✅ DPIAen er utsatt, men vi kan fortsatt snakke om hva du trenger å ha på plass før du kan gjøre den til din egen | DPIA delayed, but let’s discuss what you need in place to make it your own ✅

Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

DPIAen er utsatt, men vi kan fortsatt snakke om hva du trenger å ha på plass før du kan gjøre den til din egen

Hei !

For litt siden fortalte vi at DPIAen skulle publiseres i oktober. Oktober kom og vi er nå første november, og DPIAen er ikke publisert.

Og vi kommer til å sitte på den litt til. Vi er ikke sikre på når vi kan publisere, men vit at vi kommer til å annonsere publikasjon her i dette nyhetsbrevet først. Så følg med her.

Men det vi kan snakke om, er hva du som venter på DPIAen allerede nå må ha på plass for å kunne ta vårt 80%-utkast og gjøre det til ditt eget.

Hvem skal eie DPIAen?
En DPIA skal eies av en leder med ansvar for skole, risiko, personvern og informasjonssikkerhet. Konkret er det en leder som skal «godkjenne» resultatene i DPIAen.

En DPIA inneholder som kjent en vurdering av risiko for brudd på elever, lærere og andre brukere av systemet sine personvernrettigheter, med risikoreduserende tiltak. Og noen – en leder – må «eie» denne risikoen og de risikoreduserende tiltakene som er bestemt gjennomført.

Vet du hvem som skal eie risikoen i DPIAen? Er det oppvekstsjefen i kommunen? Er det en sjef på IT? Er det noen i politisk ledelse?

Uansett hvem dette er i din kommune, er det noen som har dette ansvaret. Du må finne ut hvem.

Tips: Hvis du ikke vet, spør! Kanskje personvernombudet vet?

Har kommunen din interne rutiner som du skal følge når du lager en DPIA?
Noen kommuner har allerede interne rutiner for hvordan du skal gå frem når du lager en DPIA. Finn den rutinen, les den og gjør deg opp en mening om hva du må gjøre for å få på plass denne DPIAen.

Har kommunen en mal som du må bruke? Finn den og les igjennom, fordi den kan fortelle deg litt om hvem du må involvere når.

Er det noen som SKAL involveres? Når du gjør en DPIA, er det et formelt krav at personvernombudet skal lese igjennom og uttale seg om DPIAen. Kanskje kommunen din har egne regler om når og hvordan personvernombudet skal involveres?

Tips: Ta kontakt med personvernombudet allerede nå, fortell at du har en DPIA på trappene og spør om hvordan hen ønsker å bli involvert. Kanskje vedkommende kan tipse deg om det finnes en mal.

Sjekk ut hvilken informasjon om Google Workspace for Education som kommunen har kommunisert ut
DPIAen er ikke publisert, men det vi kan fortelle deg, er at en del av de resterende 20% som du som skoleeier skal ferdigstille, handler om hvilken informasjon du har gitt elever (og foresatte som elevenes verger), lærere og andre som bruker Google Workspace for Education.

En del av enhver DPIA handler nemlig om hvordan du skal svare ut personvernprinsippene og personvernrettighetene.

Vi har sett at hvilken informasjon du gir, er viktig. Både fordi det er en måte å oppfylle elever, lærere og andre ansatte som bruker Google Workspace for Education sin rett til informasjon, og fordi det er en måte å svare ut prinsippet om åpenhet.

Og dette er en ting du kan starte med allerede nå.

Hvordan? La oss dele noen eksempler i tilfeldig rekkefølge som vi synes er gode og som du kan ta utgangspunkt i:

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Torsdag 7. november i neste uke blir det LinkedIn Live om evalueringen av DPIA-prosjektet fra kl 12.00 til kl. 13.00. Prosjektleder for evalueringen, Tom, kommer for å snakke om hva han synes er interessant med prosjektet. Du kan følge med live her eller se opptaket i etterkant (samme link).

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

The DPIA is delayed, but let’s discuss what you need in place to make it your own

Hi !

We previously announced that the DPIA would be published in October. Now, as we’ve reached November 1st, the DPIA has not yet been released. We will need to hold onto it a little longer. We are not sure when we will be able to publish, but rest assured, we will announce the publication here in this newsletter first. So, keep an eye on this space.

However, what we can discuss is what you, who are awaiting the DPIA, already need to have in place to be able to take our 80%-draft and make it your own.

Who should own the DPIA?
A DPIA should be owned by a leader responsible for school, risk, privacy, and information security. Specifically, it is a leader who should "approve" the results in the DPIA.

A DPIA, as known, contains an assessment of the risk of breaches of privacy rights for students, teachers, and other users of the system, with risk-reducing measures.

And someone—a leader—must "own" this risk and the risk-reducing measures that have been decided to be implemented.

Do you know who will own the risk in the DPIA? Is it the head of child and education services in the municipality? Is it an IT manager? Is it someone in political leadership?
Whoever it is in your municipality, someone has this responsibility. You need to figure out who.

Tip: If you don’t know, ask! Maybe the Data Protection Officer knows?

Internal procedures and templates
Does your municipality have internal procedures you should follow when creating a DPIA? Some municipalities already have internal procedures for how to proceed when creating a DPIA.

Find that procedure, read it, and make up your mind about what you need to do to get this DPIA in place.

Does the municipality have a template you must use? Find it and read through it, because it can tell you a bit about who you need to involve and when.

Is there anyone who MUST be involved? When you do a DPIA, there is a formal requirement that the Data Protection Officer must read through and comment on the DPIA. Maybe your municipality has its own rules about when and how the Data Protection Officer should be involved?

Tip: Contact the Data Protection Officer now, tell them you have a DPIA coming up and ask how they would like to be involved. Perhaps they can tip you off if there is a template available.

Communication of information
Check out what information about Google Workspace for Education the municipality has communicated.

The DPIA has not been published, but what we can tell you is that part of the remaining 20% that you as a school owner need to finalize, deals with the information you have provided to students (and parents as the guardians of the students), teachers, and others who use Google Workspace for Education.

Part of any DPIA deals with how you respond to privacy principles and rights. We've seen that the information you provide is crucial.

It fulfills the right to information for students, teachers, and other staff using Google Workspace for Education and addresses the principle of transparency. And this is something you can start with right now.

How? Let's share some examples in random order that we think are good and that you can use as a basis:

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. Next week on Thursday, November 7th, there will be a LinkedIn Live session about the evaluation of the DPIA project from 12:00 PM to 1:00 PM. The project leader for the evaluation, Tom, will be there to discuss what he finds interesting about the project. You can watch it live here or view the recording later (same link).

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!