🤔 Når du har gjort en DPIA av M365, hvilke problemstillinger har gjort at du setter deg fast? | When carrying out a DPIA on M365, what issues have left you stuck? 🤔

Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Når du har gjort en DPIA av M365, hvilke problemstillinger har gjort at du setter deg fast?

Hei !

I neste uke starter vi opp prosjektgruppa som skal jobbe med å ferdigstille en DPIA i 80% av bruken av Microsoft 365 i skolen. Dette er et arbeid vi gleder oss skikkelig til, og denne gangen har vi samlet en utrolig flott og dyktig gjeng.

Prosjektgruppe

Denne gangen har vi vært så heldige å få med oss folk med teknisk, juridisk og pedagogisk kompetanse fra:

Bergen kommune, Gjøvik kommune, Kinn kommune, Oslo kommune, Sarpsborg kommune og Tromsø kommune,
Nordland fylkeskommune og Vestfold fylkeskommune,
De kommunale IKT-samarbeidene IKT Agder og IKT Valdres,
SIKT og
Bergen Private Gymnas.

Det er en allsidig gjeng som representerer små og store skoleeiere, skoleeiere i grunnskolen og i videregående, fra offentlige og private skoler, og det er god geografisk spredning.

Og den observante leser vil se at det er bare to virksomheter som var med i arbeidet med Google-DPIAen. Det betyr både at vi får litt kontinuitet, samtidig som det er aller flest nye fjes denne gangen. Det er vi glade for.

Det er sunt for oss å få inn nye folk, og det betyr også at prosjektet vil bidra til mer kompetanseheving. Det er en bra ting!

Hvilke problemstillinger skal vi se på?

Det vi skal levere er som for Google-DPIAen en DPIA i 80%. Det vil så være opp til den enkelte skoleeier å ta M365-DPIAen fra 80 til 100%. I tillegg vil vi se på overføringer til tredjeland, gi veiledning og en steg-for-steg guide til hvordan jobbe med de resterende 20% av DPIAen.

Vi har en veldig tentativ liste med problemstillinger som vi vet at vi må komme inn på. Dette er noen av dem:

Overføringer til tredjeland (inkludert hva gjør vi med uthulingen av EO 14086 nå som nesten alle medlemmene i the Privacy and Civil Liberties Oversight Board (PCLOB) er sparket…)
Roller og ansvar per tjeneste (altså når er Microsoft databehandler og når er de behandlingsansvarlig)
Beskrivelse av behandlingsaktiviteter og behandlingsprotokoll for M365
Tennant-problematikk
Nødvendighetsvurdering - Den registrertes rettigheter, lisensieringsmodellen og privacy by design og hvordan de pedagogiske tjenestene brukes
Endringshåndtering

Noen av disse problemstillingene er ikke engang problemstillinger. «Tennant-problematikk» f.eks. er et tema vi vet at vi må dekke, men vi vet ikke hvordan.

Vårt spørsmål til deg er: hva savner du på denne lista? Hvilke konkrete problemstillinger ønsker du at DPIAen for M365 skal svare ut?

Hvis du har gjort en DPIA av M365, hvilke problemstillinger har du syntes vært altfor vanskelige? Hva gjorde at du satte deg helt fast?

Send oss en tilbakemelding ved å svare på denne e-posten.

Referansegruppe

I tillegg har vi fått på plass en referansegruppe for prosjektet. Ansvarsområdene til referansegruppa er som følger:

Referansegruppens hovedoppgave er å gi innspill og tilbakemeldinger på DPIA-arbeidet slik at den DPIAen som ferdigstilles svarer til skoleeier som behandlingsansvarliges behov.
Sikre at DPIA-en tar hensyn til både personvern og praktiske behov for bruk av M365 i skolen.
Sekundært se DPIAen for bruk av M365 i skolen i sammenheng med andre behandlingsansvarliges behov for slike vurderinger også ut over skoleområdet.

Referansegruppa består av representanter fra Bærum kommune, SIKT, Norsk helsenett, NTNU, det kommunale IKT-samarbeidet Det digitale Gardermoen og en selvstendig sikkerhetskonsulent.

Vi har spurt flere andre kommuner og noen privatskoler, men ikke fått endelig klarsignal fra dem. Det betyr at vi flere representanter inn i referansegruppa, særlig fra skoleeiere i fylkeskommuner og kommuner.

Hvis du er ansatt i en fylkeskommune eller en kommune, driver med skole og har meninger om hvordan denne DPIAen bør utformes, hva den bør svare på etc. for at den skal bli noe som skoleeiere kan bruke, ta kontakt med oss ved å svare på denne e-posten!

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Forrige uke hadde vi et webinar med Asker kommune hvor vi rådga dem om hvordan de kan la seg inspirere av Google-DPIAen for å gjøre den DPIAen de allerede har bedre.

Vi diskuterte den vanskelige anbefalingen om tilleggstjenester. Det er absolutt en samtale som det er verdt å få med seg. Se opptaket på Vimeo her!

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

When carrying out a DPIA on M365, what issues have left you stuck?

Hi !

Next week, we are launching the project group tasked with completing a DPIA covering 80% of the use of Microsoft 365 in schools. This is a project we are truly excited about, and this time, we have gathered an incredible and highly skilled team.

Project Group

We are fortunate to have participants with technical, legal, and pedagogical expertise from:

Bergen Municipality, Gjøvik Municipality, Kinn Municipality, Oslo Municipality, Sarpsborg Municipality, and Tromsø Municipality,
Nordland County Municipality and Vestfold County Municipality,
The municipal ICT collaborations IKT Agder and IKT Valdres,
SIKT, and
Bergen Private Gymnasium.

This is a diverse group representing both small and large school owners, covering primary and secondary education, from both public and private schools, with broad geographical representation.

An observant reader will notice that only two organizations from the Google DPIA project are involved this time. This provides a balance between continuity and fresh perspectives, as most participants are new.

We welcome this—it is beneficial for us to bring in new voices, and it also means that the project will contribute to broader competence-building. That’s a great thing!

What Issues Will We Address?

Similar to the Google DPIA, our goal is to produce a DPIA covering 80% of the necessary work. It will then be up to each school owner to take the M365 DPIA from 80% to 100%. Additionally, we will address third-country data transfers, provide guidance, and offer a step-by-step guide for completing the remaining 20% of the DPIA.

For reference: How to complete the DPIA

We have compiled a preliminary list of key issues that we know need to be covered, including:

Third-country data transfers (including how to handle the weakening of EO 14086 now that nearly all members of the Privacy and Civil Liberties Oversight Board (PCLOB) have been dismissed…)
Roles and responsibilities per service (i.e., when is Microsoft a data processor vs. a data controller?)
Description of processing activities / M365 Record of Processing
Tenant-related issues (access control, data minimization…)
Necessity assessment – The rights of data subjects, licensing models, privacy by design, and how pedagogical services are used
Change management

Some of these are not even clearly defined issues yet. "Tenant-related issues," for example, is a broad topic we know we need to cover, but we are still figuring out how.

Our question to you: What is missing from this list? What specific issues do you want the M365 DPIA to address?

If you have conducted a DPIA for M365, which issues have been the most challenging? What made you feel completely stuck?

Send us your feedback by replying to this email.

Reference Group

We have also established a reference group for the project. The reference group’s responsibilities are as follows:

Its primary role is to provide input and feedback on the DPIA work to ensure that the final DPIA meets the needs of school owners as data controllers.
Ensure that the DPIA takes into account both privacy concerns and the practical needs of using M365 in schools.
Additionally, it will consider the DPIA for M365 in schools in relation to similar assessments needed in other sectors beyond education.

The reference group includes representatives from Bærum Municipality, SIKT, Norsk Helsenett, NTNU, the municipal ICT collaboration Det Digitale Gardermoen, and an independent security consultant.

We have reached out to several other municipalities and some private schools but have not yet received final confirmations from them. This means we still have room for more representatives, especially from school owners in county and municipal governments.

If you work in a county or municipal government, are involved in education, and have insights on how this DPIA should be structured and what it should address to ensure it is useful for school owners, please get in touch by replying to this email!

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

PS. Last week, we hosted a webinar with Asker Municipality, advising them on how to use insights from the Google DPIA to improve their existing DPIA. We also discussed the challenging topic of additional services. It was a valuable discussion, and we encourage you to check it out. The webinar recording is available on Vimeo: Watch here.

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!