Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Helsingørsaken – hva betyr den for norske kommuner?

Hei !

I forrige uke avgjorde det danske datatilsynet ett av spørsmålene i Helsingør-saken. Dette er en avgjørelse som er veldig relevant for KS sitt nasjonle DPIA-prosjekt for Google Workspace for Education. Denne artikkelen handler om våre tanker etter første gjennomlesning. 

Hva er spørsmålet i Helsingørsaken? 
Det spørsmålet som det danske datatilsynet tok stilling til var hvorvidt kommunen kan ta i bruk tjenester fra Google får det betyr at Google bruker personopplysninger i form av metadata til egne formål. 

Metadata kalles gjerne også diagnostiske data. Dette er data som viser hvordan en elev eller lærer bruker Google Workspace for Education. Disse dataene er pseudonymisert. Det betyr at de er indirekte identifiserbare. Dette er personopplysninger, siden det er mulig for Google å identifisere enkeltindivider. 

Metadata er ikke det samme som innholdsdata. Innholdsdata er f.eks. teksten i den oppgaven en elev levere inn til læreren, den skriftlige tilbakemeldingen som eleven får fra læreren, eller meldinger som elevene sender til hverandre i løsningen. Disse personopplysningene bruker ikke Google til egne formål.

Så hva bruker Google metadata om hvordan elevene bruker løsningen til? 

Ifølge avgjørelsen til det danske datatilsynet bruker Google disse personopplysningene til å vedlikeholde, forbedre og utvikle nye Google-tjenester.    

Hva er problemet med «behandling av personopplysninger til egne formål»?
Norske kommuner kan bare bruke elevers personopplysninger til de formålene som kan utledes av opplæringsloven. Det samme gjelder danske kommuner, de er bundet av sin «folkeskolelov».  

Det betyr at de ikke kan bruke en leverandør som Google, der leverandøren behandler personopplysninger til andre formål enn de som fremgår av opplæringsloven. 

Og det er her kjernen i Helsingørsaken ligger: er det å bruke norske elevers personopplysninger til å vedlikeholde, forbedre og utvikle nye Google-tjenester greit? 

Det danske datatilsynet sier at nei, det er det ikke. 

Det danske datatilsynet la særlig vekt på at personopplysningene ikke bare ble brukt til videreutvikling av de Google-produktene som kommunen hadde kjøpt. De ble også brukt til utvikling av Googles generelle produkter. 

Finnes det et handlingsrom? 
Spørsmålet som er oppe i Helsingørsaken, er et spørsmål vi i det nasjonale DPIA-prosjektet også må besvare. Danske og norsk opplæringslov er forskjellige, men det er også så mange likheter at Helsingørsaken absolutt er relevant for norske forhold. 

Nederlandske myndigheter som har forhandlet med Google lenge, fikk høsten 2023 på plass ny funksjonalitet for Chrome nettleser og Chrome OS (operativsystemet på Chromebooks) kalt Data Processor Mode. 

Poenget med Data Processor Mode var at Google skulle rendyrke rollen sin som databehandler, og ikke bruke personopplysninger til egne formål. Det vi ser på nå er om dette kan være en løsning for norske kommuner. 

Sagt på en annen måte skal vi ta stilling til om Data Processor Mode er satt opp slik at Google ikke bruker elevers personopplysninger til å videreutvikle sine generelle tjenester.  

Generelle bemerkninger om felles vurderinger, adferdsnorm og en oppfordring til politikerne 
Avgjørelsen fra det danske datatilsynet er interessant fordi de kommer med noen generelle bemerkninger og anbefalinger som går videre enn bare å behandle denne saken. 

For det første oppfordrer de til samarbeid om felles vurderinger som DPIAer. Veldig mange kommuner bruker de samme systemene i skolen. Selv om kommunene vil kunne sette opp f.eks. Google Workspace for Education på litt forskjellige måter og de kan ha ulike lisenser som gir dem forskjellige verktøy, er det også mye som er likt. Det betyr at det er mye å hente på å gjøre f.eks. DPIAer eller vurderinger ifbm overføringer av personopplysninger ut av EU/EØS sammen. 

KS har sammen med blant annet Bergen kommune etablert en pilot for hvordan vi i Norge kan samarbeide om slike vurderinger. I det nasjonale DPIA-prosjektet ser vi nettopp på Google Workspace for Education. Vi ser allerede nå at å jobbe sammen om dette, er mye mer effektivt enn at hver kommune skal gjøre denne jobben helt alene. 

For det andre sier de at å etablere en adferdsnorm etter GDPR artikkel 40, er et verktøy som kan brukes for å konkretisere kravene i GDPR. En adferdsnorm for informasjonssikkerhet og personvern i skolen, vil typisk inneholde spesifikke regler for hva en kommune må gjøre for å ivareta elever og læreres personvern. 

Dette er noe KS også mener er en god idé på visse vilkår. 

For det tredje kommer det danske datatilsynet med en tydelig oppfordring til danske politikere om å klargjøre i hvilket omfang personopplysninger om borgere, som en del av samfunnskontrakten, kan eller skal kunne overføres til leverandører for behandling generell videreutvikling? Dette særlig i offentlig-private samarbeid.

Dette er et spørsmål som også norske politikere bør svare på: skal vi akseptere at opplysninger om vår bruk av løsninger kan brukes av private til videreutvikling av akkurat den tjenesten det er snakk om? 

Les Helsingørsaken her!

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Denne ukas nyhetsbrev er også en artikkel som ble publisert på KS.no tidligere denne uka. Du kan lese den her! 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

The Helsingør case – what does it mean for Norwegian municipalities?

Hi !

Last week, the Danish Data Protection Authority resolved one of the issues in the Helsingør case. This decision is highly relevant for our national DPIA project were we look at Google Workspace for Education. This newsletter reflects our thoughts after the initial reading.

What is the question in the Helsingør case? 
The question that the Danish Data Protection Authority addressed was whether the municipality could use services from Google, given that Google uses personal data in the form of metadata for its own purposes.

Metadata is also often referred to as diagnostic data. These are data that show how a student or teacher uses Google Workspace for Education. This data is pseudonymized, meaning they are indirectly identifiable. These are personal data, as it is possible for Google to identify individuals.

Metadata is not the same as content data. Content data, for example, is the text of an assignment a student submits to the teacher, the written feedback the student receives from the teacher, or messages that students send to each other in the solution. Google does not use these personal data for its own purposes.

So, what does Google use metadata on how students use the solution for? According to the decision of the Danish Data Protection Authority, Google uses these personal data to maintain, improve, and develop new Google services.

What is the problem with "processing personal data for its own purposes"? 
Norwegian municipalities can only use students' personal data for the purposes that can be derived from the Education Act. The same applies to Danish municipalities; they are bound by their "Folkeskole Act."

This means that they cannot use a provider like Google, where the provider processes personal data for other purposes than those set out in the Education Act.

And this is where the crux of the Helsingør case lies: is it okay to use Norwegian students' personal data to maintain, improve, and develop new Google services?

The Danish Data Protection Authority says no, it is not.

The Danish Data Protection Authority particularly emphasized that the personal data were not only used for the further development of the Google products that the municipality had purchased. They were also used for the development of Google's general products.

Is there room for maneuver? 
The question raised in the Helsingør case is a question we in the national DPIA project also must answer. Danish and Norwegian Education Acts are different, but there are so many similarities that the Helsingør case is absolutely relevant for Norwegian conditions.

Dutch authorities, who have been negotiating with Google for a long time, secured new functionality for the Chrome browser and Chrome OS (the operating system on Chromebooks) called Data Processor Mode in the fall of 2023.

The point of Data Processor Mode was that Google would refine its role as a data processor and not use personal data for its own purposes. What we are looking at now is whether this could be a solution for Norwegian municipalities.

In other words, we need to decide whether Data Processor Mode is set up so that Google does not use students' personal data to further develop its general services.

General remarks on joint assessments, code of conduct, and a call to politicians 
The decision from the Danish Data Protection Authority is interesting because they make some general remarks and recommendations that go beyond just dealing with this case.

Firstly, they encourage collaboration on joint assessments such as DPIAs. Many municipalities use the same systems in schools. Even though municipalities might set up, for example, Google Workspace for Education in slightly different ways and they may have different licenses that give them different tools, there is also a lot that is similar. This means there is much to gain from conducting, for example, DPIAs or assessments related to the transfer of personal data out of the EU/EEA together.

KS, along with Bergen municipality among others, has established a pilot on how we in Norway can collaborate on such assessments. In the national DPIA project, we are specifically looking at Google Workspace for Education. We already see that working together on this is much more efficient than each municipality doing this job entirely on its own.

Secondly, they say that establishing a code of conduct under GDPR Article 40 is a tool that can be used to specify the requirements of the GDPR. A code of conduct for information security and privacy in schools would typically contain specific rules for what a municipality must do to protect students and teachers' privacy.

This is something KS also believes is a good idea under certain conditions.

Thirdly, the Danish Data Protection Authority makes a clear call to Danish politicians to clarify to what extent personal data about citizens, as part of the social contract, can or should be able to be transferred to providers for general further development? This especially in public-private partnerships.

This is a question that Norwegian politicians should also answer: should we accept that information about our use of solutions can be used by private entities for the further development of precisely that service?

Read the Helsingør case here!

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. This week's newsletter is also an article that was published on KS.no earlier this week. You can read it here. 

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!