📝 M365 resultater fra undersøkelse | M365 Survey results 📝

Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

M365 resultater fra undersøkelse

Hei !

I høst sendte vi i SkoleSec (KS) ut en undersøkelse til alle landets fylkeskommuner og kommuner for å for å undersøke hvordan kommune-Norge bruker Microsoft 365.

Nå som vi er ferdig med å gjøre en DPIA av Google Workspace for Education, er det ett spørsmål som vi alltid får, og det er forskjellige versjoner av «Jammen, jammen, hvor blir det av DPIAen av Microsoft 365 da?».

Og det at vi så ofte fikk det spørsmålet, antok vi at sa ganske mye om behovet for en tilsvarende, nasjonal vurdering av personvernkonsekvenser ved bruk av M365 i skolen.

Men fordi vi ikke kan basere arbeidet vårt på antagelser, sendte vi ut en spørreundersøkelse til alle landets fylkeskommuner og kommuner høsten 2024.

Målet var å finne ut hvilke verktøy innenfor M365 norske skoleeiere brukte, litt om hvordan de har satt opp systemet, og ikke minst hvilke vurderinger (som DPIA og ROS) som var blitt gjennomført.

Flere har gjort en ROS, færre har gjort en DPIA

Undersøkelsen viser at det er relativt få som har gjort en DPIA. Når det gjelder ROS (Risiko- og sårbarhetsanalyser), står det noe bedre til, siden flere av respondentene oppgir å ha gjort denne typen vurderinger.

Likevel tyder en del av de kvalitative svarene på at selv om mange oppgir å ha gjort en ROS, kan det være grunn til å stille spørsmål ved kvaliteten av disse vurderingene.

En del oppgir for eksempel av disse vurderingene begynner å bli gamle, og at de ikke har blitt oppdatert. Det at flere bruker løsningen uten å ha gjort en DPIA, bekrefter antagelsen vår om at det er behov for å gjøre en nasjonal DPIA av Microsoft 365 slik som for Google Workspace for Education.

Vi har publisert resultatene fra kartleggingen som du kan laste ned her!

Hva skal vi bruke denne kartleggingen til?

Først og fremst var denne kartleggingen en bekreftelse på behovet for å gjøre en nasjonal DPIA av bruken av M365 i skolen.

Men vi kommer også til å bruke den til å sette rammene for hva vi skal vurdere i M365-DPIAen. Det vil si «omfanget» eller «scopet» til DPIAen av M365.

Tanken er at det er prosjektgruppa selv som definerer dette.

Men vi vil gjerne også høre fra deg! Har DU noen tanker om hva du ønsker deg fra DPIAen av M365? Hva vil du den skal svare ut? Er det noen spesielt vanskelige problemstillinger som du har møtt når du har gjort en DPIA av M365 i din kommune?

Fortell oss det ved å svare på denne e-posten!

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Vi ser fortsatt etter folk med pedagogisk, juridisk og teknisk kompetanse som kan være prosjektdeltakere i M365-DPIAen. For mer informasjon om dette, les det tidligere nyhetsbrevet hvor vi snakker om rammene for deltagelse. Interessert? Ta kontakt ved å svare på denne e-posten!

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

M365 Survey results

Hi !

This fall, we at SchoolSec (KS) sent out a survey to all the country's counties and municipalities to examine how municipal Norway uses Microsoft 365.

Now that we have completed a DPIA of Google Workspace for Education, one question we always get is different versions of "But, but, what about the DPIA of Microsoft 365 then?".

The fact that we often got this question, we assumed, said a lot about the need for a similar, national assessment of the privacy impacts of using M365 in schools.

However, because we cannot base our work on assumptions, we sent out a survey to all the country's counties and municipalities in the fall of 2024.

The goal was to find out which tools within M365 Norwegian school owners used, a bit about how they have set up the system, and not least which assessments (such as DPIA and ROS) had been carried out.

Several have conducted a ROS, fewer have done a DPIA

The survey shows that relatively few have conducted a DPIA. As for ROS (Risk and Vulnerability Analyses), it is somewhat better since several respondents state they have done these types of assessments.

However, some of the qualitative responses suggest that even though many report having done a ROS, there may be reason to question the quality of these assessments. Some state, for example, that these assessments are starting to get old, and that they have not been updated.

The fact that several are using the solution without having done a DPIA confirms our assumption that there is a need to do a national DPIA of Microsoft 365 just like for Google Workspace for Education.

We have published the results of the survey which you can download here!

What are we going to use this survey for?

Primarily, this survey was a confirmation of the need to conduct a national DPIA of the use of M365 in schools.

But we will also use it to set the framework for what we will assess in the M365 DPIA. That is the "scope" of the M365 DPIA. The idea is that the project group itself defines this.

But we would also like to hear from you! Do YOU have any thoughts on what you want from the DPIA of M365? What do you want it to answer? Are there any particularly difficult issues you have encountered when conducting a DPIA of M365 in your municipality?

Tell us by responding to this email!

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. We are still looking for people with educational, legal, and technical expertise who can be project participants in the M365 DPIA. For more information about this, read the previous newsletter where we discuss the participation framework. Interested? Contact us by replying to this email!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!