Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Vi gjør en DPIA, men la oss snakke om andre etterlevelsesdokumenter som det er viktig at du vet om!

Hei !

Vi har nylig publisert en behandlingsprotokoll for kjernetjenestene i Google Workspace for Education. 

Og i den forbindelse tenker vi det er nyttig å trekke frem noen andre etterlevelsesdokumenter som også kan være relevante.  

DPIA (Personvernkonsekvensvurdering)

DPIA står for «Data Protection Impact Assessment». På norsk heter dette en personvernkonsekvensvurdering. Det er en prosess som hjelper deg som behandlingsansvarlig å identifisere og minimere personvernrisikoer ved en behandling av personopplysninger som innebærer høy risiko for brudd på den registrertes rettigheter og friheter.

Formålet med en DPIA er å sikre at du som behandlingsansvarlig klarer å ivareta personvernet til de registrerte. 

Er dette noe vi gjør i det nasjonale DPIA-prosjektet? 

Ja, absolutt! Å gjøre en DPIA av Google Workspace for Education er hele poenget med prosjektet! 

Risikovurdering 

En risikovurdering er en systematisk prosess for å vurdere sannsynligheten for og konsekvensene av potensielle hendelser som kan påvirke beskyttelsen av informasjonsverdier f.eks. personopplysninger.

Formål med en risikovurdering er å identifisere potensielle trusler og sårbarheter, vurdere risiko og bestemme passende tiltak for å redusere risikoen til et akseptabelt nivå.

Er dette noe vi gjør i det nasjonale DPIA-prosjektet? 

Nei, en risikovurdering er noe annet enn en DPIA. Som vi var inne på i forrige nyhetsbrev, er formålene med en risikovurdering og en DPIA litt forskjellige. Kort fortalt handler en risikovurdering om å beskytte mot eksterne trusler, mens en DPIA er en vurdering som skal hjelpe deg som behandlingsansvarlig å ivareta de registrertes personvern.

Denne DPIAen er ikke en teknisk vurdering av hvor «sikker» Google Workspace for Education er for angrep fra eksterne trusselaktører. 

Og jo, informasjonssikkerhetsprinsippene ER en del av det du som behandlingsansvarlig må overholde når du skal ivareta personvernet til de registrerte, men en DPIA går lenger enn det.

Det er også overlapp mellom krav i personvernlovgivningen og andre krav du som kommune har til å ivareta informasjonssikkerhet. Etter GDPR plikter du f.eks. å kunne demonstrere at du etterlever personvernreglene. Det vil som regel løses ved at du etablerer internkontroll. Og internkontroll på er du også pålagt i andre regelverk, f.eks. i eForvaltningsforskriften § 15 hvor du som forvaltningsorgan pålegges å ha internkontroll på informasjonssikkerhetsområdet. 

Behandlingsprotokoll

En behandlingsprotokoll er en oversikt som beskriver hvilke personopplysninger du som behandlingsansvarlig behandler, hvordan og hvorfor.

Formålet med å ha en behandlingsprotokoll er at du som behandlingsansvarlig skal ha kontroll på de personopplysningene som du behandler. 

Er dette noe vi gjør i det nasjonale DPIA-prosjektet? 

Ja, som nevnt innledningsvis, har vi laget et forslag til behandlingsprotokoll for kjernetjenestene i Google Workspace for Education. 

En behandlingsprotokoll er ikke en del av en DPIA, men den den gir en oversikt over hva du gjør med personopplysningene. Og det ligner veldig på det som skal stå i en DPIA del 1, nemlig en systematisk beskrivelse av behandlingsaktivitetene. 

Derfor bestemte vi oss for at det ville være nyttig å lage en behandlingsprotokoll i regi av nasjonal DPIA-prosjektet.

Så da slo vi også to fluer i en smekk: vi i nasjonal DPIA-prosjektet har fått et godt grunnlag for å kunne beskrive behandlingen i Google Workspace for Educations kjernetjenester, og vi har laget et forslag til behandlingsprotokoll som du som skoleeier kan bruke. 

Databehandleravtale

En databehandleravtale er en avtale mellom deg som behandlingsansvarlig og leverandøren din som databehandler. Som behandlingsansvarlig sitter du på hovedansvaret for personvernet til de du behandler personopplysninger om, og databehandleren din kan ikke behandler dine personopplysninger uten en instruks. En databehandleravtale er en slik instruks der du setter føringer for hvordan leverandøren din skal behandle personopplysninger på dine vegne. 

Formålet med en databehandleravtale er å sikre at leverandøren din behandler dine personopplysninger i samsvar med krav til personvern.

Er dette noe vi gjør i det nasjonale DPIA-prosjektet? 

Ja og nei. Google tilbyr en standard databehandleravtale som du som behandlingsansvarlig må godta når du anskaffer løsningen. Du kan ikke egentlig forhandle med Google om innholdet i avtalen. 

En del av veiledningen til Datatilsynet på hva du som kommune må gjøre for å kunne ta i bruk Google Workspace for Education, nevner at du som behandlingsansvarlig må ha en oversikt over alle de vilkårene og avtalene som regulerer din bruk av Google Workspace for Education. 

Vi kommer til å gi deg en oversikt over disse avtalene som en del av veiledningen til DPIAen. 

For mer om hva en databehandleravtale er, og andre etterlevelsesdokumenter, se SkoleSec sin «steg for steg» veiviser «Hva må jeg gjøre før jeg kan ta i bruk en ny digital tjeneste?». 

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Fikk du ikke med deg da vi presenterte behandlingsprotokollen på LinkedIn Live på tirsdag? Fortvil ikke, du kan se opptaket når som helst på LinkedIn.

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

We're conducting a DPIA, but let's discuss other compliance documents you should be aware of!

Hi !

We recently released a processing protocol for the core services in Google Workspace for Education.

In light of this, we find it useful to highlight other compliance documents that might be relevant.

DPIA (Data protection impact assessment)

DPIA, in Norwegian "personvernkonsekvensvurdering", is a process that assists data controllers in identifying and minimizing the privacy risks when processing personal data poses a high risk to the data subjects' rights and freedoms. The goal of a DPIA is to ensure you, as the data controller, that you can protect the privacy of data subject.

Are we conducting this as part of the national DPIA project?

Absolutely! The primary objective of the project is to conduct a DPIA for Google Workspace for Education.

Risk assessment

A risk assessment is a systematic procedure to evaluate the likelihood and consequences of potential incidents affecting the protection of valuable information, such as personal data. The purpose of a risk assessment is to identify potential threats and vulnerabilities, assess the risk, and decide on appropriate measures to mitigate the risk to an acceptable level.

Is this something we are doing in the national DPIA project?

No, a risk assessment is different from a DPIA. As we mentioned in our previous newsletter, their purposes differ slightly. While risk assessments focus on protection against external threats, a DPIA helps data controllers safeguard the data subjects' privacy. 

This DPIA doesn't technically evaluate how "secure" Google Workspace for Education is against external threats. 

While information security principles ARE something you need to adhere to when ensuring privacy, a DPIA goes beyond that. 

There is also overlap between privacy legislation requirements and other mandates a municipality must uphold. For instance, under the GDPR, you are obliged to demonstrate compliance, typically achieved through internal controls, which you're also mandated to maintain as per regulations such as eForvaltningsforskriften § 15, concerning internal control and information security. 

Record of processing

A record of processing is a summary detailing the personal data you, as a data controller, process and the reasons why. The objective is to maintain control over the personal data you handle.

Are we doing this in the national DPIA project?

Yes, as mentioned at the start, we've created a record of processing for the core services in Google Workspace for Education. 

While it isn't part of a DPIA, a record of processing provides an overview of what you do with personal data, which aligns closely with what should be in a DPIA's first section. Hence, we saw the value in crafting one under the national DPIA project. 

This serves a dual purpose: it gives us a foundation to describe the processessing activities in Google Workspace for Education's core services and at the same time as we can offer a record of processing for you as a data controller can utilize.

Data processing agreement

This is an agreement between you, the data controller, and your data processor (supplier). As a data controller, you bear the primary responsibility for the privacy of the individuals whose data you process, and your data processor cannot handle your data without instructions.

A data processing agreement provides these instructions, detailing how your supplier should handle personal data on your behalf. Its aim is to ensure your supplier processes personal data in compliance with privacy requirements.

Is this something we're doing in the national DPIA project?

Yes and no. Google offers a standard data processing agreement that you must accept when procuring the solution. You can't truly negotiate its content with Google. 

A part of the Norwegian Data Protection Authority's guidance on using Google Workspace for Education emphasizes that data controllers should be aware of all terms and agreements related to its use.  

We'll provide an overview of these agreements as part of our DPIA guidance. 

For more on data processing agreements and other compliance documents, check out SkoleSec's step-by-step guide: "What do I need to do before using a new digital service?". 

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. Missed our presentation of the processing protocol on LinkedIn Live last Tuesday? Don't worry, you can watch the recording anytime on LinkedIn.  

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!