Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Hva er det greit at leverandører bruker elevers personopplysninger til? 

Hei !

For noen uker siden fortalt vi at DPIAen er utsatt. Vi var kryptiske hva gjaldt begrunnelsen. I dette nyhetsbrevet vil vi forklare deg hvorfor.

Hvilke personopplysninger kan leverandøren behandle for egne formål? 

Dette er problemstillingen som gjør at vi trenger litt ekstra tid for å ferdigstille DPIAen. Det er et vanskelig spørsmål å svare på. Spørsmålet går igjen i flere store personvernsaker. For eksempel Helsingørsaken i Danmark og saken hvor Det europeiske datatilsynet besluttet at EU-kommisjonen bruker Microsoft 365 i strid med GDPR. 

La oss se nærmere på Helsingørsaken. 

I saken gikk det danske datatilsynet inn på hvilke formål Google kunne behandle personopplysninger til. De vurderte tre formål, og kom til at den danske opplæringsloven kun åpnet for at Google kunne bruke personopplysninger til dette formålet: 

• “Delivery, reliability, and security of the service”

Mens disse formålene ikke var dekket:

• “Improvement of the specific product that the school owner has purchased”
• “Development of other and new products or services from the supplier”

Våren 2024 skrev vi en juridisk artikkel hvor vi argumenterte for at formålet «Improvement of the specific product that the school owner has purchased» var dekket av den norske opplæringsloven. 

Nå har Kunnskapsdepartementet uttalt seg. Det er ikke rom for, innenfor den norske opplæringsloven, at leverandører behandler personopplysninger om elever til dette formålet. Selv ikke metadata (altså personopplysninger om hvordan en elev bruker løsningen). 

Hva betyr det? Er det kroken på døra for Google Workspace for Education i norsk skole? 

Det korte svaret er nei. La oss gå inn på hvorfor. 

Endringer i Googles standardavtaler etter KLs forhandlinger (KS’ danske søsterorganisasjon)

I sommer kom det danske datatilsynet med en uttalelse om at Helsingørsaken var løst. KL hadde etter lengre forhandlinger fått en egen avtale med Google, og den hadde tilsynelatende løst saken. 

Etter denne endringen, gjorde Google endringer i avtaleverket for Google Workspace for Education: 
«Service data is used to deliver and maintain the services that schools and students use, as well as to improve the security and reliability of these services»

Det danske datatilsynet mener at denne endringen er innenfor den danske opplæringsloven. Og vi mener at denne presiseringen gjør at kjernetjenestene i Google Workspace for Education også er innenfor den norske opplæringsloven.

Det betyr at behandling av elevers aktivitetsdata (metadata eller aktivitetsdata – en del av det Google kaller «servicedata»), er innenfor opplæringsloven for både formålet «delivery, reliability, and security of the service» og for formålet å «improve the reliability, and security of the service». 

Hva betyr denne presiseringen? 

Hva betyr dette for deg? Det spørs litt hvem du er, men for oss betyr presiseringen, både fra Kunnskapsdepartementet og fra Google, at det nå er veldig tydelig hva leverandører kan bruke elevers personopplysninger til, og det er positivt. 

Skal man bruke personopplysninger (inkludert metadata) om elever og lærer til egne formål, kan man bruke det til formål som ligger tett opp til det som er absolutt nødvendig for å levere tjenesten. Et eksempel på det er videreutvikling for formålene «reliability» og «security» i tjenesten. 

Opplæringsloven åpner rett og slett ikke for at skoleeier kan dele personopplysninger med leverandører som tar forbehold om å bruke elevenes aktivitetsdata til videreutvikling av den spesifikke tjenesten eller nye og andre tjenester. 

Så tilbake til spørsmålet: Hva betyr dette for deg som skoleeier som bruker Google Workspace for Education? 

Det betyr at du kan bruke kjernetjenestene i Google Workspace for Education og Chrome-tjenestene OS og nettleser når du har skrudd på Data Processor Mode. Dette fordi Google for disse tjenestene ikke behandler aktivitetsdata om elever til andre ting enn å «improve the reliability, and security of the service».

Hva betyr dette for deg som er skoleeier og som ikke bruker Google Workspace for Education, men et annet tilsvarende system? 

Det betyr at du må vite hvilke formål leverandøren din behandler personopplysninger om elever til. For du må kunne verifisere at dette ikke er formål som går ut over rammene i opplæringsloven. 

Helt konkret kan ikke leverandøren behandle personopplysninger om hvordan elever bruker løsningen (aktivitetsdata eller metadata) til å videreutvikle løsningen generelt. Så enkelt og så vanskelig.  

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Fikk du ikke med deg webinaret hvor Kristiansand kommune ble rådgitt om hvordan forvalte Google Workspace for Education over tid? Du er ikke alene, jeg har fått minst to henvendelser om når dette opptaket blir publisert! Og nå er det publisert, du finner det her! 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

What Can Providers Use Students' Personal Data For?

Hi !

A few weeks ago, we informed you that the DPIA had been postponed. We were cryptic about the reasons then. In this newsletter, we aim to clarify why.

What Personal Data Can the Provider Process for Its Own Purposes?
This is the issue that requires us to take additional time to finalize the DPIA. It's a tough question, one that recurs in many significant privacy cases, such as the Helsingør case in Denmark and the case where the European Data Protection Supervisor determined that the European Commission's use of Microsoft 365 was in violation of GDPR.

In this case, the Danish Data Protection Authority examined the purposes for which Google, as a provider, could process personal data. They evaluated three purposes and concluded that the Danish Education Law only allowed Google to use personal data for:

• "Delivery, reliability, and security of the service" 

While these purposes were not covered:

• "Improvement of the specific product that the school owner has purchased"
• "Development of other and new products or services from the supplier"

In spring 2024, we argued in a legal article that the purpose "Improvement of the specific product that the school owner has purchased" was covered by the Norwegian Education Law.

However, the Ministry of Education has now stated that within the Norwegian Education Law, there is no room for providers to process personal data about students for this purpose, not even metadata (i.e., personal data about how a student uses the solution).

What Does This Mean? Is It the End for Google Workspace for Education in Norwegian Schools?

The short answer is no. Let’s explore why.

Changes in Google's Standard Contracts After KL's Negotiations (KS’s Danish sister organization)

This summer, the Danish Data Protection Authority announced that the Helsingør case had been resolved. KL, after lengthy negotiations, obtained a separate agreement with Google, which apparently resolved the issue.

After this change, Google made adjustments in the contractual framework for Google Workspace for Education: Google Workspace Privacy Terms
"Service data is used to deliver and maintain the services that schools and students use, as well as to improve the security and reliability of these services."

The Danish Data Protection Authority believes that this change is within the Danish Education Law. And we believe that this clarification ensures that the core services in Google Workspace for Education are also within the Norwegian Education Law.

This means that the processing of students' activity data (metadata or activity data – part of what Google calls "service data"), is within the Education Law for both the purpose "delivery, reliability, and security of the service" and to "improve the reliability, and security of the service."

What Does This Clarification Mean?

For us, this clarification, both from the Ministry of Education and Google, makes it very clear what providers can use students' personal data for, and it is positive.

If one is to use personal data (including metadata) about students and teachers for their own purposes, it can be used for purposes closely aligned with what is absolutely necessary to deliver the service. An example of this is further development for the purposes of "reliability" and "security" of the service.

The Education Law simply does not allow school owners to share personal data with providers that reserve the right to use students' activity data for further development of the specific service or new and other services.

So, back to the question: What does this mean for you as a school owner using Google Workspace for Education?

You can use the core services in Google Workspace for Education and Chrome OS and browser services when you have turned on Data Processor Mode. This is because Google for these services does not process activity data about students for anything other than to "improve the reliability, and security of the service."

What does this mean for you as a school owner not using Google Workspace for Education, but another similar system?

You need to know the purposes for which your provider processes personal data about students. Because you must be able to verify that these purposes do not exceed the boundaries of the Education Law.

In concrete terms, the provider cannot process personal data about how students use the solution (activity data or metadata) to generally develop the solution. It’s as simple and as complicated as that.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!