La oss snakke om prosjektrisiko! | Let us talk about project risk!

Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

La oss snakke om prosjektrisiko!

Hei !

La oss snakke om risiko knyttet til nasjonal DPIA-prosjektet. Hva har vi identifisert som den største prosjektrisikoen, og hva betyr det for deg og din kommune?

Dette er et betimelig spørsmål. Det er alltid ganske ubehagelig å snakke om denne type risiko, men la oss gjøre et forsøk.

Den største prosjektrisikoen vi har identifisert er at vi kommer til at behandlingsansvarlige kommuner ikke kan bruke Google Workspace for Education uten å bryte med sine personvernforpliktelser, og at vi derfor anbefaler å stoppe all bruk.

Dette høres veldig hardt og brutalt ut. La oss prøve å nyansere denne risikoen noe.

Behandling av personopplysninger til egne formål

En av de største prosjektrisikoene vi har identifisert handler om at forutsetningene for behandlingen ikke er til stede.

Nederlandske myndigheter har gjennomført en DPIA av Google Workspace for Education, og i den første versjonen av DPIAen, identifiserte de en høy risiko knyttet til Googles behandling av personopplysninger til egne formål, det vil blant annet si at opplysninger brukes til andre formål enn det de var tiltenkt

Dette er en kjent problemstilling for seg som har lest en standard databehandleravtale, gjerne fra en større skyleverandør. Mange av dem tar forbehold om å behandle personopplysninger til egne formål i en eller annen form.

Dette er problematisk fordi en kommune ikke kan bruke barn i skolen sine personopplysninger til andre formål enn de som fremgår av opplæringsloven. Deling av barns personopplysninger med en leverandør som bruker opplysningene til kommersielle formål, er ikke uten videre hjemlet i opplæringsloven.

Nederland har i den nyeste versjonen av DPIAen senket risikonivået på denne risikoen til et nivå som gjør at de har konkludert med at bruken av Google Workspace for Education kan fortsette.

Dette etter at Google gjorde endringer i databehandleravtalen med dem. Google har også forpliktet seg til å gjøre vilkårene gjeldende for alle andre kunder innen utgangen av 2023.

Det er verdt å merke seg at scope til den nederlandske DPIAen var Google Workspace for Education Plus (tidligere G Suite Enterprise for Education).

Flere av prosjektmedarbeiderne våre har vært med på å lage DPIAer for bruk av Google-tjenester i sine kommuner. Vi tror at mye av arbeidet vårt vil ligge i å tydeliggjøre hvilke personopplysninger som behandles til hvilke formål når man bruker en stor skyleverandør som Google.

Samarbeid med Google som et risikoreduserende tiltak

En rettesnor for prosjektet er at vi skal svare ut de tingene som er vanskeligst for deg som skal gjøre en DPIA. En av de mest utfordrende tingene når du står overfor en stor leverandør som Google, er å få oversikt over hvilke personopplysninger de behandler, hvordan de behandler dem, og hva det betyr for om de er behandlingsansvarlig eller databehandler.

Det høres banalt ut, men det er der utfordringen ligger.

For å kunne svare ut hvilke personopplysninger som konkret behandles har vi bestemt oss for å samarbeide med Google. Helt konkret har vi jevnlige møter har vi stilt dem en rekke spørsmål, og så følger vi opp med møter hvor vi diskuterer detaljer.

Målet vårt er at vi etter dette samarbeidet skal ha en forholdsvis enkel forklaring på hvilke personopplysninger som behandles i Google Workspace for Education og hvordan.

Vi har valgt å samarbeide med Google for å oppnå dette. Og det er det folk som er skeptiske til. Det forstår vi.

Vi har likevel valgt å gjøre det fordi vi mener vi kan få mye ut av samarbeidet. For det første er vi helt avhengige av å forstå dataflyt i Google Workspace for Education for å kunne skrive DPIAen. Da trenger vi hjelp fra Google.

For det andre er vårt inntrykk at Google også har en egeninteresse av at norske kommuner som deres kunder, klarer å bruke tjenesten på en måte som også gjør at kommunen klarer å ivareta sine personvernforpliktelser.

Hva er det mest sannsynlige resultatet?

Kan vi si noe om prosjektrisiko? Hvor sannsynlig tror vi det er at vi kommer til en anbefaling om at norske kommuner ikke skal kunnen bruke Google for Workspace overhodet?

Vi har det scenarioet som en risiko i prosjektet, men hvor sannsynlig det er, er veldig vanskelig å si.

Det vi tror er mer sannsynlig, er at vi kommer til å anbefale at visse tilleggstjenester ikke brukes. Google har i sin Implementation Guide for Google Workspace for Education uttrykt at de f.eks. anbefaler kommuner å skru av visse tilleggstjenester som YouTube.

Dette fordi det er tjenester der Google selv er behandlingsansvarlig. Hvis vi også vil anbefale dette, vil vi likevel se på om vi kan anbefale en personvernvennlig bruk. F.eks. om vi kan anbefale å bruke YouTube-videoer via Google Classroom.

Og så kan det være at vi anbefaler å bruke Google Workspace for Education i en bestestemt versjon eller på en bestemt lisens. Det finnes noen sikkerhetsfunksjoner som du bare har tilgang til dersom du betaler for en av de dyrere lisensene eller versjonene av løsningen. Det kan være at vi kommer til at de er så viktige at norske kommuner som et minimum bør kjøpe en bestemt lisens.

Vi ønsker å være forsiktige med hva vi sier i dette avsnittet. Ingen ting av det vi har skissert her er hogget i stein. Samtidig ønsker vi å dele noen tanker om mulige resultater og risiko, og det er det vi har gjort nå.

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Vi inviterer til en LinkedIn Live om det amerikanske etterretningsregelverket EO 12333, torsdag 14.09 kl. 12.00-13.00.

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

Let us talk about project risk!

Hi !

Let's discuss the risks associated with the national DPIA project. What have we identified as the greatest project risk, and what does it mean for your municipality?

This is a timely question. It's always somewhat uncomfortable to talk about this kind of risk, but let's give it a try.

The most significant project risk we've identified is that the municipalities as controllers may not be able to use Google Workspace for Education without breaching their data protection obligations, and that the project therefore will recommend discontinuing all use of Google Workspace for Education.

This sounds harsh, but let's try to nuance this risk a bit.

Processing of Personal Data for The Data Processor’s Own Purposes

We think that one of the biggest project risks is that the prerequisites for data processing are not met.

Dutch authorities have conducted a DPIA on Google Workspace for Education, and in the first iteration of the DPIA, they identified a high risk associated with Google's processing of personal data for its purposes. This means, among other things, that the information is being used for purposes other than what it was originally intended for.

This is a familiar issue for anyone who has read a standard data processing agreement, often from a major cloud provider. Many of them reserve the right to process personal data for their own purposes in some form or another.

This is problematic because a municipality cannot use school children's personal data for purposes other than those specified in the Norwegian Education Act. Sharing children's personal data with a supplier that uses the information for commercial purposes is not directly supported by this law.

The Netherlands has, in the latest version of the DPIA, lowered the risk level for this issue to a point where they have concluded that the use of Google Workspace for Education can continue.

This as a result of Google amending their data processing agreement. Google has also committed to rolling out these same terms to all other customers before the end of 2023.

It is worth noting that the scope of the Dutch DPIA var Google Workspace for Education Plus formerly known as G Suite Enterprise for Education.

Many of our project members have contributed to DPIAs for the use of Google services in their own municipalities. We believe a significant part of our work lies in clarifying which personal data are processed for what purposes when using a major cloud provider like Google.

Cooperation with Google as a Risk-Reducing Measure

One guiding principle for the project is to address the most challenging aspects of conducting a DPIA. When dealing with a large supplier like Google, one of the toughest challenges is getting an overview of which personal data they process, how they process it, and what it means regarding whether they are the data controller or data processor.

It sounds trivial, but that's where the challenge lies.

To understand which personal data are being processed specifically, we've decided to collaborate with Google. We have regular meetings where we've asked them several questions, and then we follow up with more detailed discussions.

Our goal is to provide a relatively simple explanation of what personal data are processed in Google Workspace for Education and how. We've chosen to collaborate with Google to achieve this, and we understand that some people are skeptical about this choice.

However, we've opted for it because we believe we can gain a lot from this collaboration. Firstly, understanding the data flow in Google Workspace for Education is essential for writing the DPIA, and for that, we need Google's help.

Secondly, we sense that Google also has a vested interest in ensuring that Norwegian municipalities, as their customers, can use their services in a manner that also complies with data protection obligations.

What Is the Most Likely Outcome?

What are the implications of these factors for the project's overall risk profile? How likely do we think it is that we will recommend that Norwegian municipalities should not use Google Workspace at all?

It's hard to say how likely this scenario is, although it's a risk we've identified in the project. What we think is more likely is that we may recommend not using certain additional services. Google has, in their Implementation Guide for Google Workspace for Education, advised municipalities to turn off specific additional services like YouTube, because Google itself is the data controller for those services. If we also recommend this, we will explore if there's a privacy-friendly way to use them, for example, recommending the use of YouTube videos via Google Classroom.

There are also certain security features only available as part of the paid Google Workspace editions (Standard or Plus). We may recommend that Norwegian municipalities should purchase one of those editions in order to get access to certain administrative or security features, if we deem them essential enough.

We wish to exercise caution in the assertions made in this section. While none of our observations are definitive, our aim is to provide you with valuable insights into potential risks and outcomes through this newsletter.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. We invite you to a LinkedIn Live on the american surveillance regulation EO 12333, Thursday 14th of September 12.00-13.00

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!