Bruken av M365 i skole – og personvernet

4.8.2025

M365 og personvernet
Bruken av M365 innenfor skole og personvernet. Illustrasjon laget av Microsoft Copilot (KI).

I min ordinære blogg har jeg publisert et innlegg som omhandler skolebruk og kommunal bruk av Microsoft 365 (M365), knyttet opp mot personvernet (GDPR), informasjonssikkerheten og tenant-oppsett. Jeg skriver en del generelt om personvern og informasjonssikkerhet, og i tillegg er jeg blant annet innom tenant-problematikken, behandlingsprotokoller, risikovurderinger (ROS) og personvernkonsekvensvurderinger (DPIA).

Innlegget jeg henviser til i hovedbloggen min hadde opprinnelig tittelen «Nasjonal DPIA for Microsoft 365», ettersom planen var å dele lærdommer og erfaringer fra deltakelsen i KS-prosjektet. Etter at jeg nå er satt på sidelinjen (ufrivillig trådt ut, blitt fristilt) i det nasjonale prosjektarbeidet, har jeg endret tittelen til en mer generell variant: «M365 i skolen – personvern og informasjonssikkerhet». En alternativ (men altfor lang) tittel kunne vært: «Mine tanker og vurderinger rundt oppsett av Microsoft 365-tenanter – og litt generelt om personvern og informasjonssikkerhet – i kommunal sektor, med særlig fokus på skole». Siden jeg ikke lenger deltar i prosjektet, vil innlegget ikke ha hovedfokus på DPIA-delen i KS/SkoleSec-arbeidet.

M365 inkludert skytjenester (og KI?) er i utstrakt bruk innenfor norsk skole, og dette medfører en del utfordringer for personvernet til den sårbare elevgruppa. Barnas personvern innenfor skole er til tider under stort press på grunn av den utstrakte digitaliseringen og den digitale transformasjonen. Ukritisk innføring av nye digitale læringsverktøy går / kan gå på bekostning av personvernet til elevene. Manglende kunnskap og bevissthet hos ansvarlige kan føre til utilstrekkelig beskyttelse av elevenes personopplysninger, noe som øker risikoen for at opplysningene blant annet blir utnyttet til kommersielle formål.

Lenken til hovedinnlegget mitt er altså:

Oppsummering i kortversjon: Mine tanker rundt personvern, informasjonssikkerhet og tenant-problematikk ved bruk av M365 innenfor skole (og kommune).

Innleggets stikkordsmessige innhold:

  • Introduksjon til tematikken
  • Bakgrunn og utgangspunkt for skriveriene
  • Kort om Microsoft 365-løsningen og lisensiering (lisenser/abonnement)
  • Litt om (antatt) IKT-status i skolene
  • Forklaring av hva en tenant er i M365-sfæren
  • Mer om tenant-problemstillingen (tenant-problematikken), sett i lys av personvern og informasjonssikkerhet
  • Utgangspunkt for tenant-oppsett
  • Fordeler og ulemper med å samle alt i en felles tenant
  • Anbefalinger til skoleeier på tenant- og personvernområdet
  • Generelt om informasjonssikkerhet og personvern (GDPR)
  • Noen aktuelle sikringstiltak (generelle) og sikkerhetstiltak M365
  • Teoretisk tilnærming til behandlingsprotokoller, risikovurdering (ROS), personvernkonsekvensvurdering (DPIA), hvor tidligere foretatt tenant-valg vil påvirke analysene
  • USA og skyen litt mer i detalj
  • Kunstig intelligens (KI) – Copilot i Microsoft 365
  • FRIA (KI)
  • Hva som (sannsynligvis) inngår og ikke inngår i det nasjonale DPIA-prosjektet, etter den kjennskap jeg fikk til saken
  • Litt om min ufrivillige uttreden fra det nasjonale KS DPIA-prosjektet
  • Avsluttende kommentarer og noen utvalgte lenker

Utgangspunktet er delvis den lærdommen jeg tilegnet meg gjennom det nasjonale prosjektet, supplert med erfaringer og kunnskap fra min daglige jobb, der jeg også har ansvar som personvernrådgiver og mangeårig IKT-tilsatt kommunearbeider.

M365 og skolebruk
Illustrasjon av klasserom med lærer og to elever, der digitale læringsverktøy og Microsoft 365 inngår som en naturlig del. (Generert med ChatGPT 5.2.)

 

Hovedfokuset i innlegget var i utgangspunktet tenant-problematikken relatert til skole og kommunal bruk av M365, som skulle fungerer som en rød tråd. Enkelte digresjoner fant tidlig sin vei inn i presentasjonen, men alt var relatert til personvern og informasjonssikkerhet for skole og kommune som benytter M365. Underveis i revideringene mine har det blitt mer og mer fokus på generelt personvern og informasjonssikkerhet knyttet opp mot M365, og sterk nedtoning av tenant-biten.

Stengt tatt framstår hele M365-økosystemet som en stor og meget omfattende «monsterpakke»:

M365-innholdet
Økosystemet til Microsoft 365 i Enterprise-tapning, hvor slettes ikke alle apper og tjenester har fått plass. For mange av oss fungerer Teams som navet, og sky-lagring skjer via OneDrive og/eller SharePoint.

 

Og i figuren eller illustrasjonen ovenfor er strengt tatt bare utvalgte deler av pakken tatt med. En mer omfattende liste er tilgjengelig i form av et PDF-vedlegg i min hovedartikkel (lenke).

Oppsummering av innholdet i hovedartikkelen – generert av M365 Copilot KI (oppdatert pr. 06.03.2026):

Copilot-oppsummering

Bruken av Microsoft 365 (M365) i norsk skole og kommunal sektor gir både store muligheter og tydelige utfordringer. Plattformen fungerer som et sentralt nav for kommunikasjon, samhandling, lagring og læringsaktiviteter, men stiller samtidig høye krav til personvern og informasjonssikkerhet. Dette gjelder særlig når det kommer til tenant-struktur, tilgangsstyring, deling, logging, rollen til skytjenester og dokumentasjonsplikter etter GDPR.

I hovedinnlegget løfter forfatter fram at mange kommuner har varierende kvalitet i arbeidet med behandlingsprotokoller, risikovurderinger (ROS) og personvernkonsekvensvurderinger (DPIA). Dokumentasjonen finnes ofte, men etterlevelsen er ujevn. Dette gjør at risikoen for manglende beskyttelse av personopplysninger øker – særlig for elever, som er en sårbar gruppe med særskilt vern i GDPR. Digitaliseringen i skolen kan lett føre til at elevenes personvern kommer under press dersom kompetanse eller bevissthet hos ansvarlige mangler.

Forfatter peker også på utfordringer knyttet til bruk av en amerikansk leverandør, der spørsmål om jurisdiksjon, kontroll og digital suverenitet får stadig større betydning. Selv om M365 kan tilbys med datasentre i EU/EØS, ligger det fortsatt en iboende risiko i avhengigheten av en global aktør.

Videre understreker forfatter behovet for en helhetlig, gjennomtenkt og sikker forvaltning av M365-løsningen. Dette innebærer klare rutiner, tydelige roller, gode tekniske konfigurasjoner, kontinuerlig opplæring og løpende oppfølging over tid. M365 kan være et trygt valg for skole og kommune – men kun dersom risikoarbeidet er solid, og personvern og informasjonssikkerhet tas på alvor i praksis.

Lenken til mitt hovedinnlegg er altså: blogg.brr.no: M365 i skolen – personvern og informasjonssikkerhet (https://www.brr.no/wordpressbrr/nasjonal-dpia-for-microsoft-365/)

Microsoft, USA og skyen
Elefanten i rommet: Alt i sky – også makt, kontroll og avhengighet av ustabile USA. Illustrasjon og delvis bildetekst laget av ChatGPT 5.2 (KI)

 

Jeg supplerer med et sammendrag laget av ChatGPT 5.3, oppdatert 06.03.2026:

ChatGPT-sammendrag

Microsoft 365 har blitt en sentral digital plattform i mange kommuner og skoler. Løsningen gir store gevinster for samarbeid, kommunikasjon og effektiv drift, men innebærer samtidig omfattende behandling av personopplysninger – inkludert opplysninger om elever, som etter personvernregelverket regnes som en særlig sårbar gruppe.

Bruken av slike skybaserte plattformer reiser derfor flere viktige spørsmål. Skoleeier er behandlingsansvarlig og må sikre at behandlingen av personopplysninger er lovlig, nødvendig og forholdsmessig. Det innebærer blant annet å ha oversikt over hvilke data som behandles, hvorfor de behandles, hvor de lagres, og hvem som har tilgang til dem.

En særlig utfordring er kompleksiteten i moderne skytjenester. Plattformen består av mange tjenester og integrasjoner, og det kan være vanskelig å få full innsikt i hvordan data faktisk behandles i praksis. Dette gjør det krevende å gi tydelig informasjon til elever og foresatte, og å dokumentere at kravene i personvernregelverket er oppfylt.

Internasjonalt har det også vært økende oppmerksomhet rundt hvordan slike tjenester håndterer data om elever. Flere europeiske tilsyn og personvernorganisasjoner har stilt spørsmål ved sporingsmekanismer, transparens og kontroll over data i utdanningsplattformer.

Konklusjonen er derfor ikke nødvendigvis at slike løsninger ikke kan brukes i skolen – men at bruken krever bevisst styring, gode risikovurderinger og klare organisatoriske tiltak. Personvern i skolen handler i stor grad om å forstå teknologien, stille riktige krav til leverandørene og sørge for at behandlingen av elevenes data skjer på en ansvarlig og dokumentert måte.

Personvern og skole
Digitalisering i kommunene og skolene stiller høye krav til personvern og informasjonssikkerhet – særlig når barn og unge er brukere. Illustrasjon og bildetekst laget av ChatGPT 5.2 KI.

Lenker:

KI

I og med at jeg «innrømmer» en viss KI-bruk spurte jeg KI til råds: Microsoft 365 Copilot KI sine «tanker» og «synspunkter» rundt bruken av Microsoft 365 (M365) innenfor norsk skole (PDF-fil), med fokus rettet mot personvern og informasjonssikkerhet. Fornuftig og bra svart så langt jeg kan vurdere det.