Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Hvordan innhente den registrertes mening? 

Hei !

Når du gjør en personvernkonsekvensvurderinger eller Data Protection Impact Assessment (DPIA), skal du spørre den registrerte eller en representant for den registrerte om deres mening om behandlingen. 

Og ja, dette er en forpliktelse som gjelder «dersom det er relevant». Dersom man vet hvem de registrerte er, og for Google-DPIAen er det åpenbart at vi vet hvem dette er.  

Vår erfaring er at mange hopper over denne delen av DPIAer. Vi mistenker at det både er fordi dette vil være ekstra arbeid, og fordi det kanskje kan være litt skummelt å snakke med de registrerte. 

Så hvordan løste vi dette i den nasjonale DPIAen? 

Metoden som du også kan bruke

Vi prøvde å gjøre dette så enkelt som mulig. Vi spurte Utdanningsforbundet, Elevorganisasjonen og FUG som de kunne spørre sine medlemmer om noen ville la seg intervjue av oss. Vi fikk en liste med navn, og så avtalte vi intervjuer.  

Før intervjuene sendte vi den enkelte en oversikt over hvilke personopplysninger som behandles i Google Workspace for Education og hvordan. Dette svarer i stor grad til den delen av DPIAen som beskriver behandlingsaktivitetene. 

Under intervjuet presenterer vi dette muntlig, og så stilte vi to spørsmål:

1. Hvilke personvernbekymringer har du på bakgrunn av det du nå vet om hvordan personopplysninger behandles? (Her spør vi om personvernrisiko)
2. Hva ønsker du at vi skal gjøre med det? (Her spør vi om risikoreduserende tiltak)

De hadde også fått informasjon om at det var disse to spørsmålene vi ønsket å stille dem på forhånd. 

Etter intervjuene skrev vi referat som den vi hadde intervjuet fikk til verifisering. 

Så oppsummerte vi alle tilbakemeldingene i en egen rapport.

Og voilà! Ferdig! 

Publisert rapport
Vi har nylig publisert oppsummeringen fra innhentingen av den registrertes.

Du kan lese dem her. 

Invitasjon til LinkedIn Live om erfaringene våre
Vi i SkoleSec har ikke bare jobbet med DPIA av Google Workspace for Education. Vi har også gjort en DPIA av tjenester levert av Learnlab. Og i den forbindelse har vi også innhentet den registrertes mening. Det betyr at vi nå begynner å få ganske mye erfaring om hvordan gjøre dette i praksis. 

Og det betyr også at det er tid for en ny LinkedIn Live – denne gangen hvor vi deler erfaringer fra hvordan innhente den registrertes mening i forbindelse med en DPIA. 

• Hva har vi lært?
• Hvilke tips har vi til deg som også skal gjøre dette?
• Hva kan du ta med deg fra våre erfaringer?
• Hva er det registrerte egentlig mest opptatt av?
• På hvilken måte kan det hjelpe deg når du skal sette deg ned å gjøre en DPIA? 

Kom på LinkedIn Live tirsdag 19.11.24 kl. 12.00 til 13.00!

Meld deg på her

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Vi har nå ny dato for neste webinar, nemlig fortsettelsen av utfylling av behandlingsprotokoll med Tromsø kommune. Det blir tirsdag 3. desember fra kl. 11.00-13.00. Meld deg på her! 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

[Emnetittel]

Hi !

When conducting a Data Protection Impact Assessment (DPIA), you are required to ask the data subject or a representative for their opinion on the processing. And yes, this is an obligation that applies "when relevant." If you know who the data subjects are, and for the Google DPIA, it is clear that we know who they are.

Our experience shows that many skip this part of DPIAs. We suspect this is both because it would involve extra work and because it might be a bit daunting to talk to the data subjects.

So how did we solve this in the national DPIA? 

Method you can also use
We tried to make it as simple as possible. We asked the Education Union, the Student Organization, and FUG if they could ask their members if anyone would like to be interviewed by us. We received a list of names and then scheduled interviews.

Before the interviews, we sent each individual an overview of the personal data processed in Google Workspace for Education and how. This largely corresponds to the part of the DPIA that describes the processing activities.

During the interview, we presented this orally, and then we asked two questions:

1.  What privacy concerns do you have based on what you now know about how personal data is processed? (Here, we ask about privacy risk)
2. What do you want us to do about it? (Here, we ask about risk-reducing measures) They were also informed in advance that these were the two questions we wanted to ask them.

After the interviews, we wrote minutes that the interviewee could verify.

We then summarized all the feedback in a separate report.

And voilà! Done!

Published report
We have recently published the summary from the gathering of the data subject's input.

You can read them here. 

Invitation to LinkedIn Live 
At SkoleSec, we have not only worked with the DPIA of Google Workspace for Education. We have also conducted a DPIA for services provided by Learnlab. And in that context, we have also gathered the data subject's opinion.

This means that we are now beginning to gain quite a bit of experience on how to do this in practice.

And that means it's time for a new LinkedIn Live — this time where we share experiences on how to obtain the data subject's opinion in connection with a DPIA.

What have we learned? What tips do we have for you who will also do this? What can you take away from our experiences? What are the data subjects really most concerned about? In what way can it help you when you sit down to do a DPIA?

Join us on LinkedIn Live Tuesday, 19.11.24 from 12:00 PM to 1:00 PM!

Register for the event here 

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!