Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Hva Det Hele Handler Om: Elevers Rettigheter og Friheter

Hei !

I ukas nyhetsbrev skal vi ta noen skritt tilbake og snakke om hva hele denne DPIAen handler om – nemlig å beskytte barns rettigheter og friheter.  

Som kommune tar man valg på vegne av de registrerte, da må man også ivareta personvernet

Når du som kommune tar en beslutning om å implementere en digital plattform som Google Workspace for Education, tar du også et valg på vegne av elever om hvor og hvordan deres digitale personopplysninger skal håndteres. Det er viktig å anerkjenne at elever ikke har muligheten til å velge bort den plattformen som kommunen velger. 

Som mange av dere kjenner til, ber vi ikke elevene om samtykke for å behandle personopplysningene dere. Behandlingsgrunnlaget er opplæringslovens bestemmelser som gir elever rett til opplæring, og kommunen en plikt til å gi opplæring. 

Det betyr at kommunen som behandlingsansvarlig plikter å ta personvernvennlige valg på vegne av elevene, som ikke kan ta dette valget selv. 

GDPR pålegger kommunen i denne sammenheng en rekke plikter som skal gjøre det mulig å vurdere om elevenes personvernrettigheter vil bli ivaretatt i en løsning som Google Workspace for Education. Den DPIAen vi nå gjør er et slikt verktøy. 

Det skal også sies at det ikke bare er et spørsmål om elevenes personvern vil bli ivaretatt i den eksterne løsningen Google Workspace for Education. Det er også et spørsmål om kommunen som skoleeier har rigget seg på en måte som gjør at de kan ivareta elevenes personvern. Sagt på en annen måte: har kommunen tilstrekkelig internkontroll som sikrer at kommunen ivaretar sine plikter etter GDPR.    

Vanskelige valg for kommunen

Vi vet at du som kommune, skoleeier og behandlingsansvarlig, står overfor vanskelige valg når du skal vurdere om elevers personvern er ivaretatt. 

Kanskje du sliter med å utpeke eller ansette folk som har kompetanse til å hjelpe deg å vurdere personvern? Eller kanskje du ikke har økonomi til å kjøpe de mest personvernvennlige løsningene? Eller kanskje du har det, men det er vanskelig å få oversikt over hvilke personopplysninger som disse plattformene faktisk behandler. 

Det siste er en utfordring vi i DPIA-prosjektet også møter. Det er vanskelig å få en oversikt over hva en stor leverandør som Google tilbyr i Google Workspace for Education, hva som er forskjell på tilleggstjenester og kjernetjenester, og hva det har å si for ansvarsfordelingen mellom kommunen og Google. 

Dette er problemstillinger vi vil tørre å påstå alle kommuner kjenner på i større eller mindre grad. Og håpet vårt er at den nasjonale DPIAen vil gjøre disse utfordringene litt enklere å håndtere. 

Når vi skal lære elever å bli (digitale) borgere, må vi lede som et godt eksempel

Men la oss gå tilbake til hva kjernen i denne DPIAen egentlig er: elevenes personvern, rettigheter og friheter. 

For selv om dette er vanskelig for deg som kommune, står det mer på spill for deg som elev. 
Vårt mål er at offentlig sektor, her kommunene, skal gå foran med et godt eksempel på hva elever kan forvente av behandlingsansvarlige. 

Vi som jobber med personvern, pleier noen ganger å si at personvern er menneskerettigheter i praksis. Det høres veldig stort ut, men det er egentlig veldig nedpå og konkret. For kommunen som behandlingsansvarlig har mye å si for hvordan personvernet til elevene ser ut i praksis. 

Hvilken informasjon får elevene (og foresatte) om hvordan elevenes personopplysninger behandles? Hvordan ivaretar kommunen retten til innsyn sånn helt konkret? Hvilken type tilgangsstyring har kommunen iverksatt for å beskytte elevenes personopplysninger og sikre at bare de lærerne som faktisk trenger tilgang til elevens skoleoppgaver får det? 

Det er opp til kommunen å svare på alle disse spørsmålene. Og i svarene ligger det hvordan den enkelte kommunen har valgt å operasjonalisere elevens rett til personvern. 

Vårt mål er både at den nasjonale DPIAen skal gi noen svar til hvordan operasjonalisere disse rettighetene. Men også at du som kommune og behandlingsansvarlig kan se verdien av å sette standarden for hva elever skal kunne forvente til hvordan andre virksomheter skal behandle deres personopplysninger. 

For når alt kommer til alt er det dette det handler om: elevers rettigheter og friheter. 

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Vi gjennomførte en LinkedIn Live om EO 12333 torsdag 14.09.23. Fikk du den ikke med deg? Du kan se den når det passer deg her

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

What it is all about: Student’s Rights and Freedoms

Hi !

In this week's newsletter, we are taking a step back to understand what this DPIA is all about: protecting children’s rights and freedoms. 

As a municipality, when making decisions on behalf of the data subject, one must also safeguard privacy

When you, as a municipality, make the decision to implement digital platforms such as Google Workspace for Education, you are also making choices on behalf of the students regarding how and where their digital personal data will be managed. It's crucial to recognize that students don’t have the option to opt-out of the platform selected by the municipality.

As many of you are aware, we don't ask students for consent to process their personal information in a school context. The legal basis for this is the provisions of the Norwegian Education Act, which grants students the right to education and mandates the municipality to provide it.

This means that the municipality, as the data controller, has a responsibility to make privacy-friendly choices on behalf of students, who cannot make these choices for themselves.

GDPR imposes a number of obligations on municipalities to assess whether students' privacy rights will be upheld in a solution like Google Workspace for Education. The DPIA we are currently conducting serves as a tool for this purpose.

It's worth mentioning that it's not just a question of whether an external platforms like Google Workspace for Education will uphold students' privacy. It's also a question of whether the municipality, as the controller, has adequately prepared itself to protect the students' privacy rights. In other words, does the municipality have sufficient internal controls to fulfill its obligations under GDPR?

Touch Choices

We know that you, as a municipality, school owner, and data controller, face difficult choices when determining whether students’ privacy is adequately protected.

You may be struggling to find or hire people with the expertise to help you assess privacy concerns? Or perhaps lacking the budget to invest in the most privacy-friendly solutions? Maybe you have the resources, but it’s challenging to understand what personal data these platforms actually process?

Especially the last one is a challenge we in the DPIA-project also encounter. It's difficult to get an overview of what a large vendor like Google offers in Google Workspace for Education—what constitutes additional services versus core services and how that impacts the distribution of responsibilities between the municipality and Google.

We dare say that these are issues all municipalities face to some extent. Our hope is that the national DPIA will make these challenges a bit easier to manage.

Leading by Example in Teaching Digital Citizenship

Let's return to the core of what this DPIA is really about: students’ privacy, rights, and freedoms.

While this is a challenge for you as a municipality, there's even more at stake for the students.

We wish that the public sector, in this case, municipalities, will set a good example of what students should be able to expect from data controllers.

Those of us working in privacy sometimes say privacy is about how to implement human rights in practice. This may sound grand, but it’s actually quite specific and concrete. How the municipality as a data controller acts, has a significant impact on what students' privacy looks like in reality.

What information do students (and parents) receive about how their personal data is handled? How does the municipality specifically uphold the right to access? What type of access control has been implemented to protect students' personal data and ensure only teachers who genuinely need access to students' schoolwork get it?

It’s up to the municipality to answer these questions. And in those answers lies how each municipality has chosen to operationalize the students' right to privacy.

Our goal is that the national DPIA will provide some answers on how to operationalize these rights. But also that you, as a municipality and data controller, can see the value of setting the standard for what students should expect from how other controllers handling their personal data. 

Because, in the end, that’s what it's all about: students' rights and freedoms.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. We conducted a LinkedIn Live in Norwegian about EO 12333 on Thursday, 14.09.23. Did you miss it? You can watch it at your convenience here

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!