Bruken av M365 i skole – og personvernet

M365 og personvernet — Bruken av M365 innenfor skole og personvernet. Illustrasjon laget av Microsoft Copilot (KI).

I min ordinære blogg har jeg publisert et innlegg som omhandler skolebruk og kommunal bruk av Microsoft 365 (M365), knyttet opp mot personvernet (GDPR), informasjonssikkerheten og tenant-oppsett. Jeg skriver en del generelt om personvern og informasjonssikkerhet, og i tillegg er jeg blant annet innom tenant-problematikken, behandlingsprotokoller, risikovurderinger (ROS) og personvernkonsekvensvurderinger (DPIA).

Innlegget jeg henviser til i hovedbloggen min hadde opprinnelig tittelen «Nasjonal DPIA for Microsoft 365», ettersom planen var å dele lærdommer og erfaringer fra deltakelsen i KS-prosjektet. Etter at jeg nå er satt på sidelinjen i det nasjonale prosjektarbeidet, har jeg endret tittelen til en mer generell variant: «M365 i skolen – personvern og informasjonssikkerhet». En alternativ (men altfor lang) tittel kunne vært: «Mine tanker og vurderinger rundt oppsett av Microsoft 365-tenanter – og litt generelt om personvern og informasjonssikkerhet – i kommunal sektor, med særlig fokus på skole». Siden jeg ikke lenger deltar i prosjektet, vil innlegget ikke ha hovedfokus på DPIA-delen i KS/SkoleSec-arbeidet.

M365 inkludert skytjenester (og KI?) er i utstrakt bruk innenfor norsk skole, og dette medfører en del utfordringer for personvernet til den sårbare elevgruppa. Barnas personvern innenfor skole er til tider under stort press på grunn av den utstrakte digitaliseringen og den digitale transformasjonen. Ukritisk innføring av nye digitale læringsverktøy går / kan gå på bekostning av personvernet til elevene. Manglende kunnskap og bevissthet hos ansvarlige kan føre til utilstrekkelig beskyttelse av elevenes personopplysninger, noe som øker risikoen for at opplysningene blant annet blir utnyttet til kommersielle formål.

Lenken til hovedinnlegget mitt er altså:

blogg.brr.no: M365 i skolen – personvern og informasjonssikkerhet (https://www.brr.no/wordpressbrr/nasjonal-dpia-for-microsoft-365/).
Kort-lenke: m365skole.brr.no
Tidligere tittel: «Nasjonal DPIA for Microsoft 365», som ennå er filnavnet til innlegget.

Oppsummering i kortversjon: Mine tanker rundt personvern, informasjonssikkerhet og tenant-problematikk ved bruk av M365 innenfor skole (og kommune).

Innleggets stikkordsmessige innhold:

Introduksjon til tematikken
Bakgrunn
Kort om Microsoft 365-løsningen og lisensiering (lisenser/abonnement)
Litt om (antatt) IKT-status i skolene
Forklaring av hva en tenant er i M365-sfæren
Generelt om informasjonssikkerhet og personvern (GDPR)
Mer om tenant-problemstillingen (tenant-problematikken), sett i lys av personvern og informasjonssikkerhet
Utgangspunkt for tenant-oppsett
Fordeler og ulemper med å samle alt i en felles tenant
Noen aktuelle sikringstiltak (generelle) og sikkerhetstiltak M365
Hva som (sannsynligvis) inngår og ikke inngår i det nasjonale DPIA-prosjektet, etter den kjennskap jeg fikk til saken
Teoretisk tilnærming til behandlingsprotokoller, risikovurdering (ROS), personvernkonsekvensvurdering (DPIA), hvor tidligere foretatt tenant-valg vil påvirke analysene
Anbefalinger til skoleeier på tenant- og personvernområdet
Litt om min ufrivillige uttreden fra det nasjonale KS DPIA-prosjektet
Avsluttende kommentarer og noen utvalgte lenker

Utgangspunktet er delvis den lærdommen jeg tilegnet meg gjennom det nasjonale prosjektet, supplert med erfaringer og kunnskap fra min daglige jobb, der jeg også har ansvar som personvernrådgiver.

Hovedfokuset i innlegget er tenant-problematikken, som fungerer som en rød tråd. Selv om enkelte digresjoner forekommer, er alt relatert til personvern og informasjonssikkerhet for skole og kommune som benytter M365. Underveis i revideringene mine har det blitt mer og mer fokus på generelt personvern og informasjonssikkerhet knyttet opp mot M365, og nedtoning av tenant-biten.

Stengt tatt framstår hele M365-økosystemet som en stor og meget omfattende «monsterpakke»:

M365-innholdet — Økosystemet til Microsoft 365 i Enterprise-tapning, hvor slettes ikke alle apper og tjenester har fått plass. For mange av oss fungerer Teams som navet, og sky-lagring skjer via OneDrive og/eller SharePoint.

Og i figuren eller illustrasjonen ovenfor er strengt tatt bare utvalgte deler av pakken tatt med. En mer omfattende liste er tilgjengelig i form av et PDF-vedlegg i min hovedartikkel (lenke).

Lenken til mitt hovedinnlegg er altså: blogg.brr.no: M365 i skolen – personvern og informasjonssikkerhet (https://www.brr.no/wordpressbrr/nasjonal-dpia-for-microsoft-365/)

PDF-versjon/PDF-variant (PDF-utskrift) pr. 18.09.2025 av mitt hovedinnlegg: «blogg.brr.no: M365 i skolen – personvern og informasjonssikkerhet» – kort-lenke: m365skole.brr.no. I og med at jeg «innrømmer» en viss KI-bruk spurte jeg KI til råds: Microsoft 365 Copilot KI sine «tanker» og «synspunkter» rundt bruken av Microsoft 365 (M365) innenfor norsk skole (PDF-fil), med fokus rettet mot personvern og informasjonssikkerhet. Fornuftig og bra svart så langt jeg kan vurdere det.