Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Denne DPIAen er IKKE et eksempel til etterfølgelse! 

Hei !

Dette er en rar overskrift. Vi har tidligere snakket om på hvilken måtte det nasjonale DPIA-prosjektet skal hjelpe deg å gjøre tilsvarende DPIAer av andre, store systemer. Så hvorfor sier vi nå at DPIAen vår IKKE er et eksempel til etterfølgelse? 

Det vi gjør i dette prosjektet er stort og komplekst. For det første har vi å gjøre med en av de største leverandørene i verden. For det andre er vi så heldige at både kommunene vi samarbeider med, KS og sentrale myndigheter, har satt av ressurser til å gjøre dette arbeidet. 

Det er verken realistisk eller nødvendig at du stabler på beina et prosjekt av denne størrelsen for enhver DPIA du skal gjøre. 

Dette nyhetsbrevet er til deg som ser de ressursene vi bruker på dette prosjektet og tenker «Hjelp, dette var litt mye. Hvis DETTE er standarden, tør jeg ikke starte på noen andre DPIAer!»

Hvorfor det er ressurskrevende å gjøre vurderinger av en så stor leverandør som Google 
La oss først si litt om hvorfor vi bruker så mange ressurser på denne DPIAen. Det handler i først og fremst om hva vi gjør en DPIA av (Google Workspace for Education) og hvem som er leverandøren (Google). 

Google er en stor leverandør. De fremstår som et selskap utad, men består egentlig av mange forskjellige selskaper. Litt forenklet kan vi si at tjenester som YouTube, Google søk og Gmail er laget av helt egne selskaper. Dette gjør personvernetterlevelse i løsningen komplekst, rett og slett fordi det er ganske vanskelig å få oversikt. 

En annen ting som påvirker deg som kommune og skoleeier sitt forhold til Google, er hvilken respons du får fra befolkningen i kommunen din. 

Flere av de kommunene som bistår inn i denne DPIAen, melder om at de får helt andre spørsmål og personvernbekymringer fra foresatte hva gjelder Google Workspace for Education, sammenlignet med verktøy fra andre leverandører. 

Og denne bekymringen kommer ikke helt ut av det blå, Google har f.eks. vært i vinden i Helsingør-saken. Dessuten har andre deler av selskapet en forretningsmodell basert på en behandling av personopplysninger som flere synes er ganske inngripende. 

Og akkurat dette personvernryktet til Google, gjør at vi må ettergå Google Workspace for Education ekstra når vi gjør en DPIA. Vi må rett og slett sikre oss at vi har fått den fullstendige oversikten. Det tar tid. 

Ting som er annerledes i en «vanlig» DPIA sammenlignet med vår
Husk også på at et stort og tildels komplisert system og tjeneste som Google, er mer krevende å gjennomføre en DPIA på enn mindre systemer som det er flest av i skolen. Vi antar at Google tjenester og produkter i skolen på mange måter er unntaket heller enn regelen med tanke på kompleksitet og tilgang på relevant informasjon når en vurderer en DPIA. 

Dette betyr at det som regel ikke er behov for like mange eksperter og ressurser for å få gjort en DPIA på andre mindre systemer. Husk også at det er bedre å ha gjort en DPIA ut fra de ressursene en har tilgjengelig nå enn å ikke ha gjort en DPIA i det hele tatt. 

Å gjennomføre en DPIA er en reise inn i systemet som gjør at en blir godt kjent med produktenes styrker og svakheter. Dette kan gi et bedre utgangspunkt for en mer spisset implementering med fokus på det en virkelig vil ha gjort med de tilgjengelige verktøyene heller enn å legge alt ut og la brukerne selv finne ut av det etter hvert. 

Forhåpentligvis😊

Dette prosjektet er mye mer enn bare en DPIA
Så la oss redegjøre litt nærmere for på hvilke måter det vi gjør i det nasjonale DPIA-prosjektet skiller seg fra den DPIAen du sitter med i din kommune. Vi gjør for det første mye mer enn en DPIA. 

Faktisk har vi flere andre leveranser som kommer i tillegg til den DPIAen vi skal ha ferdig i mars 2024. 

Vi skal levere veiledning til en rekke problemstillinger som har kommet opp i forbindelse med DPIAen. Den mest åpenbare veiledningen er knyttet til hvordan ta den DPIAen vi lager fra en 80%-versjon til en 100%-versjon. Med andre ord, hvordan skal den enkelte kommunen gå frem for å få denne DPIAen godkjent. Vi har også laget veiledning på erfaringshåndtering, behandlingsprotokoll og behandlingsgrunnlag. Dette er aktiviteter du ikke trenger gjøre når du gjør en DPIA. 

Den DPIAen vi lager skal brukes av så mange forskjellige kommuner med så ulik tilgang til ressurser og kompetanse. Det betyr at vi må forenkle. Og for å kunne forenkle, må vi først ha en helhetsoversikt som gjør det mulig for oss å ta stilling til hva vi kan tillate oss å forenkle. 

Det er ikke noe du trenger å ta hensyn til når du gjør en DPIA. Du lager en DPIA for din kommune, og trenger ikke tenke på at den skal forstås av nabokommunen som har langt færre ressurser til disposisjon enn det du har.  

Når vi vurderer risiko og kommer opp med anbefalinger til risikoreduserende tiltak, prøver vi å ta høyde for at rådene våre skal kunne brukeaav to kommuner som har satt opp Google Workspace for Education ulikt. 

Dette er heller ikke noe du trenger å gjøre når du gjør en vanlig DPIA av en behandling av personopplysninger i kommunen din. For deg holder det å ta stilling til hvordan din kommune har satt opp Google Workspace for Education. Du kan konsentrere deg om å ferdigstille DPIAen. 

En siste ting vi gjør som ikke du trenger å gjøre, er kommunisere til omverdenen hvordan det går underveis med DPIAen din. Vi vet at veldig mange sitter og venter på at vi skal bli ferdig med denne DPIAen, og er veldig spente på hvilke anbefalinger vi vil komme med. Det var derfor helt nødvendig for oss å holde deg som lurer på det oppdatert underveis. Det gjør vi i disse nyhetsbrevene, i live-sendingene våre på LinkedIn og publisering av ting vi blir ferdig med. 

Råd til deg som skal gjøre en DPIA
Så til deg som ser hva vi gjør i denne DPIAen og tenker at det ikke er vits i å gjøre en DPIA hvis du ikke kan gjøre det på dette nivået, husk at vår DPIA ikke er et eksempel til etterfølgelse. Selv om du skal gjøre en DPIA av et stort system, har vi en rekke tilleggsaktiviteter i dette prosjektet som du aldri trenger å gjøre i en vanlig DPIA.

Men selv om vår DPIA ikke trenger å være et eksempel til etterfølgelse, har vi noen råd til deg som skal gjøre en DPIA: samarbeid med andre om DPIAen din!

Ja, samarbeid gjør at ting tar litt lengre tid. Men det kan også ta skikkelig lang tid å gjøre en DPIA alene. Mange av oss som jobber med personvern og informasjonssikkerhet sitter ganske alene med oppgavene våre i mange kommuner. Det å sitt med ansvaret for å gjøre DPIAer alene, er tungt. Og den ensomheten kan i seg selv gjøre at du bruker lengre tid. 

La oss også understreke at vi har stor forståelse for at det er knapphet med ressurser og at dette kan oppleves som utfordrende. Du som gjør DPIAer i kommunen din, har mest sannsynligvis flere oppgaver og roller i tillegg til å drive med personvern. 

Det du kan ta med deg fra vår måte å jobbe på er at du kan samarbeide med andre. Dette kan se ut på forskjellige måter. Du kan f.eks. samle et team med forskjellig fagkompetanse som kan hjelpe deg med å komme opp med risikoscenarioer og som kan være med å vurdere personvernkonsekvenser. 

Eller du kan samarbeide med hun skikkelig flinke fagpersonen i nabokommunen som sitter med akkurat de samme vurderingene helt alene. Ha regelmessige arbeidsmøter hvor dere gjør jobben sammen eller hvor dere diskuterer problemstillinger. 

Kjenner du ingen fagpersoner i nabokommunen? Vi vil oppfordre deg som skal gjøre en DPIA, stor eller liten, om å etablere, delta og å bruke nettverk lokalt og regionalt som digitaliseringsnettverk for å diskutere og samarbeide. 

Dette blir det siste nyhetsbrevet før vi tar juleferie. Vi snakkes på nyåret! Jeg ønsker deg en riktig god, personvernvennlig ferie!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Og uansett hvor misfornøyd du er med DPIAen, husk at den dårlige, DPIAen som du er skikkelig misfornøyd med, uansett er bedre enn ingen DPIA! You are welcome!

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

This DPIA is NOT an example to follow! 

Hi !

This is an odd title. We've previously discussed how the national DPIA project should assist you in conducting similar DPIAs for other large systems. So, why are we now saying that our DPIA is NOT an example to follow?

What we're doing in this project is significant and complex. Firstly, we're dealing with one of the world's largest suppliers. Secondly, we're fortunate that the municipalities we collaborate with, KS (the Norwegian Association of Local and Regional Authorities), and central authorities have allocated resources for this work.

It's neither realistic nor necessary for you to assemble a project of this magnitude for every DPIA you conduct.

This newsletter is for those who see the resources we're using on this project and think, "Help, this is a bit much. If THIS is the standard, I'm afraid to start any other DPIAs!"

Why it's resource-intensive to assess a large supplier like google
Let's first explain why we're using so many resources on this DPIA. It primarily concerns what we're assessing (Google Workspace for Education) and who the supplier is (Google).

Google is a large supplier. They appear as a single company outwardly but actually consist of many different companies. For simplicity, services like YouTube, Google Search, and Gmail are made by entirely separate companies. This makes privacy compliance in the solution complex because it's quite difficult to get an overview.

Another aspect affecting you as a municipality and school owner is the response you get from your local community.

Several municipalities assisting in this DPIA report different questions and privacy concerns from parents regarding Google Workspace for Education, compared to tools from other suppliers.

And this concern doesn't come out of nowhere. For example, Google has been in the news for the Helsingør case. Additionally, other parts of the company have a business model based on processing personal data that many find quite intrusive.

This reputation of Google's privacy practices means we must scrutinize Google Workspace for Education more closely when conducting a DPIA. We need to ensure we have a complete overview. It takes time.

Differences between a "regular" DPIA and ours
Remember that a large and somewhat complicated system and service like Google is more challenging to assess in a DPIA than smaller systems, which are more common in schools. We assume Google's services and products in schools are more the exception than the rule regarding complexity and access to relevant information when evaluating a DPIA.

This means that usually, you don't need as many experts and resources to conduct a DPIA on other smaller systems. Also, remember that it's better to have done a DPIA with the resources you currently have than not to have done one at all.

Conducting a DPIA is a journey into the system, making you familiar with the product's strengths and weaknesses. This can provide a better basis for a more targeted implementation, focusing on what you really want to achieve with the available tools, rather than spreading everything out and letting users figure it out over time.

Hopefully 😊

We do much more than just a DPIA
So, let's clarify how what we do in the national DPIA project differs from the DPIA you have in your municipality. Firstly, we do much more than a DPIA.

In fact, we have several other deliveries in addition to the DPIA we need to complete by March 2024.

We will provide guidance on various issues arising from the DPIA. The most obvious guidance is related to taking the DPIA we create from an 80% version to a 100% version. In other words, how should each municipality proceed to get this DPIA approved? We've also created guidance on experience management, treatment protocol, and basis for treatment. These are activities you don't need to do when conducting a DPIA.

The DPIA we create will be used by many different municipalities with varying access to resources and expertise. This means we must simplify. And to simplify, we first need a complete overview that allows us to decide what we can afford to simplify.

This is something you don't need to consider when conducting a DPIA. You create a DPIA for your municipality and don't need to worry about it being understood by a neighboring municipality with far fewer resources at its disposal.

When we assess risk and come up with recommendations for risk-reducing measures, we try to ensure that our advice can be used by two municipalities that have set up Google Workspace for Education differently.

This is also not something you need to do when conducting a regular DPIA for processing personal data in your municipality. You just need to decide how your municipality has set up Google Workspace for Education. You can focus on completing the DPIA.

One last thing we do, which you don't need to do, is communicate to the outside world how things are going with your DPIA. We know many are waiting for us to finish this DPIA and are very eager to hear our recommendations. Therefore, it was essential for us to keep those curious updated along the way. We do this in these newsletters, our live broadcasts on LinkedIn, and publishing things we finish.

Advice for conducting a DPIA
So, to those who see what we're doing in this DPIA and think it's pointless to conduct a DPIA if you can't do it at this level, remember that our DPIA is not an example to follow. Even if you're conducting a DPIA of a large system, we have several additional activities in this project that you'll never need to do in a regular DPIA.

But even though our DPIA doesn't need to be an example to follow, we have some advice for those conducting a DPIA: collaborate with others on your DPIA!

Yes, collaboration makes things take a bit longer. But it can also take a really long time to do a DPIA alone. Many of us working in privacy and information security are quite isolated in many municipalities. Being solely responsible for conducting DPIAs is burdensome. And that loneliness itself can make you take longer.

Let's also emphasize that we understand the scarcity of resources and how challenging this can be. You conducting DPIAs in your municipality probably have several other tasks and roles in addition to privacy.
What you can take from our approach is that you can collaborate with others. This can look different. For example, you can assemble a team with different professional expertise to help come up with risk scenarios and assess privacy consequences.

Or you can collaborate with that really skilled professional in the neighboring municipality who is dealing with the same evaluations alone. Have regular working meetings where you do the job together or discuss issues.

Don't know any professionals in the neighboring municipality? We encourage you who are conducting a DPIA, big or small, to establish, participate in, and use local and regional networks like digitalization networks to discuss and collaborate. 

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

P.S. And no matter how dissatisfied you are with the DPIA, remember that the very imperfect DPIA that you're really unhappy with is still better than no DPIA at all! You're welcome!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!