Hei !
Vi har tidligere nevnt at vi har en 80-20 prosent tilnærming til den nasjonale DPIAen for Google Workspace for Education, inkludert Google-søk, Chrome OS, Chrome nettleser og YouTube.
I dette legger vi at DPIAen skal ferdigstilles i en 80 prosent versjon, og at kommunene selv må gjøre de resterende 20. 80 prosentdelen vil være felles for alle kommunene som bruker Google-tjenestene vi vurderer, men hver enkelt kommune må sette seg grundig inn i også denne delen.
20 prosentdelen er den delen som omhandler lokale forhold og særpreg som gjør at den må tilpasses for å være nyttig og operativ.
Vi ønsker også å understreke at ethvert DPIA-arbeid ikke er en enkeltaffære. Som behandlingsansvarlig vil du som kommune måte gjøre nye vurderinger når risikobildet ditt endre seg.
Hvordan kan dette se ut?
En DPIA består kort fortalt av 4 deler:
-
Del 1: En systematisk beskrivelse av hvordan og hvorfor personopplysninger behandles'
- Del 2: En vurdering av om de personopplysningene som behandles er nødvendige og står i et rimelig forhold til det man ønsker å oppnå med behandlingen (formålet)
- Del 3: En vurdering av risikoene for de registrertes rettigheter og friheter
- Del 4: De planlagte tiltakene for å håndtere risikoene og for å påvise at forordningen overholdes
Når flere kommuner bruker Google Workspace for Education, vil det være deler av DPIAen som vil være lik. Del 1 om den systematiske beskrivelsen av hvordan og hvorfor personopplysninger behandles vil i stor grad være lik for like tjenester. Det samme vil del 2 – nødvendighetsvurderingen være.
Der det vil være forskjeller, er i del 3 – vurdering av de forskjellige personvernkonsekvensene, og i del 4 – tiltakene som skal iverksettes for å redusere risikoen identifisert i del 3.
Prosjektets ambisjon er at DPIAen skal inneholde en oversikt over de risikoene vi ser, med forslag til beskrivelser.
Og så må den enkelte kommunen som behandlingsansvarlig vurdere konkret risiko i de forskjellige risikoscenarioene. Kanskje vil det også være nødvendig å legge til risikoscenarioer etter hvordan personvern og informasjonssikkerhet er organisert i kommunen.
Risikoreduserende tiltak vil også være ulikt fra kommune til kommune, f.eks. ut ifra hvor strukturert internkontroll du har på plass eller hvor mange ressurser du har til disposisjon. Google Workspace for Education har forskjellige versjoner eller lisenser som kommunen kan kjøpe, og det vil nok også påvirke hvilke tiltak kommunen kan iverksette.
Og så er ikke dette en eksakt vitenskap! Vi sier at kommunene må gjøre de resterende 20 prosentene av DPIAen, men det er først når den er ferdig, og vi har regnet på det, at vi får svar på om resultatet har blitt en 80-20 prosent, 90-10 prosent eller kanskje til og med 95-5 prosent.
Poenget er at prosjektet skal ferdigstille de delene som er like for alle som bruker Google Workspace for Education i skolen. Og så gjenstår det å se hvor mye det faktisk er.
Vi ønsker deg en riktig god, personvernvennlig helg!
Vennlig hilsen
Ida Thorsrud
prosjektleder nasjonal DPIA