Bruken av M365 i skole – og personvernet

4.8.2025

M365 og personvernet
Bruken av M365 innenfor skole og personvernet. Illustrasjon laget av Microsoft Copilot (KI).

I min ordinære blogg har jeg publisert et innlegg som omhandler skolebruk og kommunal bruk av Microsoft 365 (M365), knyttet opp mot personvernet (GDPR), informasjonssikkerheten og tenant-oppsett. Jeg skriver en del generelt om personvern og informasjonssikkerhet, og i tillegg er jeg blant annet innom tenant-problematikken, behandlingsprotokoller, risikovurderinger (ROS) og personvernkonsekvensvurderinger (DPIA).

Innlegget jeg henviser til i hovedbloggen min hadde opprinnelig tittelen «Nasjonal DPIA for Microsoft 365», ettersom planen var å dele lærdommer og erfaringer fra deltakelsen i KS-prosjektet. Etter at jeg nå er satt på sidelinjen (ufrivillig trådt ut, blitt fristilt) i det nasjonale prosjektarbeidet, har jeg endret tittelen til en mer generell variant: «M365 i skolen – personvern og informasjonssikkerhet». En alternativ (men altfor lang) tittel kunne vært: «Mine tanker og vurderinger rundt oppsett av Microsoft 365-tenanter – og litt generelt om personvern og informasjonssikkerhet – i kommunal sektor, med særlig fokus på skole». Siden jeg ikke lenger deltar i prosjektet, vil innlegget ikke ha hovedfokus på DPIA-delen i KS/SkoleSec-arbeidet.

M365 inkludert skytjenester (og KI?) er i utstrakt bruk innenfor norsk skole, og dette medfører en del utfordringer for personvernet til den sårbare elevgruppa. Barnas personvern innenfor skole er til tider under stort press på grunn av den utstrakte digitaliseringen og den digitale transformasjonen. Ukritisk innføring av nye digitale læringsverktøy går / kan gå på bekostning av personvernet til elevene. Manglende kunnskap og bevissthet hos ansvarlige kan føre til utilstrekkelig beskyttelse av elevenes personopplysninger, noe som øker risikoen for at opplysningene blant annet blir utnyttet til kommersielle formål.

Lenken til hovedinnlegget mitt er altså:

Oppsummering i kortversjon: Mine tanker rundt personvern, informasjonssikkerhet og tenant-problematikk ved bruk av M365 innenfor skole (og kommune).

Innleggets stikkordsmessige innhold:

  • Introduksjon til tematikken
  • Bakgrunn og utgangspunkt for skriveriene
  • Kort om Microsoft 365-løsningen og lisensiering (lisenser/abonnement)
  • Litt om (antatt) IKT-status i skolene
  • Forklaring av hva en tenant er i M365-sfæren
  • Mer om tenant-problemstillingen (tenant-problematikken), sett i lys av personvern og informasjonssikkerhet
  • Utgangspunkt for tenant-oppsett
  • Fordeler og ulemper med å samle alt i en felles tenant
  • Anbefalinger til skoleeier på tenant- og personvernområdet
  • Generelt om informasjonssikkerhet og personvern (GDPR)
  • Noen aktuelle sikringstiltak (generelle) og sikkerhetstiltak M365
  • Teoretisk tilnærming til behandlingsprotokoller, risikovurdering (ROS), personvernkonsekvensvurdering (DPIA), hvor tidligere foretatt tenant-valg vil påvirke analysene
  • USA og skyen litt mer i detalj
  • Kunstig intelligens (KI) – Copilot i Microsoft 365
  • Hva som (sannsynligvis) inngår og ikke inngår i det nasjonale DPIA-prosjektet, etter den kjennskap jeg fikk til saken
  • Litt om min ufrivillige uttreden fra det nasjonale KS DPIA-prosjektet
  • Avsluttende kommentarer og noen utvalgte lenker

Utgangspunktet er delvis den lærdommen jeg tilegnet meg gjennom det nasjonale prosjektet, supplert med erfaringer og kunnskap fra min daglige jobb, der jeg også har ansvar som personvernrådgiver og mangeårig IKT-tilsatt kommunearbeider.

M365 i klasserommet
Illustrasjon av klasserom med lærer og to elever, der digitale læringsverktøy og Microsoft 365 inngår som en naturlig del. (Generert med ChatGPT 5.1)

 

Hovedfokuset i innlegget er tenant-problematikken relatert til skole og kommunal bruk av M365, som fungerer som en rød tråd. Selv om enkelte digresjoner forekommer, er alt relatert til personvern og informasjonssikkerhet for skole og kommune som benytter M365. Underveis i revideringene mine har det blitt mer og mer fokus på generelt personvern og informasjonssikkerhet knyttet opp mot M365, og nedtoning av tenant-biten.

Stengt tatt framstår hele M365-økosystemet som en stor og meget omfattende «monsterpakke»:

M365-innholdet
Økosystemet til Microsoft 365 i Enterprise-tapning, hvor slettes ikke alle apper og tjenester har fått plass. For mange av oss fungerer Teams som navet, og sky-lagring skjer via OneDrive og/eller SharePoint.

 

Og i figuren eller illustrasjonen ovenfor er strengt tatt bare utvalgte deler av pakken tatt med. En mer omfattende liste er tilgjengelig i form av et PDF-vedlegg i min hovedartikkel (lenke).

Oppsummering av innholdet i hovedartikkelen – generert av M365 Copilot KI

  • Tema og mål: Innlegget drøfter utfordringer og tiltak knyttet til personvern og informasjonssikkerhet ved bruk av Microsoft 365 (M365) i skole og kommunal sektor. Hovedfokus er på tenant-struktur, risikovurderinger (ROS) og personvernkonsekvensvurderinger (DPIA).
  • Microsoft 365 i praksis:
    • M365 er en omfattende plattform med Office-apper, Teams, OneDrive, SharePoint og stadig mer integrert KI (Copilot).
    • Bruken i skolen innebærer behandling av store mengder persondata om elever og ansatte, noe som krever strenge tiltak for å oppfylle GDPR.
  • Tenant-problematikk:
    • Valg av tenant-struktur (felles tenant vs. separate tenanter) påvirker både sikkerhet, administrasjon og personvern.
    • Fordeler med felles tenant: enklere drift og samhandling.
    • Ulemper: større risiko ved feilkonfigurasjon og mer komplekse tilgangsstyringer.
  • Personvern og informasjonssikkerhet:
    • Barn er en særskilt sårbar gruppe under GDPR.
    • Ukritisk innføring av digitale verktøy kan føre til svekket personvern og uønsket kommersiell utnyttelse av data.
    • Det er ofte manglende kompetanse og bevissthet hos ansvarlige.
  • Tiltak og anbefalinger:
    • Gjennomføring av ROS og DPIA er obligatorisk.
    • Sikringstiltak: kryptering, betinget tilgang, Intune for enhetsstyring, logging og opplæring.
    • Klare behandlingsprotokoller og databehandleravtaler må være på plass.
  • Lisensiering:
    • Skolesektoren bruker oftest A-lisenser (A1, A3, A5), mens administrasjonen bruker E-lisenser (E3, E5).
    • Høyere lisensnivå gir bedre sikkerhetsfunksjoner.
  • Status og utfordringer:
    • Mange skoler har ikke gjennomført DPIA, og kvaliteten på ROS varierer.
    • Digitaliseringen presser personvernet, og gratisapper kan medføre at elever «betaler» med persondata.

Lenken til mitt hovedinnlegg er altså: blogg.brr.no: M365 i skolen – personvern og informasjonssikkerhet (https://www.brr.no/wordpressbrr/nasjonal-dpia-for-microsoft-365/)

 

Microsoft, USA og skyen
Elefanten i rommet: Alt i sky – også makt, kontroll og avhengighet av ustabile USA. Illustrasjon og delvis bildetekst laget av ChatGPT 5.2 (KI)

 

Jeg supplerer med et sammendrag laget av ChatGPT 5.2 pr. 28.12.2025:

Sammendrag av hovedinnlegget

Innlegget drøfter bruken av Microsoft 365 i skolesektoren med særlig vekt på personvern, styring, risiko og langsiktige konsekvenser av økende avhengighet til én dominerende leverandør. Selv om Microsoft 365 i dag er utbredt og i praksis ofte oppleves som et nødvendig verktøy i skole og kommune, reiser løsningen en rekke prinsipielle og praktiske spørsmål knyttet til behandling av personopplysninger, overføring av data til tredjeland, leverandørmakt og digital suverenitet.

Det pekes på at barn og elever er en særlig sårbar gruppe i personvernsammenheng, og at omfattende bruk av skybaserte tjenester i undervisning og skoleadministrasjon forutsetter grundige vurderinger av behandlingsgrunnlag, formål, dataminimering og risiko. Samtidig fremheves det at mange kommuner i praksis har begrenset handlingsrom, både teknisk og organisatorisk, når Microsoft 365 først er tatt i bruk som en integrert del av skole- og virksomhetsdriften.

Innlegget belyser også hvordan markedsmakt, prisutvikling og funksjonell innlåsing kan svekke reelle valgmuligheter over tid, og hvordan dette må sees i sammenheng med samfunnssikkerhet, beredskap og digital avhengighet. Bruken av Microsoft 365 omtales derfor ikke bare som et IT-valg, men som et strategisk veivalg med juridiske, økonomiske og politiske implikasjoner.

Avslutningsvis understrekes behovet for bevisste valg, tydelig styring og realistiske exit-strategier, også der alternative løsninger i dag kan fremstå som mindre modne eller krevende å ta i bruk. Målet er ikke nødvendigvis en umiddelbar utfasing av Microsoft 365, men å sikre at bruk av plattformen skjer på et informert grunnlag, med forståelse for risiko, konsekvenser og langsiktige bindinger – særlig når løsningen benyttes i skole og overfor barn.

Lenker:

I og med at jeg «innrømmer» en viss KI-bruk spurte jeg KI til råds: Microsoft 365 Copilot KI sine «tanker» og «synspunkter» rundt bruken av Microsoft 365 (M365) innenfor norsk skole (PDF-fil), med fokus rettet mot personvern og informasjonssikkerhet. Fornuftig og bra svart så langt jeg kan vurdere det.