Alle DPIAer må godkjennes av en leder med risikoansvar som skal eie DPIAen. Hvem dette er kan være forskjellig fra skoleeier til skoleeier. Hvis du er en kommune, er det kanskje sjef for oppvekst som skal eie DPIAen for Google Workspace for Education, men det kan også være at dette heller bør være IT-sjefen.

Uansett hvem dette er, ta kontakt med vedkommende og informer om at dere jobber med en DPIA av Google Workspace for Education. I forbindelse med DPIAen, vil dere som jobber med den mest sannsynlig iverksette noen tiltak. Fortell vedkommende hva du trenger fra dem – trenger dere et mandat til å kunne gjennomføre tiltakene?

Som et minimum trenger du at vedkommende godkjenner DPIAen, så spør om hvordan du kan gjøre det enklere for dem. Hjelper det om du holder en presentasjon med risikoer og tiltak? Holder det med en oversikt i et notat og DPIAen som vedlegg? Dette er ting som det er lurt å avklare på forhånd.  

Det kan være at kommunen du jobber i har laget en mal for DPIAer eller personvernkonsekvensvurderinger som den ønsker at du skal bruke. Sjekk om det er tilfelle, og hvis det er det, må du overføre teksten fra den nasjonale DPIAen til denne malen.

Når du gjør en DPIA, er det et formelt krav at personvernombudet skal lese igjennom og uttale seg om DPIAen. Ta kontakt med personvernombudet allerede nå. Kanskje vedkommende ønsker å være mer involvert i DPIAen enn å bare få den til rådgivning helt på slutten? Avklar hvordan personvernombudet skal involveres. 

I denne DPIAen, har vi sett kravet om å ha en behandlingsprotokoll i sammenheng med del 1 av en DPIA, nemlig «den systematiske beskrivelsen av behandlingsaktiviteter». Vi mener at det du gjør i en behandlingsprotokoll er å liste opp behandlingsaktiviteter på en systematisk måte hvor du også knytter dem til et formål og et behandlingsgrunnlag. Derfor anbefaler vi at du fyller ut en behandlingsprotokoll for den behandling av personopplysninger som du som skoleeier gjør i Google Workspace for Education.

 Ta en titt på vårt forslag til behandlingsprotokoll her.

Trenger du en veiledning til hvordan fylle den ut? Ta en titt på denne videoen hvor vi forklarer hva tankene bak de forskjellige delene.

Trenger du mer hjelp? Ta en titt på dette webinaret hvor vi hjalp Tromsø kommune å fylle ut behandlingsprotokollen (riktig nok for M365, men prinsippene er de samme)

Kanskje den tydeligste anbefalingen fra DPIAen, er at du som skoleeier ikke bør bruke tilleggstjenestene i Google Workspace for Education. Kort kortalt er dette fordi Google er behandlingsansvarlig for tilleggstjenestene, ikke databehandler.

Det er problematisk (les ulovlig) for deg som behandlingsansvarlig for hvordan elevers personopplysninger behandles i skolen å dele disse personopplysningene med Google slik at de kan behandle dem til formål som ikke er kompatible med opplæringsloven.

Hvis du allerede ikke bruker tilleggstjenester som Google Search and Assist og YouTube, trenger du ikke foreta deg noe. Men hvis du bruker dem, må du ta stilling til om det er noe du som skoleeier og behandlingsansvarlig skal fortsette med.

Ja, dette er en del av de resterende 20% av DPIAen hvor du som skoleeier må ta stilling til.  

Hvis du velger å avslutte bruken, kan du bruke teksten i vedlegg 1 som tekst til et beslutningsnotat for å forklare en beslutningstaker hvorfor.

Hvis du velger å fortsette bruken, anbefaler vi at du dokumenterer risikoen ved det, og kommuniserer den tydelig til beslutningstaker. Se vedlegg 5 i DPIAen for måter du kan gjøre bruken av tilleggstjenestene Google Search and Assist og YouTube litt mer personvernvennlig.

Vi anbefaler også at du som skoleeier og behandlingsansvarlig er tydelig overfor elever, foresatte, lærere og andre ansatte som bruker Google Workspace for Education og informerer om dette valget.  

Del 2 av DPIAen er en nødvendighetsvurdering hvor vi vurderer om behandlingsaktivitetene står i et rimelig forhold til formålene. Dette gjør du vet at du tar stilling til hvordan personvernprinsippene og den registrertes rettigheter er oppfylt.

Noe av denne jobben har vi gjort for deg, men her er det en del du som skoleeier og behandlingsansvarlig må justere. Du bør f.eks. se dette i sammenheng med hvordan du som skoleeier svarer ut den registrerte rettigheter sånn generelt i kommunen.

For flere av de registrertes rettigheter må du vise at du klarer å motta henvendelser hvor noen påberoper seg dem. Du må ha rigg for å kunne håndtere henvendelser om sletting, retting, innsyn og andre rettigheter. Denne «riggen» trenger ikke være unik for Google Workspace for Education. Du kan bruke det samme kontaktpunktet som f.eks. skal håndtere en slettebegjæring for en annen tjeneste i kommunen, for en slettebegjæring som gjelder Google Workspace for Education.

Merk at du ikke trenger å demonstrere at den registrerte faktisk skal få medhold. Det du må dokumentere her er at du har et system for å håndtere det når den registrerte ber om å få en rettighet oppfylt.

Vi har tatt selve personvernkonsekvensvurderingen ut i et eget Excel-ark. Her må du ta stilling til de personvernkonsekvensene eller risikoscenarioene vi har foreslått, se om det enkelte er relevant for din kommune, og vurdere hvilket risikonivå som er riktig for dere. Vi har kommet med forslag til hvordan vi vurderer risiko, men her må dere ta et aktivt valg. Du må også legge til flere scenarioer dersom det er noen du savner. Dette er en den av den resterende 20% som du som skoleeier må gjøre for å ferdigstille DPIAen.

Synes du metoden er fremmed? Ta en titt på del 3 i DPIAen. Der forklarer vi metoden.

Synes du fortsatt at det er vanskelig? Ta kontakt med prosjektleder på ida.thorsrud@ks.no så får vi til en veiledningstime på webinar der vi hjelper deg gjennom.

En del av å vurdere personvernkonsekvenser og hvor høy risikoen er for at dere som skoleeier bryter personvernet til elever, lærere eller andre ansatte som bruker Google Workspace for Education, er å komme opp med tiltak som skal redusere risikoen hvis den er for høy.

Hvordan vite hva som er en «for høy» risiko? Åpenbart er den for høy hvis risikoen er rød («høy»). Da må du finne «tiltak» det vil si noe du kan gjøre for å redusere risikoen. Få den ned på et akseptabelt nivå.

Men hvis den er gul («middels»), kan du i større grad vurdere om det er en risiko som skoleeier kan akseptere. Metoden vår legger nemlig opp til at risikoer på dette nivået ikke alltid vil være brudd på personvernlovgivningen.

Merk også at det du vurderer i en DPIA er risikoen for brudd på personvernlovgivningen. Som skoleeier kan du som regel gjøre ganske mye for å redusere denne risikoen. Rett og slett fordi du i stor grad kontrollerer hvordan du skal overholde regelverket.

Når du identifiserer tiltak, ser du kanskje at noen tiltak vil påvirke andre i kommunen. Kanskje oppdager du at kommunen ikke har et system for å håndtere forespørsler om sletting eller oppfyllelse av andre rettigheter som retting eller innsyn etter personvernregelverket. Tiltaket blir da å få dette på plass.

Dette er med andre ord et tiltak som går utenfor skole og oppvekst. Det er et tiltak som vil heve personvernetterlevelsen generelt i kommunen. Det vil bli en del av kommunens generelle internkontroll for personvern. Og det kan være at det går utenfor det du har mandat til. Viktigere enn ditt mandat, kan det være at du trenger en beslutning fra en leder for å få andre til å hjelpe deg å gjennomføre tiltaket.

Så snakk med den som skal godkjenne DPIAen om tiltakene. Om nødvendig, få en beslutning om at disse tiltakene er noe dere skal prioritere å gjennomføre.   

Som nevnt ovenfor er det et formelt krav at personvernombudet skal bes om råd i forbindelse med DPIAen (GDPR artikkel 35 nr. 2). Hvordan dette gjøres kan være litt forskjellig, men det vanligste, er at personvernombudet får DPIAen til gjennomlesning, og skriver en uttalelse om hva hen mener om risikoen som er beskrevet i DPIAen. Det er dette vi legger opp til i denne DPIAen; i del 4 er det nemlig rom for at personvernombudet skal komme med sin uttalelse.

Siden du har fulgt denne smørbrødlista og snakket med personvernombudet tidlig i prosessen, vet du hvordan vedkommende ønsker å bli involvert.

Det kan være lurt å informere personvernombudet om hvordan dere har jobbet og hvilke valg og vurderinger dere har gjort i forbindelse med at hen får DPIAen til gjennomlesning. På den måten sikrer du at personvernombudet er informert, og da kommer kanskje ikke personvernombudets uttalelse som en overraskelse. Det du absolutt ønsker å unngå er at personvernombudet er helt uenig i konklusjonene dere har kommet til.

Det kan også nevnes at personvernombudet vil trenge god tid til å lese igjennom DPIAen. Den er lang, og å lese den og sette seg inn i alt dere har tenkt tar tid. Denne tiden må du fakturere inn i planen din for hvor lang tid det vil ta deg å ta DPIAen fra 80 prosent til 100 prosent.  

Helt til slutt skal DPIAen sendes til den lederen som eier risikoen i DPIAen for godkjenning. Fordu du har fulgt denne smørbrødlista vet du hvem dette er. Du har også klargjort hvordan hen ønsker å bli informert om innholdet i DPIAen, slik at vedkommende føler seg komfortabel med å godkjenne DPIAen.  

Helt HELT til slutt inviterer vi deg til å feire at du er ferdig med DPIAen! Bravo! Veldig godt jobba! Klapp seg selv på skulderen!

Hvordan skal du feire dette? Kake er absolutt på sin plass! Eller en annen måte som du foretrekker å feire dine bragder på! Marker at du er ferdig med en feiring. Det er altfor lett å hoppe rett til det neste på den veldig lange lista av arbeidsoppgaver du som driver med personvern har. Så feire først!