Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Anbefalingene i DPIAen om metadata

Hei !

I nyhetsbrevet for to uker siden skrev vi om at du som er en norsk skoleeier, bare kan bruke de tjenestene fra Google hvor Google faktisk er databehandler, og ikke behandlingsansvarlig. Det er nemlig bare du som skal være behandlingsansvarlig. 

Men helt på slutten skrev vi et avsnitt om at dette ikke er fullt så svart-hvitt. Det er nemlig en situasjon hvor vi tror det er ok at Google er behandlingsansvarlig for metadata. 

Men før vi går inn på det, må vi snakke litt om hva som skiller «metadata» fra «innholdsdata». 

Metadata og innholdsdata, og hvorfor skiller vi dem fra hverandre? 
Det er vanlig å skille personopplysninger som er «metadata» fra personopplysninger som er «innholdsdata». 

Metadata kalles gjerne også diagnostiske data. Dette er data som viser hvordan en elev eller lærer bruker Google Workspace for Education. Dette kan være informasjon om det tråløse nettverket som en elev har koblet Chromebooken sin til. Eller hvilket tidspunkt eleven hadde logget seg på Google Classroom. 

Disse dataene er pseudonymiserte. Det betyr at de er indirekte identifiserbare. Det er viktig å huske at dette er personopplysninger, siden det er mulig for Google å identifisere den enkelte eleven. 

Likevel er ikke poenget å identifisere eleven. Poenget med å behandle disse opplysningene er som regel å få informasjon om hvordan brukerne bruker løsningen. På den måten kan leverandøren (her Google) sikre at tjenesten er oppe og fungerer som den skal. 

Metadata er ikke det samme som innholdsdata. Innholdsdata er f.eks. teksten i oppgaven en elev leverer inn til læreren, den skriftlige tilbakemeldingen som eleven får fra læreren, eller meldinger som elevene sender til hverandre i løsningen. Sagt litt enkelt er dette personopplysninger som brukeren eller dere som skoleeier putter inn i løsningen. 

Google er alltid behandlingsansvarlig for metadata 
Når det gjelder metadata, er Google alltid behandlingsansvarlig for dem. 

Du har kanskje hørt om Helsingørsaken eller Chromebook-saken fra Danmark der det danske datatilsynet forbød 53 danske kommuner å bruke Google Workspace for Education? 

Den handler primært om at danske skoleeiere ikke har hjemmel i den danske opplæringsloven til å dele metadata med Google for at Google så skulle behandle personopplysninger til egne formål. 

For hvis de gjør det, blir Google behandlingsansvarlige. Og da vil du som norsk skoleeier og behandlingsansvarlig ikke kunne kjøpe tjenester av dem og samtidig ivareta behandlingsansvaret ditt. 

Så hva er løsningen på det?

Jo, du må se på om opplæringsloven sier noe om hvordan du kan behandle metadata. 

Eller, du trenger ikke se på det. Vi i det nasjonale DPIA-prosjektet har sett på det for deg. I årets andre utgave av Lov&Data som publiseres en gang i juni, kommer artikkelen vår hvor vi redegjør sånn juridisk for dette. Der kan du – eller juristen din – lese hele den tunge, juridiske argumentasjonen for hvorfor vi mener at vi Chromebook-saken ville fått et annet resultat i Norge. 

Kort fortalt: i den nye opplæringsloven har bestemmelsen om tilpasset opplæring blitt flyttet til et eget kapittel (kapittel 11). Og så har den blitt presisert at tilpasset opplæring også betyr at opplæringen skal komme elevfellesskapet til gode. Det er presisert at dette ikke er en endring, det er en tydeliggjøring av dagens innhold. 

Så det er en tolkning av DEN bestemmelsen vi mener er det supplerende behandlingsgrunnlaget for at du som skoleeier kan behandle metadata til videreutvikling av de digitale løsningene som dere bruker for å gi elevene undervisning. 

Men la oss bare understreke det først som sist: Vi har tolket opplæringsloven utvidende. Det betyr at det ikke står svart på hvitt i opplæringsloven at det er helt ok at du som skoleeier bruker metadata om elever til videreutvikling av Google Workspace for Education. 

Vi har gjort en tolkning av bestemmelsen om tilpasset opplæring. Det er en tolkning vi mener er riktig. Men den kan også bli kritisert. Den kan til og med bli overprøvd av f.eks. Kunnskapsdepartementet eller Datatilsynet. 

Ok, ok! Nok forbehold! Hva har dere egentlig kommet til? 
Vi har kommet til at opplæringsloven åpner for at du som skoleeier kan dele metadata med leverandøren din for disse formålene: 
1.    Levering, tilgjengelighet og sikkerhet for tjenesten 
2.    Videreutvikling av den konkrete tjenesten 

Mens dette formålet er ikke innafor: 
3.    Videreutvikling av andre og nye produkter og tjenester fra leverandører

Med den konkrete tjenesten sikter vi til det eller de verktøyene som skoleeier anskaffer og kjøper lisens til.

Og så er ikke skillet mellom hva som er den konkrete tjenesten, og en ny tjeneste så tydelig som vi gir inntrykk av her, men det er en annen sak! 

Dette betyr uansett at du som norsk skoleeier har behandlingsgrunnlag for å dele metadata med leverandøren din, men bare for de to første formålene. 

Hvordan finner du ut om leverandøren din behandler metadata ut over dette? Jo du må se hva som står i den avtalen som du inngår med leverandøren. For Google Workspace for Education har vi i det nasjonale DPIA-prosjektet gjort jobben for deg. 

Vi har tolket opplæringsloven utvidende, det er ikke sikkert den tolkningen står seg
Vi må bare understreke (nok en gang) at vi har tolket opplæringsloven utvidende. 

Sagt på en annen måte: det står ikke svart på hvitt i opplæringsloven at det er helt ok at du som skoleeier bruker metadata om elever til videreutvikling av Google Workspace for Education. 

Dette betyr at denne tolkningen vil kunne overprøves, for eksempel av Kunnskapsdepartementet eller Datatilsynet. 

Men på tross av den risikoen, er dette en tolkning vi mener er riktig, og som gjør at vi anbefaler deg å fortsette å bruke Google-tjenestene som vi beskrev i det nyhetsbrevet for to uker siden. 

Invitasjon til LinkedIn Live
I neste uke skal vi ha en LinkedIn Live hvor vi presenterer behandlingsprotokollen versjon 2.0. Du finner arrangementet her. 

Og fredag den 14.06 kl 12-13 skal vi ha enda en LinkedIn Live hvor vi skal snakke om metoden for tredjelandsvurderinger og den konkrete vurderingen av Taiwan.

Vi begynner nå å bli ganske gode på metoden. Så gode at vi tror at vi kommer til å klare å forklare den på en enkel måte! Gled deg! 

Du finner arrangementet her.

Som alltid, hvis du ikke kan delta live, finner du opptaket på den samme linken slik at du kan se det når det passer deg 😊

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Den obervante leser la merke til at I forrige nyhetsbrev sa vi at vi skulle på NOKIOS og KiNS denne uka. Mente selvfølgelig NKUL og KiNS-konferansen :P Veldig hyggelig å treffe alle de som kom opp og sa hei til oss fra KS, SkoleSec og DPIA-prosjektet! 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

Recommendations from the DPIA on metadata

Hi !

In our newsletter two weeks ago, we discussed how you, as a Norwegian school owner, can only use the services from Google where Google acts solely as a data processor, not a data controller. It is crucial that you remain the data controller.

However, we ended with a paragraph noting that the situation isn't entirely black-and-white. We believe there is a scenario where it's acceptable for Google to be the data controller for metadata.

But before we dive into this, we need to discuss the distinction between "metadata" and "content data".

Metadata and content data – why do we distinguish them?

It's common to differentiate personal data that is "metadata" from "content data."

Metadata is often also called diagnostic data. These are data showing how a student or teacher uses Google Workspace for Education, such as information about the wireless network a student's Chromebook is connected to or the time a student logged onto Google Classroom.

These data are pseudonymized, meaning they are indirectly identifiable. It's important to remember that these are personal data since it's possible for Google to identify the individual student.

However, the goal isn't to identify the student. The purpose of processing these data is usually to gather information about how users utilize the service. This helps the provider (here, Google) ensure that the service is up and running correctly.

Metadata is not the same as content data. Content data, for example, is the text of an assignment a student submits to a teacher, the written feedback the student receives from the teacher, or messages students send to each other within the solution. Simply put, these are personal data that you as a school owner, or the users, input into the solution.

Google is always the data controller for metadata
Regarding metadata, Google is always the data controller.

You might have heard about the Helsingør case or the Chromebook case from Denmark, where the Danish Data Protection Agency prohibited 53 Danish municipalities from using Google Workspace for Education?

The case primarily concerns that Danish school owners do not have the authority under Danish education law to share metadata with Google for Google to then process personal data for its own purposes.

If they do, Google becomes the data controllers. And then you, as a Norwegian school owner and data controller, would not be able to purchase their services while maintaining your data control responsibilities.

So, what's the solution?

You need to check if the education law specifies how you can process metadata.

Or, you don't need to look into it. We in the national DPIA project have looked into it for you. In this year's second issue of Law&Data, to be published sometime in June, our article will provide a legal explanation for this. There, you – or your lawyer – can read the full, heavy legal argumentation for why we believe that if the Chromebook case were in Norway, the outcome would be different.

In short: in the new education law, the provision on adapted education has been moved to its own chapter (chapter 11). And it has been clarified that adapted education also means that the education should benefit the student community. It's clarified that this is not a change, it's a clarification of today's content.

That is the provision we believe is the supplementary legal basis for you as a school owner to process metadata for the further development of the digital solutions you use to educate students.

But let's just emphasize first and foremost: We have interpreted the education law expansively.

This means that it's not explicitly stated in black and white in the education law that it's entirely okay for you as a school owner to use metadata about students for the further development of Google Workspace for Education.

We have made an interpretation of the provision on adapted education. It's an interpretation we believe is correct. But it can also be criticized. It might even be overruled by, for example, the Ministry of Education or the Data Protection Authority.

Okay, okay! Enough with the caveats! What have you actually concluded?
We have concluded that the education law allows you as a school owner to share metadata with your provider for these purposes:
1 Delivery, availability, and security of the service
2 Further development of that specific service

While this purpose is not within scope:
3. Further development of other and new products and services from providers

In our DPIA project, when we refer to the "specific service," we mean the tools that you, as a school owner, procure and license. The distinction between what is considered the specific service and what might be classified as a new service is not as clear-cut as we might suggest. This, however, is a topic for another discussion.

Regardless, this means you, as a Norwegian school owner, have a legal basis to share metadata with your provider, but only for the first two purposes. How can you determine if your provider processes metadata beyond this scope? You need to review the terms of the agreement you enter into with your provider. For Google Workspace for Education, our national DPIA project has already done this work for you.

We have broadly interpreted the education law, although it's uncertain if this interpretation will hold up.

It's important to emphasize, once again, that our interpretation of the education law is expansive. It is not explicitly stated in the education law that it's perfectly acceptable for you as a school owner to use metadata about students for the further development of Google Workspace for Education. This interpretation might be challenged by entities like the Ministry of Education or the Data Protection Authority.

Despite this risk, we believe our interpretation is correct and recommend that you continue using the Google services as described in our newsletter from two weeks ago.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!