PrivacyTeam033 200 30 83
Inloggen

51 Deense gemeenten berispt in ‘Chromebook-zaak’

51 Deense gemeenten berispt in ‘Chromebook-zaak’

 

Op 29 januari 2026 publiceerde de Deense toezichthouder Datatilsynet zijn beslissing in zaak 2025-431-0053. In deze zogeheten "Chromebook case complex" kregen 51 Deense gemeenten ernstige kritiek en een formele waarschuwing vanwege hun gebruik van Google Chromebooks en Google Workspace for Education in het primair en lager secundair onderwijs.

Centraal stond de vraag of de gemeenten – als verwerkingsverantwoordelijken – voldoende grip hadden op de (sub)verwerkersketen van Google Cloud EMEA Limited en op de doorgifte van persoonsgegevens naar derde landen.

De feiten

De gemeenten gebruikten Google Workspace for Education en Chrome Education Upgrade in scholen. Google Cloud EMEA (Ierland) trad op als verwerker. Daarachter bevond zich een complexe keten van subverwerkers, waaronder groepsmaatschappijen van Google en externe partijen, binnen én buiten de EU/EER (o.a. VS, India, Mexico, Taiwan, Singapore, Australië, Canada, Brazilië en Japan). Gelet op de verwerking van gegevens van kinderen, de omvang van de verwerkingen, en de complexiteit van de subverwerkersstructuur, startte Datatilsynet een diepgaand toezichttraject.

In 2024 vroeg de toezichthouder bovendien een formeel advies aan de European Data Protection Board (EDPB). Dit leidde tot Opinion 22/2024 over de verantwoordelijkheden van verwerkingsverantwoordelijken bij inzet van verwerkers en subverwerkers.

Kern van de beslissing

Datatilsynet concludeerde dat de 51 gemeenten niet voldeden aan onder meer:

  • Artikel 5(1)(a) en 5(2) AVG (rechtmatigheid & accountability)
  • Artikel 24 AVG (verantwoordingsplicht en passende maatregelen)
  • Artikel 28(1) en (4) AVG (keuze en toezicht op verwerkers/subverwerkers)
  1. Contract alleen is niet genoeg

Hoewel de verwerkersovereenkomst (Cloud Data Processing Addendum) formeel eisen oplegde aan Google en diens subverwerkers, konden de gemeenten niet aantonen dat zij daadwerkelijk hadden geverifieerd of:

  • de subverwerkers die verplichtingen naleefden;
  • doorgiften naar derde landen voldeden aan het vereiste beschermingsniveau.

De toezichthouder benadrukt dat de verificatieplicht geldt ongeacht het risiconiveau – al kan de intensiteit van de controle verschillen afhankelijk van de aard en risico’s van de verwerking.

  1. Doorgiften naar derde landen: Schrems II blijft leidend

Datatilsynet vindt dat er een voldoende overdrachtsgrond was voor de doorgifte naar Google LLC in de VS via het EU-US Data Privacy Framework (DPF). Vervolgens benadrukt de Deense toezichthouden dat bij verdere doorgiften naar andere derde landen moet worden beoordeeld of het beschermingsniveau niet wordt “ondergraven” en dat de essentiële Europese waarborgen (Schrems II) onderdeel zijn van die beoordeling. Bij doorleveringen (“onward transfers”) naar subverwerkers in zogenoemde onveilige derde landen (zoals India, Mexico en Taiwan) was geen aantoonbare beoordeling uitgevoerd.

Volgens Datatilsynet moeten verwerkingsverantwoordelijken:

  • per land onderzoeken of een “essentieel gelijkwaardig beschermingsniveau” wordt gewaarborgd;
  • de vier Europese essentiële waarborgen uit Schrems II toetsen;
  • indien nodig aanvullende maatregelen treffen (bijv. via een Transfer Impact Assessment).

Een standaard contractuele bepaling is onvoldoende wanneer nationale wetgeving in het derde land problematisch is.

  1. Onduidelijke verwerkingsstructuren zijn niet toegestaan

Een opvallende passage in de beslissing stelt dat de verwerkingsverantwoordelijke geen producten dient te gebruiken waarin onduidelijkheid bestaat over de verwerkingsstructuur.

De toezichthouder benadrukt bovendien dat:

  • compliance voorafgaand aan aanschaf moet worden geregeld;
  • bij wijzigingen in product of contract de rechtmatigheid continu moet worden herbeoordeeld;
  • ontbreekt die mogelijkheid, dan moet verwerking kunnen worden beëindigd.

Sanctie: ernstige kritiek en waarschuwing

Er werd géén boete opgelegd. Wel:

  • Ernstige kritiek (Article 58(2)(b) AVG)
  • Formele waarschuwing dat verdere inzet in strijd kan zijn met artikel 6 en 28 AVG

Datatilsynet liet expliciet weten in toekomstige vergelijkbare situaties strenger te zullen sanctioneren.

Conclusie

De Deense Chromebook-zaak bevestigt dat de verantwoordelijkheid van de verwerkingsverantwoordelijke ver reikt in internationale cloudstructuren. Contracten, certificeringen en leveranciersverklaringen zijn slechts het begin. Zonder aantoonbare verificatie en landenspecifieke beoordeling van doorgiften is sprake van een AVG-risico.

Voor organisaties die werken met internationale SaaS-oplossingen – zeker in het onderwijs of met gegevens van minderjarigen – is dit een belangrijk signaal om de verwerkersketen en derde-landdoorgiften opnieuw kritisch tegen het licht te houden.

Naar het overzicht