volgt dat de lokale overheid verantwoordelijk is voor het onderwijs aan kinderen.

Voor basisscholen volgt uit § 18, lid 1, en § 19 van de wet dat de organisatie van het onderwijs, met inbegrip van de keuze van de onderwijs- en werkmethoden, de leermiddelen en de keuze van de vakken, alsmede de vergoeding daarvoor, in alle vakken in overeenstemming moet zijn met de doelstellingen en vakken van de basisschool en zodanig moet worden gevarieerd dat zij beantwoordt aan de behoeften en de voorwaarden van de individuele leerling.

De EDPS is van mening dat zowel de keuze voor het gebruik van IT in het onderwijs als het merk en de te gebruiken software binnen deze marge vallen.

De EDPS merkt in dit verband op dat de gegevensbeschermingsregels technologisch neutraal zijn en dat de EDPS alleen de omstandigheden waarin persoonsgegevens worden verwerkt, kan beoordelen, overeenkomstig artikel 2, lid 1, van de GDPR.

Hoewel de Wet openbare scholen - naar het oordeel van de EDPS - de gemeenteraad de bevoegdheid verleent om te beslissen of - en zo ja, welke - IT-apparatuur in het onderwijs moet worden gebruikt, moet dit gebruik blijven plaatsvinden binnen het kader van de GDPR en de Wet gegevensbescherming.

De rechten van kinderen en jongeren genieten bijzondere bescherming op grond van de regels inzake gegevensbescherming. De EDPS is van mening dat deze overweging wordt meegenomen in de beoordeling welke verwerkingen kunnen worden uitgevoerd op basis van de rechtsgrondslag die de Wet openbare scholen aan elke gemeente biedt.

Zoals ook in het besluit van 10 september 2021 van de gegevensbeschermingsinspectie staat, is de inspectie van oordeel dat de gemeente Helsingør overeenkomstig artikel 6, lid 1, onder e), van de gegevensbeschermingsverordening kan bepalen welke hulpmiddelen in de basisscholen van de gemeente worden gebruikt.

Het blijft echter een essentiële voorwaarde dat bij de verwerking van persoonsgegevens die plaatsvindt de verordening en de Wet bescherming persoonsgegevens verder in acht worden genomen.

In het algemeen vindt de EDPS dat in de risicobeoordeling van de gemeente Helsingør met betrekking tot het gebruik van Google Chromebooks en Workspace for Education de belangrijkste scenario's en bedreigingen aan bod komen.

De EDPS is echter van mening dat het gebruik van nieuwe, complexe technologie, waaronder software - met name op het gebied van onderwijs, waar de betrokkenen kinderen en jongeren zijn - doorgaans een hoog risico voor de rechten en vrijheden van deze leerlingen inhoudt.

In dit specifieke geval is het algemeen bekend dat de technologieën die worden gebruikt voor de levering en systeemondersteuning van de gekozen dienst - Google Chromebooks en Workspace for Education - ook worden gebruikt om andere onderdelen van de producten van Google te leveren, en deze worden gebruikt voor het verzamelen van informatie, gerichte marketing en de verkoop van deze informatie. Met dergelijke zaken moet derhalve rekening worden gehouden bij de beoordeling van de risico's voor de rechten en vrijheden van betrokkenen bij het gebruik van Google Workspace for Education.

De EDPS is van mening dat de risicobeoordeling van de gemeente Helsingør niet volledig de risicoscenario's documenteert die zich kunnen voordoen als gevolg van het ontwerp van de gegevensverwerker en de gemaakte systeemkeuzes. Dit geldt met name voor i) de wijze waarop de gebruikte apparaten en toepassingen daadwerkelijk omgaan met de verzamelde persoonsgegevens, alsook ii) de wijze waarop de gemeente Helsingør de toegang van Google tot de persoonsgegevens controleert, waaronder met name het gewone gebruik van het besturingssysteem van Google Chromebooks en de interactie van Google Workspace met de back-end van Google in verband met de mogelijkheden tot scheiding van persoonsgegevens die krachtens de gegevensverwerkerswetgeving moet plaatsvinden.

De EDPS is van mening dat het uitvoeren van een concrete risico- en effectbeoordeling - voordat IT-apparatuur aan leerlingen wordt verstrekt en gegevens van leerlingen worden verwerkt - een voorwaarde is voor het vaststellen en handhaven van een passend beveiligingsniveau. Een passend beveiligingsniveau moet immers worden gezien in het licht van de risico's, waaronder de gevolgen, die de verwerking van persoonsgegevens van leerlingen voor hen kan hebben. De EDPS merkt op dat verscheidene van de bovengenoemde inbreuken op de gegevensbeschermingsvoorschriften hadden kunnen worden voorkomen indien de gemeente Helsingør de risico's van de verwerking had beoordeeld en in het licht van die risico's passende maatregelen had genomen.

Tegen de bovenstaande achtergrond stelt de EDPS vast dat de gemeente Helsingør - i) door in haar risicobeoordeling geen rekening te houden met de risicoscenario's die kunnen voortvloeien uit het ontwerp van de gegevensverwerker en de gemaakte systeemkeuzes, ii) door de omvang en de werking van de gebruikte hardware en software niet voldoende te hebben getest, en iii) door niet te kunnen documenteren hoe de gemeente de toegang van Google tot de persoonsgegevens controleert, waaronder met name het gewone gebruik van het besturingssysteem Google Chromebooks en de interactie van Google Workspace met de backend van Google in verband met de mogelijkheden tot scheiding van persoonsgegevens die zich op grond van de richtlijn gegevensverwerking kunnen voordoen, - niet heeft aangetoond dat de persoonsgegevens ten aanzien van de betrokkene rechtmatig, eerlijk en op transparante wijze worden verwerkt overeenkomstig de richtlijn gegevensverwerking. Artikel 5, lid 2, van de gegevensbeschermingswet, zie artikel 5, lid 1, onder a).

De gegevensbeschermingsautoriteit is van mening dat de verwerking van persoonsgegevens door de gemeente Helsingør op grond van de wet op de basisschool (zie artikel 6, lid 1, onder e), van de verordening) geen situaties omvat waarin persoonsgegevens worden verwerkt voor andere doeleinden dan die waarin de wet op de basisschool voorziet. De gegevens kunnen derhalve evenmin rechtmatig voor hun doeleinden aan andere verantwoordelijken worden verstrekt, wanneer de doeleinden niet in de onderwijswet zijn voorzien. Dit omvat ook de verwerking van persoonsgegevens die kan plaatsvinden door het gebruik van de apparatuur en software door leerlingen, met inbegrip van metadata-gegevens die worden gebruikt voor marketing- en profileringsdoeleinden, ongeacht of de gegevens worden gebruikt voor directe marketing aan de individuele leerling of indirect als onderdeel van een groep (klas, jaar, school, enz.).

De EDPS is van mening dat de gemeente Helsingør geen gebruik maakt van de aanvullende producten van Google Workspace for Education.

Uit de risicobeoordeling van de gemeente Helsingør blijkt dat de persoonsgegevens die in de kerndiensten worden verzameld - volgens de gegevensverwerkersovereenkomst - niet voor marketingdoeleinden worden gebruikt.

De gegevensbeschermingsautoriteit is van mening dat de gemeente Helsingør, als verantwoordelijke voor de verwerking, heeft beoordeeld dat "niet volledig kan worden uitgesloten dat Google de contractuele verplichtingen schendt en niettemin persoonsgegevens gebruikt voor marketing of andere onbedoelde doeleinden waarvoor de gemeente Helsingør geen instructies heeft gegeven overeenkomstig de gegevensverwerkingsovereenkomst."

De EDPS is tevens van mening dat de gemeente Helsingør bij het gebruik van Google Workspace for Education ook bijzondere categorieën persoonsgegevens verwerkt, als bedoeld in artikel 9 van de verordening.

In dit verband wenst de EDPS er in het algemeen op te wijzen dat, overeenkomstig artikel 28, lid 1, van de verordening, een voor de verwerking verantwoordelijke alleen gebruik mag maken van verwerkers die de nodige garanties kunnen bieden dat zij de gegevensbeschermingsvoorschriften zullen naleven wanneer zij de gegevens namens de voor de verwerking verantwoordelijke verwerken.

Dit houdt in dat een verwachting van de voor de verwerking verantwoordelijke dat de gekozen verwerker in strijd met de gesloten verwerkersovereenkomst zal handelen - op zich - impliceert dat de voor de verwerking verantwoordelijke geen gebruik mag maken van die verwerker, overeenkomstig artikel 28, lid 1, van de verordening.

De EDPS is er echter van uitgegaan dat de gemeente Helsingør bij de beoordeling van dit risico het risico dat de verwerker in strijd met de gegevensverwerkingsovereenkomst handelt, slechts als hypothetisch en niet als volstrekt voorzienbaar beschouwt.

De EDPS is van mening dat de gemeente Helsingør - bij haar beoordeling van dit risico - niet heeft aangetoond dat de gemeente Helsingør in deze situatie gebruik maakt van een gegevensverwerker die de nodige garanties kan bieden dat zij zal voldoen aan de vereisten van de GDPR, zoals bepaald in artikel 24 van de verordening (zie artikel 28, lid 1).

De EDPS heeft bijzondere aandacht besteed aan het feit dat er een ingrijpend verlies van rechten voor de betrokkenen zou zijn indien het betrokken risico zich voordoet en dat de gemeente in haar risicobeoordeling geen reële corrigerende technische of organisatorische maatregelen heeft aangegeven om dit risico te beperken. De EDPS is met name van mening dat de verwijzing van de gemeente Helsingør naar het feit dat de gemeente vertrouwen heeft in de algemene naleving van het contract door de leverancier, dit risico niet voldoende beperkt.

Bovendien merkt de EDPS op dat elk risico dat grote gevolgen heeft voor de rechten en vrijheden van de betrokkenen - zelfs met een relatief lage waarschijnlijkheid dat het risico zich voordoet - waarschijnlijk een groot risico voor de rechten van de betrokkenen met zich meebrengt, waardoor de verplichting om een effectbeoordeling op het gebied van gegevensbescherming uit te voeren krachtens artikel 35, lid 1, van de verordening in werking treedt.

In het licht hiervan - en van de beoordeling van de gemeente Helsingør zelf dat niet kan worden uitgesloten dat de gegevensverwerker in strijd met de gegevensverwerkersovereenkomst zal handelen - is de EDPS van mening dat de relatie aanleiding geeft tot de verplichting om een gegevensbeschermingseffectbeoordeling te verrichten, overeenkomstig artikel 35, lid 1, van de verordening.

Tegen deze achtergrond - en aangezien de gemeente Helsingør heeft verklaard dat zij geen gegevensbeschermingseffectbeoordeling heeft uitgevoerd - is de EDPS van mening dat de verwerking van persoonsgegevens door de gemeente Helsingør niet is uitgevoerd overeenkomstig artikel 35, lid 1, van de verordening.

De EDPS heeft allereerst opgemerkt dat de gemeente Elsinore van mening is dat de gemeente haar gebruik van Google Workspace for Education zodanig heeft geconfigureerd dat "de gegevens zich, als duidelijk uitgangspunt, alleen binnen de EU in de betrokken datacentra bevinden". Het is dus alleen het risico van ondersteunende toegang vanuit een onveilig derde land dat kan leiden tot toegang vanuit een onveilig derde land."

Het contractuele kader van de gemeente Helsingør met Google, dat de verwerkingsactiviteit regelt, omvat het "Wijziging van de gegevensverwerking bij de overeenkomst inzake Google Workspace en/of aanvullende producten" (addendum bij de overeenkomst), gedateerd 24 september 2021.

In het Addendum staat onder meer:

"10.1 Faciliteiten voor gegevensopslag en -verwerking. Met inachtneming van de verplichtingen van Google met betrekking tot de locatie van gegevens onder de Service Specific Terms en de rest van dit artikel 10 (Gegevensoverdrachten), mogen Klantgegevens worden verwerkt in elk land waar Google of haar Subverwerkers faciliteiten onderhouden. [...]

11.1 Toestemming voor inschakelen subverwerker. De Klant geeft specifiek toestemming voor het inschakelen als Subverwerker van de entiteiten die op de ingangsdatum van de Wijziging worden genoemd op de URL die wordt vermeld in Artikel 11.2 (Informatie over Subverwerkers). Onverminderd artikel 11.4 (Mogelijkheid tot verzet tegen wijzigingen van subverwerkers) geeft de Klant bovendien in het algemeen toestemming om andere derden ("nieuwe subverwerkers") als subverwerker in te schakelen.

11.2 Informatie over Subverwerkers. Informatie over Subverwerkers, inclusief hun functies en locaties, is beschikbaar op: https://workspace.google.com/intl/en/terms/subprocessors.html (zoals van tijd tot tijd door Google kan worden bijgewerkt in overeenstemming met deze Wijziging Gegevensverwerking)."

Artikel 11.2 van de Overeenkomst verwijst naar een lijst van Subverwerkers die worden gebruikt voor het verstrekken van Google Workspace for Education. De lijst bevat een breed scala aan subverwerkers die worden gebruikt om technische ondersteuning te bieden en die zowel in de EU als in derde landen zijn gevestigd, met inbegrip van derde landen waarvoor de Commissie van de EU geen besluit over het beschermingsniveau van de landen overeenkomstig artikel 45 heeft genomen.

De lijst bevat ook een groot aantal dochterondernemingen van Google die voor beperkte activiteiten worden gebruikt, zoals Google Workspace, die eveneens zowel binnen als buiten de EU/EER zijn gevestigd.

In dit besluit heeft de gegevensbeschermingsautoriteit geen standpunt ingenomen over de mate waarin de gemeente Helsingør door het gebruik van Google Workspace voor onderwijs - naast de Verenigde Staten, zie verder in punt 4.6 - persoonsgegevens doorgeeft aan andere derde landen, ook al worden de gegevens binnen de EU/EER "opgeslagen".

De EDPS beveelt echter aan dat de gemeente Elsinore ervoor zorgt - onder meer door de in punt 10.1 van het addendum bij de overeenkomst genoemde "Service Specific Terms" van Google Workspace te herzien - dat de gegevens in het kader van andere verwerkingen dan "opslag", bijvoorbeeld als onderdeel van de algemene dienstverlening en ondersteuning van de onderliggende cloud-infrastructuur, enz. niet aan derde landen worden doorgegeven, tenzij de gemeente Elsinore de gegevensverwerker daartoe opdracht geeft en een geldige grondslag voor de doorgifte verschaft.

De Gegevensbeschermingsautoriteit is van mening dat de verantwoordelijke voor de verwerking een geldige grondslag voor doorgifte moet verstrekken aan alle derde landen waarnaar persoonsgegevens kunnen worden doorgegeven in het kader van de verlening van een dienst op grond van de contractuele grondslag, met inbegrip van service en ondersteuning.

Om te beginnen merkt de EDPS op dat er - naar zijn mening - voor de gemeente Helsingør sprake is van een opzettelijke en geïnstrueerde doorgifte naar de Verenigde Staten als gevolg van de overeengekomen mogelijkheid om ondersteuning te bieden - in of vanuit de Verenigde Staten - met toegang tot persoonsgegevens.

De regels voor doorgifte aan derde landen, met inbegrip van de mogelijke gronden voor doorgifte, staan in hoofdstuk V van de gegevensbeschermingsverordening.

De hoofdregel voor de doorgifte van persoonsgegevens aan derde landen staat in het algemene beginsel van artikel 44 van de GDPR. Daarin staat dat:

"Elke doorgifte van persoonsgegevens die een verwerking ondergaan of bestemd zijn voor verwerking na een doorgifte naar een derde land of een internationale organisatie kan slechts plaatsvinden indien aan de voorwaarden van [hoofdstuk V] is voldaan, onverminderd de overige bepalingen van deze verordening, door de voor de verwerking verantwoordelijke en de verwerker, met inbegrip van doorgifte van persoonsgegevens van dat derde land of die internationale organisatie naar een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk zijn van toepassing om ervoor te zorgen dat het door deze verordening aan personen gewaarborgde beschermingsniveau niet wordt ondermijnd".

Elke doorgifte van persoonsgegevens kan dus alleen plaatsvinden indien aan de voorwaarden van hoofdstuk V van de verordening is voldaan.

De EDPS vat artikel 44 van de verordening op als een verplichting voor zowel de voor de verwerking verantwoordelijke als de verwerker. Beide partijen zijn derhalve verplicht ervoor te zorgen dat, gelet op alle omstandigheden van de doorgifte, een daadwerkelijke grondslag voor de doorgifte wordt geboden. Dit geldt ook wanneer het in de praktijk de verwerker is die met eventuele subverwerkers in derde landen een standaardovereenkomst in de zin van artikel 46, lid 2, onder c), van de verordening heeft gesloten. In dat geval bestaat de verplichting voor de voor de verwerking verantwoordelijke er in de praktijk in ervoor te zorgen - en aan de EDPS te kunnen aantonen - dat de verwerker de noodzakelijke doorgiftebasis heeft vastgesteld en dat deze doorgiftebasis, gelet op alle omstandigheden van de doorgifte, doeltreffend is, zo nodig met inbegrip van de toepassing van aanvullende maatregelen.

Voorts is de EDPS van mening dat, onverminderd de in artikel 49 van de verordening bedoelde uitzonderingen, de formulering van artikel 44, waarin staat dat een doorgifte van persoonsgegevens alleen kan plaatsvinden indien aan de voorwaarden van hoofdstuk V is voldaan, in samenhang met het beginsel dat het door de verordening gewaarborgde beschermingsniveau niet mag worden ondermijnd, zo moet worden opgevat dat elke doorgifte met passende waarborgen moet worden omgeven. Het volstaat dus niet dat bijna alle overdrachten of een percentage van de overdrachten de door de verordening geboden bescherming genieten, tenzij de verordening daarin voorziet.

Een van de manieren om een geldige grondslag voor doorgiften krachtens hoofdstuk V te bieden, is het sluiten van een door de Europese Commissie goedgekeurde standaardovereenkomst met de organisatie in het derde land waarnaar de gegevens worden doorgegeven, zoals bepaald in artikel 46, lid 1, onder c), van de verordening.

Uit de zaak blijkt met name dat de gemeente Helsingør haar gegevensverwerker - Google Cloud EMEA Limited in Ierland - opdracht heeft gegeven persoonsgegevens door te geven aan een subverwerker - Google LLC - in de Verenigde Staten. De doorgifte vindt plaats op basis van een standaardovereenkomst van de Europese Commissie tussen Google Cloud EMEA Limited en Google LLC in de Verenigde Staten. Dit standaardcontract wordt sinds eind september 2021 gebruikt als basis voor doorgiften naar de VS.

In zaak C-311/18, Schrems II, heeft het Europees Hof van Justitie verduidelijkt dat het gebruik van de standaardcontracten van de EU-Commissie veronderstelt dat in het betrokken derde land een beschermingsniveau voor persoonsgegevens kan worden gewaarborgd dat in wezen gelijkwaardig is aan het beschermingsniveau binnen de EU/EER[1].

Het HvJEU merkte voorts op dat er situaties kunnen zijn waarin het modelcontract van de EU-Commissie "geen passend middel vormt om in de praktijk een doeltreffende bescherming van de aan het betrokken derde land doorgegeven persoonsgegevens te waarborgen". Dat is met name het geval wanneer de wetgeving van dat derde land zijn overheidsinstanties toestaat in te grijpen in de rechten van de betrokkenen met betrekking tot die gegevens."[2]

In dergelijke gevallen, waarin het standaardcontract naar zijn aard geen garanties kan bieden die verder gaan dan de contractuele verplichting om te waarborgen dat het noodzakelijke beschermingsniveau wordt geboden, kunnen, afhankelijk van de omstandigheden in het derde land, aanvullende maatregelen nodig zijn om te waarborgen dat het noodzakelijke beschermingsniveau wordt geboden[3] Deze aanvullende maatregelen kunnen van technische, organisatorische of contractuele aard zijn[4].

Er moet dus - per geval - worden onderzocht of de wetgeving van het derde land een passend beschermingsniveau waarborgt voor de persoonsgegevens die op basis van het modelcontract worden doorgegeven, en zo nodig moeten aanvullende maatregelen worden genomen naast het modelcontract[5].

Het HJEU heeft ook beoordeeld of geselecteerde Amerikaanse wetgeving - Foreign Intelligence Surveillance Act (FISA) sectie 702 en Executive Order 12 333 (E.O. 12 333) - Amerikaanse overheidsinstanties toestaat in te grijpen in de rechten van betrokkenen in een mate die niet voldoet aan de minimumvereisten van de EU-wetgeving.

Afdeling 702 van de FISA (FISA 702) machtigt de regering van de VS om informatie te verkrijgen over personen die geen burgers van de VS zijn, enz. ("niet-Amerikaanse personen"), en van wie redelijkerwijs kan worden verwacht dat zij zich buiten de Verenigde Staten bevinden, met het oog op het verzamelen van buitenlandse inlichtingen ("buitenlandse inlichtingen"). Dit gebeurt door middel van richtlijnen aan "aanbieders van elektronische communicatiediensten" om persoonlijke informatie te verstrekken of te laten verstrekken die wordt verzonden naar of ontvangen van een "selecteur", waarbij een deel van deze communicatie ook wordt bekendgemaakt aan rechtshandhavingsinstanties[6].

Met betrekking tot E.O. 12333 biedt deze wettelijke basis de rechtshandhavingsinstanties toegang tot informatie "in transit" naar de Verenigde Staten door toegang tot onderzeese kabels, en om die informatie te verzamelen en te bewaren voordat zij de Verenigde Staten bereikt en daar onder de FISA-bepalingen komt te vallen.[7].

Het HvJEU oordeelde vervolgens dat noch FISA Section 702, noch E.O. 12 333, gelezen in samenhang met Presidential Policy Directive-28 (PPD-28), voldoen aan het evenredigheidsvereiste van het EU-recht, zodat op deze bepalingen gebaseerde surveillanceprogramma's niet kunnen worden geacht beperkt te zijn tot het strikt noodzakelijke. Het Hof oordeelde voorts dat FISA 702 of E.O. 12 333, gelezen in samenhang met PDD-28, betrokkenen geen rechten verlenen die voor de rechter afdwingbaar zijn tegen de Amerikaanse autoriteiten[8].

Bij de beoordeling of er in de Verenigde Staten omstandigheden zijn waardoor het standaardcontract dat als doorgiftebasis wordt gebruikt, geen voldoende middel is om een beschermingsniveau te waarborgen dat wezenlijk gelijkwaardig is aan dat binnen de EU/EER, heeft de gemeente Elsinore verklaard dat het waarschijnlijk is dat Google LLC moet worden beschouwd als een "aanbieder van elektronische communicatiediensten" zoals die term is gedefinieerd in 50 U.S.C. § 1881(b)(4).

Evenzo is de DPA van oordeel dat Google LLC - bij het verlenen van de dienst (ondersteuning, enz.) die aanleiding geeft tot de overdracht van persoonsgegevens aan haar - moet worden beschouwd als een "aanbieder van elektronische communicatiediensten" en dus onderworpen kan zijn aan rechtshandhavingsrichtlijnen krachtens FISA 702.

Bovendien heeft de gemeente Helsingør aangevoerd dat het zeer waarschijnlijk is dat informatie waarover Google LLC als zodanig beschikt, niet toegankelijk is op grond van FISA 702, aangezien de persoonsgegevens niet door Google LLC worden doorgegeven, maar aan Google LLC voor het verlenen van ondersteuning. De gemeente Elsinore heeft met name aangevoerd dat het gaat om een elektronische mededeling aan een "persoon uit de VS" en dat rechtshandhavingsinstanties deze informatie derhalve niet kunnen verkrijgen in het licht van de beperkingen in FISA 702. Bovendien betoogt de gemeente dat de aan Google LLC overgedragen persoonsgegevens geen persoonsgegevens van "Amerikaanse personen" zijn en dat rechtshandhavingsinstanties om die reden evenmin de gegevens mogen verzamelen op grond van FISA 702.

Na bestudering van de wettelijke beperkingen op het verzamelen van informatie op grond van FISA 702[9] is de EDPS van mening dat de beperkingen bedoeld zijn om te voorkomen dat - zowel direct als indirect - informatie over Amerikaanse personen, waaronder bedrijven, wordt verzameld wanneer deze personen het doelwit van de verzameling zijn.

Volgens de FSA zijn de beperkingen dus niet van toepassing indien en voor zover Deense burgers of de gemeente Helsingør als geheel het voorwerp worden van het verzamelen van informatie krachtens FISA 702.

Voorts is de EDPS van mening dat FISA 702, door het doel ervan, de Amerikaanse wetshandhavingsinstanties een rechtsgrondslag biedt om informatie te verkrijgen over buitenlandse personen van wie redelijkerwijs kan worden verwacht dat zij zich buiten de Verenigde Staten bevinden, met het oog op het verzamelen van buitenlandse inlichtingen.

Tegen deze achtergrond is de EDPS van mening dat de aan Google LLC overgedragen persoonsgegevens door de wetshandhavingsinstanties van de VS kunnen worden verkregen. Daarbij heeft de EDPS de nadruk gelegd op het feit dat Google LLC moet worden beschouwd als een "aanbieder van elektronische communicatiediensten" en dat de aan Google LLC overgedragen persoonsgegevens betrekking hebben op de scholieren en werknemers van de gemeente, d.w.z. Deense burgers.

De gegevensbeschermingsautoriteit is derhalve van oordeel dat de doorgifte van de betrokken gegevens onderworpen is aan voorwaarden in de Verenigde Staten die verhinderen dat het standaardcontract dat als basis voor de doorgifte wordt gebruikt, een toereikend middel is om een beschermingsniveau te waarborgen dat wezenlijk gelijkwaardig is aan dat binnen de EU/EER. De gemeente Helsingør is derhalve verplicht ervoor te zorgen dat aanvullende maatregelen worden genomen om het beschermingsniveau op het vereiste niveau te brengen.

De EDPS wijst er met name op dat contractuele en organisatorische aanvullende maatregelen over het algemeen geen oplossing bieden voor de toegang tot of het verzamelen van persoonsgegevens door wetshandhavingsinstanties in de VS voor bewakingsdoeleinden. Daarom zullen aanvullende technische maatregelen nodig zijn.

De gemeente Helsingør heeft verklaard dat persoonsgegevens zowel tijdens de overdracht als in de rustfase worden versleuteld wanneer de gegevens door Google LLC worden doorgegeven en verwerkt. De gemeente heeft echter ook aangegeven dat Google LLC toegang heeft tot de gegevens in onbewerkte vorm.

De EDPS is van oordeel dat encryptie een doeltreffende aanvullende maatregel kan zijn, die geschikt is als aanvulling op de standaardovereenkomst van de EU-Commissie en die het beschermingsniveau in een derde land over het geheel genomen op het vereiste Europese niveau brengt.

De EDPS is echter van mening dat encryptie in het onderhavige geval niet geschikt is om de omstandigheden in de VS aan te pakken die verhinderen dat het standaardcontract een toereikend middel is om de daadwerkelijke bescherming van de doorgegeven persoonsgegevens te waarborgen.

In dit verband heeft de EDPS er rekening mee gehouden dat het verzamelen van persoonsgegevens door de wetshandhavingsautoriteiten van de VS krachtens FISA 702 geschiedt door middel van richtlijnen aan aanbieders van elektronische-communicatiediensten en dus hun medewerking vereist, en dat in deze omstandigheden de overgedragen persoonsgegevens kunnen worden verkregen krachtens FISA 702, aangezien Google LLC toegang heeft tot de gegevens in niet-versleutelde tekst.

Bijgevolg is de EDPS van oordeel dat voor de persoonsgegevens die de gemeente Helsingør Google Cloud EMEA Limited heeft opgedragen aan de Verenigde Staten door te geven, geen beschermingsniveau geldt dat wezenlijk gelijkwaardig is aan dat in de EU/EER en dat de gemeente Helsingør niet de nodige aanvullende maatregelen heeft genomen om het beschermingsniveau op het vereiste niveau te brengen.

De EDPS is derhalve van mening dat de doorgifte van persoonsgegevens die de gemeente Helsingør aan Google Cloud EMEA Limited heeft opgedragen, niet in overeenstemming is met artikel 44 van de gegevensbeschermingsverordening (zie artikel 46, lid 1, onder c)).

Gezien het op 10 september 2021 uitgevaardigde bevel en de op dezelfde datum uitgevaardigde beperking van de verwerking, en na een beoordeling van de door de gemeente Helsingør uitgevoerde risicobeoordeling en de documentatie van de gemeente in het algemeen, is de toezichthouder voor gegevensbescherming van mening dat er redenen zijn om de gemeente Helsingør een verbod op te leggen om persoonsgegevens te verwerken met behulp van Google Chromebooks en Workspace for Education. Het verbod geldt totdat de gemeente Helsingør de verwerkingsactiviteit in overeenstemming heeft gebracht met de GDPR, zoals uiteengezet in dit besluit, en daartoe adequate documentatie heeft overgelegd.

Bovendien wordt elke doorgifte van persoonsgegevens naar de Verenigde Staten die de gemeente Helsingør aan Google Cloud EMEA Limited heeft opgedragen als gegevensverwerker voor de gemeente, opgeschort totdat de gemeente Helsingør kan aantonen dat zij voldoet aan hoofdstuk V van de GDPR.

Het verbod en de opschorting worden onmiddellijk van kracht, maar de gemeente Helsingør krijgt tot 3 augustus 2022 de tijd om gebruikers en rechten in te trekken en te beëindigen, alsmede om reeds overgedragen gegevens te wissen.

De verboden worden uitgevaardigd krachtens artikel 58, lid 2, onder f) en j), van de gegevensbeschermingsverordening.

Inbreuken op een door de gegevensbeschermingsautoriteit uitgevaardigd verbod worden krachtens artikel 41, lid 2, punt 4, van de gegevensbeschermingswet bestraft met een geldboete of met een gevangenisstraf van ten hoogste zes maanden (zie artikel 41, lid 1).

Ten slotte vindt de toezichthouder voor gegevensbescherming redenen voor ernstige kritiek op het feit dat de verwerking van persoonsgegevens door de gemeente Helsingør niet is uitgevoerd in overeenstemming met artikel 5, lid 2, van de gegevensbeschermingsverordening, zie artikel 5, lid 1, onder a), artikel 24, zie artikel 28, lid 1, artikel 35, lid 1, en artikel 44, zie artikel 46, lid 1.

Bij de keuze van de corrigerende maatregel heeft de EDPS de nadruk gelegd op een snelle beëindiging van de onrechtmatige situatie. Daarnaast heeft de EDPS verzachtend gewicht toegekend aan het feit dat de gemeente Helsingør - in alle stadia van de behandeling van de zaak - op positieve en verantwoordelijke wijze heeft bijgedragen tot het verstrekken van de nodige documentatie en duidelijkheid over de verwerkingsactiviteiten, en heeft hij bijzonder gewicht toegekend aan het feit dat voor de doorgifte van de persoonsgegevens in kwestie aan de Verenigde Staten eerder een passend beschermingsniveau overeenkomstig artikel 45 van de verordening was vastgesteld, dat is verstreken.

De EDPS merkt op dat het de verantwoordelijkheid van de gemeente Helsingør is om gegevens overeenkomstig het besluit te corrigeren en te wissen. De gemeente moet derhalve contact opnemen met de ouders van de betrokken kinderen om de rectificaties, anonimiseringen of uitwissingen van de geregistreerde persoonsgegevens uit te voeren die de ouders zelf niet kunnen uitvoeren in de systemen waarin de persoonsgegevens van de leerlingen per ongeluk zijn gepubliceerd of doorgegeven.