Den 29. januar 2026 satte det danske Datatilsyn et foreløpig punktum i en sak som startet i 2022. 51 kommuner brukte Google Workspace og Chromebooks i skolen. Datatilsynet fant at kommunene ikke kunne gjøre rede for hvem som faktisk behandlet barnas persondata. Grunnen — Google bruker underleverandører (sub-processors) som videre behandler dataene, til dels utenfor EU.
Og dette var kommunenes ansvar. Som behandlingsansvarlig er du forpliktet til å vite hvem din databehandler bruker videre — og å kontrollere at disse følger GDPR. Det er ikke nok å signere en databehandleravtale med Google eller Microsoft. Avtalen din skal dekke hele kjeden.
Dette gjelder ikke bare skoler. Det gjelder alle som bruker skybaserte tjenester — og det er nesten alle.
Praktisk poeng: Be din viktigste skyleverandør om en liste over sub-processors. Sjekk om noen befinner seg utenfor EU/EØS. Finn ut om databehandleravtalen din dekker den videre overføringen. Det tar 15 minutter å sende e-posten.
Inspirert av: Datatilsynet (DK)