Hei !
Du mottar nå et informasjonsbrev hvor vi kommer til å oppdatere deg på hvordan arbeidet med nasjonal DPIA for Google Workplace for Education går. Dette er det første informasjonsbrevet vi sender. Planen er at vi sender deg en ukentlig oppdatering så lenge du abonnerer.
Om du ikke lenger ønsker å abonnere, kan du melde deg av nederst i e-posten.
Nasjonal DPIA for Google Workspace for Education er et initiativ fra KS. Målet er at vi ferdigstiller en DPIA i 80 prosent, og så gjør kommunene de resterende 20 prosent.
Hvorfor gjør vi en nasjonal DPIA?
Dette initiativet kommer av flere grunner.
1. En DPIA er svært ressurskrevende – du må gjøre vanskelige vurderinger
Det tar tid å gjøre en DPIA. Du må f.eks. sette seg grundig inn i avtalene som beskiver hvilke personopplysninger som behandles i Google Workspace for Education, og om det stemmer overens med det som faktisk gjøres i løsningen.
I tillegg må du gjøre vurderinger knyttet til overføringer av personopplysninger ut av EU/EØS, og du må ha en fullstendig oversikt over alle avtalevilkårene som gjelder. Det er svært vanskelig og krever ganske tung juridisk ekspertise på personvern.
Det kreves også teknisk og pedagogisk kompetanse, og de som har den kompetansen er ofte veldig opptatt med andre, veldig viktige oppgaver i kommunen.
Det er ikke mange som har tid og ressurser til å prioritere denne typen arbeid. Da er det behov for samarbeid!
2. Det er et behov for en nasjonal DPIA som kommunene kan ta utgangspunkt i
Vi har undersøkt, og vi har tall som tyder på at flere av kommunene i Norge som bruker Google Workspace for Education, ikke gjorde en DPIA før løsningen ble tatt i bruk. Det er forståelig, arbeidet er ressurskrevende.
Og det betyr at det er behov for en nasjonal DPIA, som du som leser dette og føler bittelitt på dårlig samvittighet, faktisk kan bruke.
3. Alle må gjøre de samme vurderingene, la oss samarbeide om det vi kan!
Som skoleeier og behandlingsansvarlig må kommuner som bruker Google Workspace for Education gjøre vurderinger som DPIAer. Dette fremgår direkte av veilederen til Datatilsynet.
Det betyr at du som bruker Google for Workspace i en kommune, må gjøre akkurat de samme vurderingene som de som sitter i nabokommunen som også bruker samme løsning.
Når dette er en så ressurskrevende jobb, er det aller mest hensiktsmessig at vi samarbeider om det vi kan!
Jammen, vår kommune (eller fylkeskommune) bruker ikke Google, hvordan kan dette være relevant for oss?
Du må gjøre akkurat de samme vurderingene som en Google-kommune. Har du en stor skyleverandør, vil du raskt måtte ta stilling til Schrems II for eksempel. Og selv om vurderingene ikke vil være helt like, vil du kunne gjenbruke en del.
Det kan også være vanskelig å forholde seg til store skyleverandører. Som behandlingsansvarlig er det du som kommune som bestemmer hvordan leverandøren din skal bruke dine personopplysninger. Men det er en fundamental maktubalanse mellom en stor skyleverandør og en kommune. For eksempel er det notorisk vanskelig å forhandle med store leverandører. Som kunde av dem får du sjelden en tilpasset databehandleravtale etter hva du trenger, du må godta en standard avtale.
De erfaringene vi gjør oss i møte med Google, vil kunne være nyttige for alle som kjøper tjenester av store, internasjonale skyleverandører.
Kult, jeg gleder meg til dere blir ferdig! Hva er tidsrammen for dette?
Vi skal ferdigstille dette i desember 2023, men vi kan utvide til mars 2024 hvis vi trenger det. Og vi tror at vi trenger det. Selv om desember virker langt unna, har vi egentlig bare tiden av veien.
Vi ønsker deg en riktig god, personvernvennlig helg!
Vennlig hilsen
Ida Thorsrud
prosjektleder nasjonal DPIA