Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Innhenting av den registrertes mening: opptak fra LinkedIn Live, tips og triks 

Hei !

For noen uker siden hadde vi en LinkedIn Live om hvordan du kan innhente den registrertes mening når du gjør en DPIA. Vi hadde problemer med strømminga, men nå har vi publisert opptaket.

Du kan se opptaket her.   

Vi har også publisert rapportene fra innhenting av den registrertes mening på ks.no, sammen med en beskrivelse av hvilken metode vi har brukt. Dette kan du lese her. 

I dette nyhetsbrevet vil vi gjennomgå de tre viktigste tingene som vi ønsker at du skal sitte igjen med etter denne samtalen.

Tips 1: Innhent den registrertes mening før du starter å vurdere personvernrisiko

Hvorfor er det lurt å innhente den registrertes mening før du vurderer personvernrisiko? Jo, vi synes dette er lurt fordi de registrerte vil gi deg inspirasjon til risikoscenarioer som du ikke har tenkt på.

Den registrerte vil nemlig svare på hvilke personvernbekymringer hen har. Og det er det veldig lett for deg å oversette direkte til risikoscenarioer (dvs. situasjoner som kan innebære personvernbrudd) som du kan bruke i en DPIA.

Og hvis du skal gjøre en grundigere nødvendighetsvurdering, vil de det de registrerte er bekymret for også være relevant.

La oss illustrere dette med et eksempel!

Vi har gjort en DPIA av en løsning som bruker kunstig intelligens for blant annet å hjelpe lærere gi elever tilbakemelding på arbeidet deres. Da vi snakket med elever, var de bekymret for at løsningen kunne bety at læreren ikke trengte å lese arbeidet deres, at AIen ville gi en tekstlig tilbakemelding som uten at læreren egentlig var involvert i vurderingen.

Og da vi kom til vurderingen av om løsningen var nødvendig for å oppfylle formålet i opplæringsloven, kom vi til at akkurat denne delen av løsningen ikke oppfylte kravet til nødvendighet. De personvernbekymringene som de registrerte hadde fortalt oss om, veide tungt i den vurderingen.

Poenget med dette eksempelet er å vise hvordan du kan legge vekt på den registrertes mening også i andre deler av en DPIA enn selve vurderingen av risiko.  

Tips 2: Forklar den registrerte om risiko på en måte de kan forstå

Når du skal innhente den registrertes mening, er det viktig at du er ærlig med de registrerte om hvordan behandlingen kan utfordre personvernet deres. Det betyr at du ikke bare på presentere hva du faktisk skal gjøre med personopplysningene deres, du må forklare hva som kan gå galt.

Dette betyr å være ærlig og tydelig på en måte som kanskje er ubehagelig.

For Google-DPIAen betydde det at vi måtte forklare foresatte at jo, når barnet ditt bruker YouTube på skolePCen som har blitt tatt med hjem, samler Google inn personopplysninger om hjemmenettet ditt.

Og ja, Google gjør det også når barnet ditt ser på YouTube fra den private YouTube-kontoen sin. Hva synes du om det? Ser du noen personvernulemper her? Er det noe du er bekymra for?

Tips 3: Din jobb er først å lytte, og så å bestemme deg for hva du skal ta meg deg videre

Når du intervjuer de registrerte, kan du ikke kontrollere hvilke tilbakemeldinger de gir deg. Det kan være at de uttaler seg om ting som ikke er helt relevante for personvernrisiko.

F.eks. kan elever kanskje si at de helst skulle ønske at de kunne spille spill på skolePCen, mens foresatte skulle ønske at barna deres lærte løkkeskrift på skolen slik som før i tiden.

Dette er eksempler på uttalelser som ikke egentlig har med personvern å gjøre. Andre eksempler kan være at de registrerte tror at systemet du ber dem om innspill på fungerer på en måte som det faktisk ikke gjør.

Vårt råd til deg når slike ting kommer opp, er å la de registrerte få snakke. Ikke korriger. Vi vet det er vanskelig, men du er der for å lytte til det de har å si, ikke fortelle dem hvordan skoleeier faktisk har et internkontrollsystem som gjør at de ikke burde være bekymret for X, Y og  Z.

Og så er det din jobb etter intervjuet å bestemme deg for hva som er relevant for DPIAen din – hva du ønsker å ta med deg, og hva av tilbakemeldinger du kan skyve til siden.  

Bonustips: Formålet er å kartlegge personvernutfordringer, ikke alt som fungerer og er bra

Et valg vi tok veldig bevisst da vi innhentet den registrertes mening i begge de DPIAene som vi har jobbet med i SkoleSec, var at formålet med å innhente den registrertes mening var å kartlegge personvernutfordringer.

Det vil si at vi ikke var interessert i alt det som skoleeier som behandlingsansvarlig fikk til eller var god på.  Det er fint å få oversikt over det, men vi bestemte oss at det vi ønsket å få ut av samtalen med de registrerte var hvilke personvernbekymringer de hadde. Ikke det som var «bra» med behandlingen.

Og det var en fin pekepinn i arbeidet. Vi trengte ikke å balansere bildet og også innhente positive tilbakemeldinger. Vi så etter personvernrisiko. De tilfellene hvor ting kunne gå galt.

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

PS. Neste fredag blir det nytt webinar. Da skal vi ta den andre økta sammen med Tromsø kommune hvor vi prøver å ferdigstille behandlingsprotokollen deres for M365. Meld deg på her!  

Fikk du ikke med deg det første webinaret? Se de i opptak her! 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

The data subjects' opinions 

Hi !

A few weeks ago, we hosted a LinkedIn Live on how to gather the opinions of data subjects when conducting a Data Protection Impact Assessment (DPIA). We experienced streaming issues, but we have now published the recording.

You can watch the recording here: View Recording

We have also published reports from the gathering of data subjects' opinions on ks.no, along with a description of the method we used. You can read about it here: Gathering Data Subjects' Opinions

In this newsletter, we will review the three most important takeaways from this conversation.

Tip 1: Gather the data subject's opinion before you start assessing privacy risks

Why is it wise to gather the data subject's opinion before assessing privacy risks? We find this wise because the data subjects will provide inspiration for risk scenarios that you may not have considered.

The data subject will respond with their privacy concerns. And it's very easy for you to directly translate these into risk scenarios (i.e., situations that could involve privacy breaches) that you can use in a DPIA.

And if you are to perform a more thorough necessity assessment, the concerns of the data subjects will also be relevant.

Let's illustrate this with an example!

We conducted a DPIA on a solution that uses artificial intelligence to help teachers give feedback to students on their work. When we talked to students, they were concerned that the solution might mean that the teacher wouldn't need to read their work, that the AI would provide textual feedback without the teacher actually being involved in the assessment.

And when we assessed whether the solution was necessary to fulfill the purpose of the education law, we concluded that this particular part of the solution did not meet the necessity requirement. The privacy concerns that the data subjects told us about weighed heavily in that assessment.

The point of this example is to show how you can emphasize the data subject's opinion in other parts of a DPIA than just the risk assessment.

Tip 2: Explain the risks to the data subject in a way they can understand

When you're gathering the data subject's opinion, it's important that you are honest with the data subjects about how the processing might challenge their privacy. This means that you shouldn't just present what you're actually going to do with their personal data, you need to explain what could go wrong.

This means being honest and clear in a way that might be uncomfortable.

For the Google DPIA, this meant explaining to parents that yes, when your child uses YouTube on a school PC that has been brought home, Google collects personal data about your home network. And yes, Google does this also when your child watches YouTube from their private YouTube account.

What do you think about that? Do you see any privacy disadvantages here? Is there something you are worried about?

Tip 3: Your job is first to listen, and then to decide what to take with you moving forward

When you interview data subjects, you can't control what feedback they give you. It might be that they comment on things that aren't entirely relevant to privacy risks.

For example, students might say that they wish they could play games on their school PC, while parents might wish that their children learned cursive writing at school like in the old days.

These are examples of statements that don't really have to do with privacy. Other examples might be that the data subjects believe the system you are asking them for feedback on works in a way that it actually does not.

Our advice to you when such things come up is to let the data subjects talk. Don't correct them. We know it's hard, but you are there to listen to what they have to say, not tell them how the school owner actually has an internal control system that means they shouldn't be worried about X, Y, and Z.

And then it's your job after the interview to decide what is relevant for your DPIA – what you want to take with you, and what feedback you can set aside.

Bonus Tip: The goal is to map privacy challenges, not everything that works and is good

A choice we made very consciously when we gathered data subjects' opinions in both the DPIAs that we have worked on at SkoleSec, was that the purpose of gathering the data subjects' opinions was to map privacy challenges.

That means we were not interested in everything that the school owner as the data controller was good at or succeeded in. It's nice to get an overview of that, but we decided that what we wanted to get out of the conversation with the data subjects was which privacy concerns they had. Not what was "good" or what worked about the processing of personal data.

And that was a good pointer in the work. We didn't need to balance the picture and also gather positive feedback. We were looking for privacy risks. The cases where things could go wrong.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. Next Friday, there will be a new webinar. Then we will have the second session with Tromsø Municipality where we try to finalize their processing protocol for M365. Sign up here! M365 Webinar Didn't catch the first webinar? Watch the recordings here! Webinar Recording

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!