| Nyhetsbrev om nasjonal DPIA for Google Workspace for Education
|
|
|
Hvilken metode skal vi bruke for Ă„ vurdere personvernkonsekvenser i DPIAen? |
|
|
Hei !
Hvis du har gjort en DPIA fÞr, vet du at du mÄ velge hvordan du skal vurdere personvernkonsekvenser. Sagt pÄ en annen mÄte: du mÄ bestemme deg for hvilken metode du skal bruke.
Du som har jobbet med personvern har kanskje vurdert risiko etter en to-faktormodell hvor du tar stilling til hvor sannsynlig det er at et risikoscenario faktisk skjer, og konsekvensene av risikoscenarioet.
Flere av oss som jobber med den nasjonale DPIAen har brukt denne typen metode fÞr, og har varierende erfaringer med det. Det er ikke rett frem Ä bruke en metode som tradisjonelt sett er brukt for Ä vurdere informasjonssikkerhet pÄ personvern. For selv om informasjonssikkerhet er en del av personvernkravene i GDPR, er det ogsÄ viktige forskjeller pÄ informasjonssikkerhet og personvern. Forskjellen pÄ informasjonssikkerhet og personvern Det finnes flere definisjoner pÄ forskjellen mellom disse to fagomrÄdene. En av dem finner vi i The Architecture of Privacy, Bowman, Gesher, Grabt & Slate, O'Reilly, 2015 (vÄr oversettelse):
"Ă
designe personvernbeskyttende tiltak handler om Ä begrense skade fra autoriserte brukere - de som eksplisitt har fÄtt tilgang til personopplysningene for et bestemt formÄl.
Men hva med uautorisert tilgang til data? Alle personvernkontroller i verden er meningslÞse hvis de kan omgÄs fra starten. Informasjonssikkerhet handler derfor om Ä begrense uautorisert tilgang til data, og er grunnleggende for Ä bygge et system som beskytter personvernet."
I fÞlge denne definisjonen gÄr forskjellen gÄr ut pÄ at for personvern skal du beskytte mot interne trusler, mens informasjonssikkerhet handler om Ä beskytte mot eksterne trusler.
Du som er jurist og har jobbet med DPIAer tidligere, Þnsker kanskje ogsÄ Ä legge til at personvern handler om etterlevelse, og at du faktisk skal sÞrge for at elever og lÊreres personvernrettigheter blir oppfylt. Forslag til metode
NÄr vi vet at personvern handler om Ä beskytte om interne trusler og Ä oppfylle registrertes personvernrettigheter, virker det litt kunstig Ä vurdere personvernrisiko pÄ samme mÄte som nÄr du skal vurdere informasjonssikkerhetsrisiko.
SÄ hvordan skal du vurdere personvernrisiko? Vi i det nasjonale DPIA-prosjektet prÞver oss pÄ en kvalitativ vurdering ut i fra disse nivÄene: |
Eksempel pÄ vurdering Okay, sier du kanskje, men hvordan skal du vurdere dette i praksis? Hvordan ser en slik vurdering ut? Vi er glad du spÞr! La oss illustrere med en risiko knyttet til endringer som stadig vekk rulles ut i Google Workspace for Education: |
Dette er et utkast av det arbeidsdokumentet vi jobber i nĂ„r vi vurderer risiko. Det vi deler med deg her, er en vurdering av personvernrisiko FĂR det er gjort noen risikoreduserende tiltak. Hvis du er en kommune som har et opplegg for hvordan dere skal hĂ„ndtere endringer fra en leverandĂžr som Google, mĂ„ du justere risikonivĂ„ ned her.
Men hvis du er en kommune som ikke har noen tiltak pÄ endringshÄndtering i Google Workspace for Education, kan du adoptere vÄr vurdering slik som den er.
Som du ser av vurderingen, tar vi utgangspunkt i det vi har kalt en «risikotrigger» - det som gjĂžr at dette er en risiko. Dette er ikke noe du MĂ
ha med i en risikovurdering, men vi har det med fordi det er en fin mÄte Ä finne omrÄder hvor vi tenker at det er risikoer vi mÄ ta stilling til.
Vi legger ogsÄ pÄ det som vi kaller «det mest sannsynlige risikonivÄet» - altsÄ beskriver vi potensielle konsekvenser, men i selve vurderingen, lar vi de mest sannsynlige konsekvensene blir fÞrende for hvilket risikonivÄ vi legger oss pÄ.
Det kan vi gjĂžre fordi vi bruker en kvalitativ metode, hvor vĂ„rt faglige skjĂžnn â heller enn en risikomatrise â er det som bestemmer hvilket risikonivĂ„ vi er pĂ„.
Det er bÄde positive og negative sider ved Ä bruke en kvalitativ metode slik som vi gjÞr. En av de vanligste kritikkene mot denne typen metode, er at den er subjektiv. Vurderingene vÄre pÄvirkes av de erfaringene vi som fagpersoner har gjort oss. Men det er ogsÄ hele poenget for oss nÄr vi har valgt denne tilnÊrmingen.
Det krever ogsÄ mer av oss som fagpersoner Ä gjÞre disse vurderingene siden det er vi som konkluderer med hvilket risikonivÄ det enkelte scenarioet. Men det gjÞr ogsÄ at vi kan sette pÄ trykk nyanser som vi ellers ikke ville kommet frem i vurdering av sannsynlighet og konsekvens.
Vi Þnsker ogsÄ Ä understreke at det vi har delt med deg i dag, er arbeidsdokumentet vÄrt slik det er nÄ. Hvis vi mÞter pÄ risikoscenarioer hvor denne tilnÊrmingen ikke passer, kommer vi til Ä endre malen.
Det endelige resultatet vil se annerledes ut, men vi vil ogsÄ holde deg oppdatert om dette underveis. Som kommunikasjonsstrategien vÄr lyder, fÞlger du med pÄ dette nyhetsbrevet, skal ingen ting av det vi kommer til i denne DPIAen komme som noen overraskelse pÄ deg!
Jeg Ăžnsker deg en riktig god, personvernvennlig helg!
Vennlig hilsen
Ida Thorsrud prosjektleder nasjonal DPIA |
|
|
KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner. |
|
|
| Newsletter: Progress on the National DPIA for Google Workspace for Education
|
|
|
Which method are we going to use to assess privacy impacts in the DPIA? |
|
|
Hi !
If you've conducted a DPIA (Data Protection Impact Assessment) before, you're aware that you need to decide on the approach to evaluate privacy impacts. In other words, you need to choose a method.
Those of you who have delved into privacy might have assessed risks using a two-factor model, considering both the likelihood of a risk scenario occurring and its consequences.
Many of us working on the national DPIA have employed this method in the past, with mixed experiences. It's not straightforward to apply a method traditionally used for information security to privacy. Even though information security is a part of the GDPR's privacy requirements, there are distinct differences between the two.
The difference between information security and privacy There are various definitions distinguishing these two domains. One such definition can be found in âThe Architecture of Privacy" by Bowman, Gesher, Grabt & Slate, O'Reilly, 2015:
«Designing privacy protections is about limiting harm by authorized users - those that have been explicitly granted access to the data for some purpose. But what about unautorized access to data? All the privacy controls in the world are meaningsless of they can be circumventee from the start. Information security, therefore, is about limiting unauthorized access to data, and is fundametal to building a privacy protective system.»
According to this definition, privacy focuses on defending against internal threats, while information security is about guarding against external threats. If you have a legal background and experience with DPIAs, you might also want to add that DPIAs are also about compliance and ensuring the privacy rights of students and teachers are upheld. The proposed method Given that privacy is about safeguarding against internal threats and upholding individuals' privacy rights, it seems a bit artificial to assess privacy risks in the same manner as information security risks. So, how should you evaluate privacy risks? Our national DPIA team is exploring a qualitative assessment based on these specific levels: |
Example from our assessment â work in progress
You might wonder, how does this assessment look in practice? We're glad you asked! Let's illustrate with a risk related to the frequent updates in Google Workspace for Education: |
This draft is from our working document used for risk assessments. What we're sharing here is an evaluation of privacy risks BEFORE any risk-reducing measures are applied. If your municipality has a system for handling updates from a provider like Google, you'll need to adjust the risk level accordingly. But if your municipality doesn't have such measures in place, you can adopt our assessment as it is. As you can see, we start with what we term a "risk trigger" - the reason this is a risk. It's not mandatory in a risk assessment, but we include it as it helps identify areas of potential risks. We also incorporate what we call "the most likely risk level" - describing potential consequences, but letting the most probable ones guide our risk level decision.
Using a qualitative method, as we do, has its pros and cons. A common critique is its subjectivity. Our assessments are influenced by our professional experiences. But that's precisely why we chose this approach. It demands more from us as professionals, but it also allows us to highlight nuances that wouldn't emerge in a probability and consequence evaluation.
We'd also like to emphasize that what we've shared today is our current working document. If we encounter risk scenarios where this approach isn't suitable, we'll modify our template. The final outcome might differ, but we'll keep you updated along the way. As our communication strategy goes, if you follow this newsletter, nothing we conclude in this DPIA will catch you off guard!
I wish you a wonderful, privacy-friendly week-end!
Best regards, Ida Thorsrud Project manager national DPIA
This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach. |
|
|
KS is The Norwegian Assosiation of Local and Regional Authorities |
|
|
|
