🧐 Hva må du som Google-kommune begynne å tenke på for å kunne bruke DPIAen vi skal publisere i juni? 🧐

Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Hva må du som Google-kommune begynne å tenke på for å kunne bruke DPIAen vi skal publisere i juni?

Hei !

De siste ukene har bestått av mange fysiske møter for oss i det nasjonale DPIA-prosjektet. Vi var på eKommune og holdt et innlegg om arbeidet vårt i forrige uke. Og så var vi hos Google i Oslo denne uka for å snakke med Google-kommuner om DPIA generelt og hva vi den enkelte kommune må begynne å tenke på allerede nå.

Som kjent begynner vi til å bli ferdige med DPIAen og planlegger derfor å publisere den i juni.

Dette nyhetsbrevet handler om hva du som er en Google-kommune må begynne å tenke på allerede nå for å gjøre DPIAen til din egen.

Vi ferdigstiller en DPIA i en 80%-versjon
DPIA-prosjektet ferdigstiller en DPIA som er 80% ferdig. Dette er fordi du som er en kommune er skoleeier og behandlingsansvarlig. Det betyr kort fortalt at det er du som er ansvarlig for å følge GDPR og ivareta barn, lærere og andre ansattes personvern i skolen.

Når du er behandlingsansvarlig, betyr det altså at du har et ansvar. Og det ansvaret innebærer at vi i det nasjonale DPIA-prosjektet ikke kan instruere deg i hvordan du ivaretar det ansvaret.
Dette betyr at når vi har rådgitt deg om hvilket behandlingsgrunnlag vi ville ha brukt for Google workspace for Education generelt og i forslaget til behandlingsprotokoll for løsningen, kan du velge å bruke et annet behandlingsgrunnlag.

For å oppsummere: du skal velge, men vi kan lage et forslag til hva VI hadde gjort.

Og selv om vi har laget et forslag, er det ting du som skoleeier og behandlingsansvarlig må ta stilling til for å ta DPIAen fra en 80%-versjon til en 100%-versjon.

Ting du må tenke på allerede nå slik at du er klar for å starte å gjøre DPIAen til din egen
Så hva må du begynne å tenke på nå? La oss gi dere tre ting som kan være lurt for deg å få oversikt over allerede nå, slik at du på best mulig måte kan begynne å jobbe med DPIAen.

1. Få en oversikt over de tjenestene som du faktisk har kjøpt fra Google

Den tingen vi i det nasjonale DPIA-prosjektet som vi har brukt flaut mye tid på å forstå, er hvilke tjenester Google tilbyr skolesektoren, og hvordan de reguleres.

For Google Workspace for Education har vi kjernetjenester, og så kan du velge å skru på tilleggstjenester som YouTube, Google Search and assist og Google Maps. I tillegg kan du bruke nettleseren Chrome som reguleres av helt egne avtaler. Og det kan også være at du har Chromebooks med operativsystemet Chrome OS.

Den første delen av en DPIA skal inneholde en systematisk oversikt over behandlingsaktivitetene dine, det vil si hvilke tjenester som du bruker, og hvordan du bruker dem. Så for at du skal kunne bruke denne DPIAen, må du ha oversikt over hvilke Google-tjenester du bruker.

Dette er de tjenestene som er en del av den DPIAen som vi publiserer i juni:

Kjernetjenestene i Google Workspace for Education
Tilleggstjenestene YouTube og Google Search and assist
Chrome nettleser
Chrome OS (operativsystemet til Chromebooks)

Det betyr at hvis du bruker flere tjenester enn dette, f.eks. tilleggstjenestene Google Maps eller Google Translate, må du beskrive dem selv.

2. Få oversikt over om du har interne rutiner for DPIA som du må bruke

Det kan være at kommunen din har laget interne rutiner for hvordan du skal gjøre en DPIA. Det kan f.eks. være at du må bruke kommunen sin mal for DPIA eller at du må følge interne rutiner som sier hvordan du skal gå frem for å gjøre en DPIA.

For hvis du skal følge kommunens mal for DPIA, vet du hvor den er?

Har kommunen laget en intern rutine for utarbeidelse av DPIA? Hvor ligger i så fall den?

3. Få oversikt over hvem av kollegaene dine som du må involvere for å få DPIAen godkjent internt

Du kan ikke sitte alene å gjøre en DPIA. Det er noe vi i det nasjonale DPIA-prosjektet virkelig har fått erfare. En av medarbeiderne våre har uttrykt det på denne måten:
«It takes a village to raise a DPIA!»

Vet du hvem du må involvere for å bli ferdig med en DPIA?

Typisk må du snakke med noen med teknisk kompetanse som vet hvordan Google Workspace for er satt opp i kommunen deres. Vet du hvem dette er?

Vi kommer til å komme med forslag til noen juridiske begrunnelser for hvorfor vi mener at du kan bruke Google Workspace på den måten som vi anbefaler. Har du en jurist som må kobles på de vurderingene og ta stilling til om dere kan bruke dem internt?

DPIAen skal også sendes til personvernombudet for uttalelse og rådgivning. Vet du hvem dette er?

Det er vanlig at den lederen som er risikoeier skriver under på DPIAen. Vet du hvem som er risikoeier for Google Workspace for Education?

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. ...

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

Hi !

In recent weeks, our team in the national DPIA project has been involved in numerous physical meetings. We presented at eKommune last week to discuss our work. This week, we were at Google in Oslo to speak with municipalities about DPIA in general, and what each municipality needs to start considering now.

As is known, we are nearing the completion of the DPIA and are planning to publish it in June.

This newsletter addresses what you, as a municipality using Google, need to start considering now to make the DPIA your own.

We are completing a DPIA in an 80%-ready version

The DPIA project is finishing a DPIA that is 80% complete. This is because you, as a municipality, are the school owner and the data controller. In short, this means that you are responsible for complying with GDPR and protecting the privacy of students, teachers, and other school staff.

Being the data controller means you have responsibilities, and these responsibilities imply that we in the national DPIA project cannot instruct you on how to fulfill them.

This means that although we have advised you on the legal basis we would have used for Google Workspace for Education in general and in the proposed processing protocol for the solution, you can choose to use a different legal basis.

To summarize: you must choose, but we can provide a suggestion of what WE would have done.

Even though we have made a suggestion, there are issues that you, as the school owner and data controller, need to decide on to upgrade the DPIA from an 80%-version to a 100%-version.

Things you need to think about now so that you are ready to start making the DPIA your own

1. Get an overview of the services that you have actually purchased from Google.

The thing we in the national DPIA project have embarrassingly spent much time on understanding is what services Google offers to the education sector and how they are regulated. For Google Workspace for Education, we have core services, and then you can choose to turn on additional services like YouTube, Google Search and Assist, and Google Maps.

Additionally, you might use the Chrome browser, which is governed by entirely separate agreements. And you might also have Chromebooks with the Chrome OS operating system.

The first part of a DPIA should include a systematic overview of your processing activities, meaning which services you use and how you use them. So for you to be able to use this DPIA, you must have an overview of which Google services you use.

These are the services that are part of the DPIA we will publish in June:

Core services in Google Workspace for Education
Additional services such as YouTube and Google Search and Assist
Chrome browser
Chrome OS (operating system for Chromebooks)

This means if you use more services than these, such as Google Maps or Google Translate, you need to describe these yourself.

2. Find out if you have internal DPIA routines that you must use.

Your municipality may have created internal routines for conducting a DPIA. This might mean using a template provided by the municipality or following internal routines that dictate how to proceed with a DPIA. If so, do you know where these are located?

3. Get an overview of which colleagues you need to involve to get the DPIA internally approved.

You cannot conduct a DPIA alone. This is something we in the national DPIA project have truly experienced. One of our colleagues put it this way: "It takes a village to raise a DPIA!"

Do you know who you need to involve to complete a DPIA?

Typically, you need to speak with someone with technical expertise who understands how Google Workspace for Education is set up in your municipality. Do you know who this is?

The DPIA will also have to be sent to the data protection officer for comments and advice. Do you know who this is?

A DPIA should be owned by a leader who "owns" the privacy risk. Who is this for Google Workspace for Education?

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. ...

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!