Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

🤔 Vi må snakke om særlige kategorier av personopplysninger 

Hei !

Dette er et nyhetsbrev hvor vi ber om din hjelp. Eller rettere sagt: vi ber om at du svarer på dette nyhetsbrevet og forteller oss hvordan dere har gjort det med særlige kategorier av personopplysninger. 
Hva mener vi med dette? 

La oss dykke ned i «problemet» med særlig kategorier av personopplysninger i skytjenester som Google Workspace for Education eller Microsoft 365!

Hvordan særlige kategorier av personopplysninger ignoreres 

Flere av oss i det nasjonale DPIA-prosjektet har gjort DPIAer for løsninger som Google Workspace for Education eller Microsoft 365 før. Et fellestrekk for disse løsningene er at de er verktøy for kommunikasjon mellom mennesker. F.eks. via en chattefunksjon eller e-post. 

Når mennesker kommuniserer, VIL vi utveksle sensitiv informasjon eller særlig kategorier av personopplysninger. 

Særlig kategorier av personopplysninger er definert i GDPR artikkel 9(1) og er opplysninger om 

• Rasemessig eller etnisk opprinnelse
• Politisk oppfatning
• Religion
• Filosofisk overbevisning eller fagforeningsmedlemskap,
• Genetiske opplysninger og biometriske opplysninger
• Helseopplysninger
• Opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering 

Det er rett og slett slik vi mennesker fungerer. Har du en kollega du regelmessig «snakker med» elektronisk, VIL du fortelle om sykemeldingen din, hvem som er kjæresten din eller at du skal på landsmøtet til Piratpartiet i kveld. 

Den kjipe sannheten er at i DPIAer, ignorerer vi ofte hvordan vi mennesker faktisk bruker løsningen. Vår påstand er at de fleste behandlingsansvarlige ender opp med å si at «ingen skal dele denne typen personopplysninger, og så stopper man der.  

Fem saker fra Island - utfordringen med å behandle særlige kategorier av personopplysninger i GWFE
Hvorfor holder det ikke lenger å ignorere at vi behandler særlige kategorier personopplysninger i Google Workspace for Education? 

Jo, vi har nylig fått fem saker hvor det Islandske datatilsynet har kitt fem kommuner på Island en bot for bruk av løsningen. En av de tingene som datatilsynet mente var et brudd, var at kommunene faktisk behandlet særlige kategorier personopplysninger, uten å ha tatt stilling til personvernetterlevelse.

Hva er utfordringen med å behandle særlige kategorier av personopplysninger i et system som Google Workspace for Education? 

Flere, men det første som slår oss som kommer fra den mer juridiske siden av personvern, er at da trenger man et behandlingsgrunnlag etter GDPR artikkel 9. 

Hva har DERE gjort? 
Så våre spørsmål til deg er: 

1. Hvordan har dere gjort det i det systemet som dere bruker? Det være seg Google Workspace eller Microsoft 365.
2. Har dere dokumentert at dere behandler særlig kategorier personopplysninger? Hvis nei, har dere ignorert det? Eller fortalt brukerne deres at de ikke skal dele denne typen informasjon? Eller annet?
3. Hvilket behandlingsgrunnlag bruker dere?  
   
   

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Dette er en diskusjon om behandlingsgrunnlag som vi ikke har et tydelig svar på, og som vi derfor synes er interessant!
 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

🤔 We need to talk about special categories of personal data 

Hi !

This is a newsletter where we are asking for your help. More precisely, we are asking you to respond to this newsletter and tell us how you have dealt with special categories of personal data.

What do we mean by this?

Let's dive into the "problem" of special categories of personal data in cloud services like Google Workspace for Education or Microsoft 365!

How special categories of personal data are overlooked
Many of us in the national DPIA project have conducted DPIAs for solutions like Google Workspace for Education or Microsoft 365 before. A common feature of these solutions is that they facilitate communication between people, for example, through a chat function or email.

When people communicate, we WILL exchange sensitive information or special categories of personal data. 

What is considered special categories of personal data is defined in GDPR article 9(1) as information about: 

•    Racial or ethnic origin
•    Political opinions
•    Religious or philosophical beliefs
•    Trade union membership
•    Genetic data and biometric data
•    Data concerning health 
•    Data concerning a natural person’s sex life or sexual orientation

This is simply how we humans operate. If you have a colleague you regularly "talk to" electronically, you WILL share information about your sick leave, who your partner is, or that you're attending the Pirate

Party's national meeting tonight.

The harsh truth is that in DPIAs, we often overlook how people actually use the solution. Our claim is that most data controllers end up saying, "no one should share this type of personal information," and then they stop there.

Five cases from Iceland - the challenge of processing special categories of personal data 
Why is it no longer sufficient to ignore that we process special categories of personal data in Google Workspace for Education?

Well, we have recently seen five cases where the Icelandic Data Protection Authority fined five municipalities in Iceland for using the solution. One of the issues identified by the Data Protection

Authority was that the municipalities were actually processing special categories of personal data without considering data privacy compliance.

What is the challenge of processing special categories of personal data in a system like Google Workspace for Education?

There are several, but the first that strikes us, coming from the more legal side of privacy, is that you then need a processing basis under GDPR Article 9.

How have you solved this? 
So, our questions to you are:

1. How have you handled this in the system you use, be it Google Workspace or Microsoft 365?
2. Have you documented that you process special categories of personal data? If not, have you overlooked it? Or have you informed your users that they should not share this type of information? Or something else?
3. What legal basis for processing are you using?

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. This is a discussion about processing bases that we don't have a clear answer to, and therefore find interesting!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!