Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Vi må snakke om personvern vs. innholdsbegrensning 

Hei !

DPIAen er utsatt. I dette nyhetsbrevet kommer vi litt inn på hvorfor. Uten å gå altfor mye i detalj.  

Debatten vi har i Norge i dag handler i stor grad om skjermbruk og innholdsbegrensning både på fritiden og i skolen. Debattene gjør det krevende å snakke om personvern uten at personvern blir trukket inn i debatten på en måte som blir uklar og upresis. 

Og selv om skjermbruk og skadelig innhold er viktige temaer, er ikke det det samme som personvern. Det er rett og slett nyanseforskjeller her som vi sliter med å kommunisere ut til allmennheten.  

Ja, dette er et nyhetsbrev om noe så vanskelig som nyanseforskjeller! 

Behandling av personopplysninger til egne formål
En av de store tingene som setter begrensninger for hvilke løsninger du som skoleeier (og behandlingsansvarlig) kan ta i bruk, er spørsmålet om hvilke personopplysninger leverandøren din behandler til egne formål.

Mange leverandører bruker metadata – nemlig informasjon om hvordan elever og lærere bruker tjenesten til å videreutvikle den eller til og med til å lage nye, kommersielle tjenester.

Dette er personopplysningene som indirekte identifiserer elever og lærere, for eksempel hvilken versjon av nettleser den enkelte bruker, tidspunktet for når brukeren logger på og hvilke tjenester som brukes. 

Det problematiske er når disse personopplysningene viderebehandles til formål som går utenfor opplæringslovens rammer. Og det vil være tilfelle når personopplysningene brukes til nettopp å utvikle nye, kommersielle tjenester. 

Opplæringsloven er tydelig på formålet, som er å gi elever opplæring, ikke å bruke elevdata til kommersielle formål. 

Dette er spesielt utfordrende når den digitale infrastrukturen vi alle er en del av, inkludert søkemotorer og nettlesere, er bygget opp rundt å samle inn flest mulig personopplysninger om oss. 

Det er ikke en quick-fix på dette problemet. Problemet angår jo heller ikke bare skoleelever – men oss alle som over et par tiår har blitt vant til å kunne bruke nettlesere, søkemotorer, språkmodeller og andre «gratis» digitale tjenester med personopplysninger som betalingsmiddel. 

Heldigvis pågår det et internasjonalt arbeid på EU-nivå, for eksempel med Digital Service Act som skal bidra til en innskjerping på dette området. 

Personvern kontra innholdsbegrensning
Ett scenario vi ser i DPIAen kan være at vi anbefaler å ikke logge inn som bruker i enkelte av tjenestene. Dette kan være tjenester som andre ønsker å stenge for på grunn av innholdet elever får tilgang til. Begrunnelsen for vår anbefaling vil være svært forskjellig. 

Dersom resultatet av enkelte av våre anbefalinger går i denne retningen, vil vi ha en kommunikasjonsutfordring: Våre anbefalinger kan tilsynelatende virke like – å begrense bruken av løsningen – men begrunnelsen er vesentlig forskjellig.

Fra et personvernperspektiv handler det om behandlingsansvar og viderebehandling av personopplysninger. Fra et innholdsbegrensningsperspektiv, handler det om å begrense tilgangen til skadelig og kanskje også uønsket innhold og utenomfaglig bruk. 

Dine tilbakemeldinger
Okay. Det var et forsøk på å forklare forskjellen. 

På dette nyhetsbrevet ønsker vi din tilbakemelding: Forsto du det? Hva forsto du ikke? Hva var vanskelig å skjønne? Hvordan kan vi si dette annerledes? Er det helt uforståelig og vi kan likeså godt gi opp? 

Alle tilbakemeldinger er velkomne!

Vi ønsker virkelig innspill fra deg for her sliter vi med hvordan vi kan kommunisere dette på en effektiv måte! 

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Torsdag 14.11 fra kl. 12.00-13.30 skal vi ha et webinar om hvordan du som skoleeier kan forvalte Google Workspace for Education. Dette er mindre "rådgivning", og mer en sofa-prat mellom Kristiansand, Bergen og Stavanger kommune, hvor tre kommuner, som alle kan ganske mye om dette snakker sammen og gis deg tips og triks. En erfaringsutveksutveksling om du vil! Vi gleder oss! Meld deg på her!

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

We need to talk about privacy vs. content restriction

Hi !

The DPIA has been postponed. In this newsletter, we will touch a bit on why, without going into too much detail.

The current debate in Norway largely revolves around screen usage and content restrictions, both during leisure time and in schools. These debates complicate discussions about privacy as it often gets drawn into the debate in unclear and imprecise ways.

While screen usage and harmful content are important issues, they are distinct from privacy concerns. There are subtle differences that we struggle to communicate clearly to the public. 

Yes, this newsletter is about something as complex as these nuances!

Processing of personal data for your own purposes
One of the major issues that limit the solutions you, as a school owner (and data controller), can implement is the question of what personal data your provider processes for its own purposes. 

Many providers use metadata — information on how students and teachers use the service to further develop it or even to create new commercial services. 

These are the personal data that indirectly identify students and teachers, such as which version of a browser is used, when users log in, and which services are utilized.

The problem arises when these personal data are further processed for purposes that fall outside the scope of the Education Law. This would be the case when personal data are used specifically to develop new commercial services. 

The Education Law is clear in its purpose: to provide education to students, not to use student data for commercial purposes.

This challenge is particularly daunting given the digital infrastructure we all participate in, including search engines and browsers, is designed to collect as much personal data about us as possible.

There is no quick fix to this problem. It not only affects school students but all of us who, over decades, have grown accustomed to using browsers, search engines, language models, and other "free" digital services where personal data serve as the currency.

Fortunately, there is ongoing international work at the EU level, such as the Digital Service Act, which aims to tighten regulations in this area.

Privacy vs. content restriction
One scenario we foresee in the DPIA is that we might recommend not logging in as a user for certain services. These could be services that others wish to close off due to the content students are able to access. The rationale for our recommendation will be quite different.

If some of our recommendations lean this way, we will face a communication challenge: Our recommendations may appear similar — to limit the use of the solution — but the underlying reasons are significantly different. 

From a privacy perspective, it's about data control and further processing of personal data. From a content restriction perspective, it's about limiting access to harmful or perhaps unwanted content and non-academic use.

Your feedback
Okay. That was an attempt to explain the difference. 

For this newsletter, we want your feedback: Did you understand it? What didn’t you understand? What was difficult to grasp? How can we state this differently? Is it completely incomprehensible, and should we just give up?

All feedback is welcome! We genuinely want your input as we struggle with how to communicate this effectively.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!