Bruken av M365 i skole – og personvernet

4.8.2025

M365 og personvernet
Bruken av M365 innenfor skole og personvernet. Illustrasjon laget av Microsoft Copilot (KI).

I min ordinære blogg har jeg publisert et innlegg som omhandler skolebruk og kommunal bruk av Microsoft 365 (M365), knyttet opp mot personvernet (GDPR), informasjonssikkerheten og tenant-oppsett. Jeg skriver en del generelt om personvern og informasjonssikkerhet, og i tillegg er jeg blant annet innom tenant-problematikken, behandlingsprotokoller, risikovurderinger (ROS) og personvernkonsekvensvurderinger (DPIA).

Innlegget jeg henviser til i hovedbloggen min hadde opprinnelig tittelen «Nasjonal DPIA for Microsoft 365», ettersom planen var å dele lærdommer og erfaringer fra deltakelsen i KS-prosjektet. Etter at jeg nå er satt på sidelinjen i det nasjonale prosjektarbeidet, har jeg endret tittelen til en mer generell variant: «M365 i skolen – personvern og informasjonssikkerhet». En alternativ (men altfor lang) tittel kunne vært: «Mine tanker og vurderinger rundt oppsett av Microsoft 365-tenanter – og litt generelt om personvern og informasjonssikkerhet – i kommunal sektor, med særlig fokus på skole». Siden jeg ikke lenger deltar i prosjektet, vil innlegget ikke ha hovedfokus på DPIA-delen i KS/SkoleSec-arbeidet.

M365 inkludert skytjenester (og KI?) er i utstrakt bruk innenfor norsk skole, og dette medfører en del utfordringer for personvernet til den sårbare elevgruppa. Barnas personvern innenfor skole er til tider under stort press på grunn av den utstrakte digitaliseringen og den digitale transformasjonen. Ukritisk innføring av nye digitale læringsverktøy går / kan gå på bekostning av personvernet til elevene. Manglende kunnskap og bevissthet hos ansvarlige kan føre til utilstrekkelig beskyttelse av elevenes personopplysninger, noe som øker risikoen for at opplysningene blant annet blir utnyttet til kommersielle formål.

Lenken til hovedinnlegget mitt er altså:

Oppsummering i kortversjon: Mine tanker rundt personvern, informasjonssikkerhet og tenant-problematikk ved bruk av M365 innenfor skole (og kommune).

Innleggets stikkordsmessige innhold:

  • Innledning, og min tilnærming kontra KS sin.
  • Kort om Microsoft 365-løsningen og lisensiering.
  • Litt om IKT-status i skolene.
  • Forklaring av tenant, tenant-inndeling og tenant-problematikken.
  • En del generell informasjon om informasjonssikkerhet og personvern (GDPR).
  • Mer om tenant-problemstillingen, sett i lys av personvern og informasjonssikkerhet.
  • Fordeler og ulemper med å samle alt i en felles tenant.
  • Noen aktuelle sikringstiltak.
  • Hva inngår og inngår ikke i det nasjonale DPIA-prosjektet, etter den kjennskap jeg fikk til saken.
  • Teoretisk tilnærming til behandlingsprotokoll, risikovurdering (ROS), personvernkonsekvensvurdering (DPIA), hvor tidligere foretatt tenant-valg vil påvirke analysene.
  • Anbefalinger til skoleeier på tenant- og personvernområdet
  • Litt om min ufrivillige uttreden fra det nasjonale KS DPIA-prosjektet.
  • Avsluttende kommentarer og noen utvalgte lenker.

Utgangspunktet er delvis den lærdommen jeg tilegnet meg gjennom det nasjonale prosjektet, supplert med erfaringer og kunnskap fra min daglige jobb, der jeg også har ansvar som personvernrådgiver.

Hovedfokuset i innlegget er tenant-problematikken, som fungerer som en rød tråd. Selv om enkelte digresjoner forekommer, er alt relatert til personvern og informasjonssikkerhet for skole og kommune som benytter M365.

Lenken til mitt hovedinnlegg er altså: blogg.brr.no: M365 i skolen – personvern og informasjonssikkerhet (https://www.brr.no/wordpressbrr/nasjonal-dpia-for-microsoft-365/)

PDF-versjon/PDF-variant (PDF-utskrift) pr. 05.09.2025 av mitt hovedinnlegg: «blogg.brr.no: M365 i skolen – personvern og informasjonssikkerhet«. I og med at jeg «innrømmer» en viss KI-bruk spurte jeg KI til råds: Microsoft 365 Copilot KI sine «tanker» og «synspunkter» rundt bruken av Microsoft 365 (M365) innenfor norsk skole (PDF-fil), med fokus rettet mot personvern og informasjonssikkerhet. Fornuftig og bra svart så langt jeg kan vurdere det.