Forslag til behandlingsprotokoll for kjernetjenestene i Google Workspace for Education og invitasjon til LinkedIn Live | Proposal for a record of processing for core services in Google Workspace for Education and invitation to a LinkedIn Live

Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Forslag til behandlingsprotokoll for kjernetjenestene i Google Workspace for Education og invitasjon til LinkedIn Live

Hei !

Som en del av den systematiske beskrivelsen av behandlingsaktivitetene i DPIAen, har Nasjonal DPIA-prosjektet laget et forslag til behandlingsprotokoll.

Du kan laste ned forslaget her!

En systematisk beskrivelse av behandlingsaktiviteter

En del av enhver DPIA er å systematisk beskrive behandlingsaktivitetene. Datatilsynet har en veileder som sier hva en slik systematisk beskrivelse skal inneholde. Og det ligner veldig på det som skal stå i en behandlingsprotokoll:

Hvilke personopplysninger behandles
Hva er formålet med behandlingen
Hvilke registrere behandles det personopplysninger om
Hvor lenge skal de lagres
Hvilke sikkerhetstiltak er iverksatt
Dataflyt, det vil si hvor samles personopplysningene inn fra, utleveres de til noen og eventuelle overføringer til tredjeland

Derfor bestemte vi oss for at det ville være nyttig å lage en behandlingsprotokoll i regi av nasjonal DPIA-prosjektet.

Du kan laste ned forslaget vårt og bruke det hvis du ikke har opprettet en behandlingsprotokoll for kjernetjenestene i Google Workspace for Education. Og hvis kommunen allerede har en behandlingsprotokoll, kan du bruke vårt forslag til inspirasjon.

En kuriøsitet er at behandlingsgrunnlag ikke er et krav i en behandlingsprotokoll etter GDPR artikkel 30. Men det er alltid med fordi selv om det ikke er et formelt krav, er det et krav at du som behandlingsansvarlig skal dokumentere behandlingsgrunnlaget ditt. Og det er ganske enkelt å dokumentere hvis du tar det med i behandlingsprotokollen.

Prøv behandlingsprotokollen og gi oss en tilbakemelding

En av de tingene vi jobber etter i nasjonal DPIA-prosjektet, er at vi skal dele det vi lager underveis. Når vi bestemmer oss for hvordan vi skal gjøre noe, skal vi dele det med deg fortløpende. Dette er en fundamental del av kommunikasjonsstrategien vår. Målet med den er at dersom du følger med på hva vi gjør via dette nyhetsbrevet, skal ingen av konklusjonene våre komme som en overraskelse.

Dette er grunnen til at vi publiserer behandlingsprotokollen for kjernetjenestene i Google Workspace for Education nå.

Så bruk den, og gi oss en tilbakemelding på hvordan den er å bruke. Og hvis den kan forbedres, vil vi med deres tilbakemeldinger justere den slik at den endelige versjonen blir bedre enn den hadde blitt om vi hadde laget den i et vakuum.

Spesielt ønsker vi en tilbakemelding på hvilket behandlingsgrunnlag som du og DIN kommune eller fylkeskommune bruker for profilbilde til eleven. Eller fortell oss om dere har valgt å ikke bruke profilbilde og hvorfor.

Invitasjon til LinkedIn Live om behandlingsprotokoll

Vi kommer til å presentere behandlingsprotokollen i en LinkedIn Live. Vi tar en gjennomgang av protokollen, og snakker gjennom de tingene som har vært utfordrende, de valgene vi tok og hva vi tenker er forbedringspunkter.

Hvis du dukker opp live, kan du også stille oss spørsmål og vi vil svare etter beste evne. Eller du kan gi oss direkte tilbakemeldinger på protokollen.

Kom på LinkedIn-live tirsdag 17.10.2023 kl. 12.00 til 13.00!

Kan du ikke på dette tidspunktet? Det går fint! Du kan se opptaket i etterkant via linken ovenfor.

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Vi kommer til å oversette behandlingsprotokollen til engelsk og publisere den veldig snart!

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

Proposal for a record of processing for core services in Google Workspace for Education and invitation to a LinkedIn Live

Hi !

As part of the systematic description of processing activities in the DPIA, the National DPIA Project has created a proposal for a record of processing activities.

You can download the proposal in Norwegian here!

A Systematic Description of Processing Activities

A part of any DPIA is to systematically describe the processing activities. The Norwegian Data Protection Authority (Datatilsynet) has a guide that explains what such a systematic description should include. And it closely resembles what should be in a record of processing:

What personal data is processed
What is the purpose of the processing
Who are the data subjects
How long will the personal data be stored
What security measures are implemented
Data flow, meaning where from where the personal data is collected, whether it is disclosed to anyone, and any potential transfers to third countries

That's why we decided it would be useful to create a record of processing under the aegis of the National DPIA Project.

You can download our proposal and use it if you haven't created a record of processing for the core services in Google Workspace for Education. And if your municipality already has a record of processing, you can use our proposal for inspiration.

A curiosity is that the legal basis is not a formal requirement in a record of processing under GDPR Article 30. But it's almost always included in a record of processing because it IS a requirement that you as the data controller document that the processing is legal aka your legal basis. And it's quite simple to document it in the record of processing.

Try the Record of processing and Give Us Feedback

One of the things we're aiming for in the National DPIA Project, is that we should share what we create as we go along. When we decide how we are going to do something, we will share it with you continuously. This is a fundamental part of our communication strategy. The goal is that if you keep track of what we do via this newsletter, none of our conclusions should come as a surprise.

This is why we are now publishing the record of processing for the core services in Google Workspace for Education.

So use it, and give us feedback on how it is to use. And if it can be improved, we will, with your feedback, adjust it so that the final version becomes better than it would have been if we had created it in a vacuum.

We specifically seek your insights on the legal grounds you and YOUR municipality rely upon to process students' profile pictures as personal information. Alternatively, please inform us if you have opted not to permit the use of profile pictures, and we would appreciate an explanation of the reasons behind such a decision.

Invitation to LinkedIn Live About the Record of processing

We will present the record of processing in a LinkedIn Live. We will walk you through the record, discuss the challenges we've faced, the choices we made, and what we believe are areas for improvement.

If you join us live, you can also ask us questions, and we will answer to the best of our ability. Or, you can give us direct feedback on the protocol.

Join us on LinkedIn Live Tuesday, October 17, 2023, from 12:00 to 13:00!

Can't make it at this time? That's okay! You can watch the recording afterward via the link above.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. We will translate the record of processing into English and publish it very soon!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!