(Sist oppdatert 11.03.2026 @ 21:38 av Bjørn Roger Rasmussen.)

Microsoft 365 er en nøkkelplattform i norsk skole og kommunal virksomhet – og bruken kan gi store gevinster og effektivisere driften. Men hvordan sikrer vi høyst nødvendig personvern og informasjonssikkerhet? I dette innlegget får du en oversikt over sentrale utfordringer og problemstillinger – og forhåpentligvis noen praktiske grep som kan redusere risikoen.

Microsoft 365 (M365) er i ferd med å bli selve grunnmuren – og i praksis navet – for kommunikasjon, samhandling, læringsaktiviteter og dokumentflyt i skole og kommune. Samtidig stiller løsningen høye krav til styring av personvern og informasjonssikkerhet – særlig når det gjelder tenant-struktur, tilgangsstyring, deling, logging og dokumentasjon etter GDPR (personvernforordningen).

Innlegget har særlig vekt på tenant-struktur, risikovurderinger (ROS – risiko- og sårbarhetsvurderinger), personvernkonsekvensvurderinger (DPIA/PVK) og praktiske personvernkrav (GDPR) i hverdagen. For å lykkes trengs en kombinasjon av gode tekniske valg, tydelige rutiner, opplæring og organisatoriske tiltak – fulgt opp over tid.

Min hypotese – eller kanskje bekymring – er at mange virksomheter har for stor variasjon i hvor godt behandlingsprotokoller, risikovurderinger og personvernkonsekvensvurderinger faktisk er gjennomført og fulgt opp. Dokumentasjon finnes ofte, men kvaliteten og etterlevelsen varierer. Spesielt viktig er det å ivareta personvernet til elever – en sårbar gruppe fordi mange er mindreårige og i begrenset grad kan ivareta egne rettigheter.

I tillegg har avhengigheten av en amerikansk leverandør og ønsket om større digital suverenitet blitt mer aktuelt. Når stadig mer av kjernevirksomheten legges til én global skyleverandør, reises spørsmål om jurisdiksjon, kontroll, makt og handlefrihet. Samtidig integreres kunstig intelligens (KI) tettere i plattformen, noe som øker kompleksiteten og skjerper kravene til databruk, databeskyttelse og styring. Spørsmålet er ikke om vi skal bruke teknologien – men hvordan vi beholder kontrollen over den.

I dette innlegget deler jeg erfaringer og kunnskaper fra kommunal sektor, og peker på tiltak som kan redusere risikoen for tjenestemottakere, innbyggere, elever og ansatte.

🔗 Direkte lenke til dette innlegget: https://www.brr.no/wordpressbrr/nasjonal-dpia-for-microsoft-365/ – Alternativ kort-lenke: m365skole.brr.no

Introduksjon til tematikken

– Personvern og informasjonssikkerhet i møte med Microsoft 365 i skolen (og kommunal sektor)

Her i dette innlegget deler jeg mine erfaringer, refleksjoner, tanker og vurderinger om bruken av Microsoft 365 (M365/MS 365) innenfor skolesektoren og kommunal virksomhet, og hva dette betyr for personvernet og informasjonssikkerheten. Jeg ser blant annet nærmere på utfordringer som tenant-oppsett, behandlingsgrunnlag og behandlingsprotokoller, risikovurderinger (ROS) og DPIA (personvernkonsekvensvurderinger), og jeg prøver å forklare hva dette betyr i praksis for kommuner og skoler. Målet er å gi en praktisk og forståelig fremstilling av sentrale problemstillinger som kommuner og skoler står overfor når digitale verktøy slik som M365 skal tas i bruk på en trygg og ansvarlig måte.

Innleggets stikkordsmessige innhold:

Utgangspunktet er delvis den lærdommen jeg tilegnet meg gjennom det nasjonale prosjektet, supplert med erfaringer og kunnskap fra min daglige jobb, der jeg også har ansvar som personvernrådgiver (jeg er ikke personvernombud). Jeg har også mange års erfaring som IKT-rådgiver innenfor kommunal virksomhet, hvor selvsagt både personvern og informasjonssikkerhet titt og ofte banker på døra.

Uttrykket «behandling av personopplysninger» høres kanskje teknisk ut, men betyr i praksis bare at kommunen eller skolen håndterer opplysninger om deg – for eksempel ved å samle dem inn, bruke dem i systemer, lagre dem eller dele dem når det er nødvendig.

Innleggets hovedfokus var opprinnelig tenant-problematikken, som var ment å fungere som en rød tråd. Underveis har imidlertid innholdet utviklet seg til i like stor grad å omfatte generelle temaer knyttet til personvern og informasjonssikkerhet for skoler og kommuner som benytter M365.

Kort KI-oppsummering

Kort oppsummering av innlegget generert med KI-verktøyet ChatGPT (GPT-5.3):

Utgangspunkt

I starten av 2025 valgte jeg å engasjere meg innenfor KS-prosjektet «Nasjonal DPIA for Microsoft 365». Som det står å lese på KS sin nettside (lenke): «KS starter arbeidet med å gjennomføre en nasjonal vurdering av personvernkonsekvenser (DPIA) for Microsoft 365 etter modell fra DPIAen for bruk av Google Workspace for Education i skolen.» Min plass var i en liten arbeidsgruppe som jobbet med tenant-problematikken. Dette var på mange måter et forprosjekt forut for selve DPIA-biten.

Selv er jeg ikke spesifikt interessert i skole, men jeg satset på at DPIA-en kunne gi store overføringsverdier til andre deler av den kommunale virksomheten. Jeg engasjerte meg opprinnelig i prosjektet fordi det omhandler reelle problemstillinger som i høyeste grad er relevante for Kinn kommune, min arbeidsplass.

Det kunne blitt interessant å få være med i dette arbeidet innenfor personvern knyttet opp mot den amerikanske «big tech»-leverandøren Microsoft, i grensegangen mot skole og kommune!

Jeg har valgt å gå videre som freelancer mutters alene (på fritida, uten betaling), og helt på eget initiativ dele noen refleksjoner om Microsoft 365 (M365/MS 365) i skjæringspunktet norsk skole/kommune, personvern, informasjonssikkerhet og amerikansk teknologigigant. Presentasjonen er ikke ment å være akademisk eller vitenskapelig – mer en teoretisk, praktisk tilnærming.

Jeg har endelig gjennomført endring av tittel på innlegget! Gammel tittel: «Nasjonal DPIA for Microsoft 365«. Ny tittel, som er mye mer dekkende for dagens situasjon og skriverier: «M365 i skolen – personvern og informasjonssikkerhet«. (Informasjonssikkerhet forkortet til infosikkerhet for å unngå for lang tittel, jf. SEO-anbefalinger.) Imidlertid består det gamle filnavnet på innlegget (nasjonal-dpia-for-microsoft-365).

Mer om bakgrunnen for skriveriene

Jeg har valgt å skrive litt om det jeg har lært om tenant-inndelinger og utfordringer (tenant-problematikk) knyttet til Microsoft 365 i skole– og kommunesektoren, inkludert et generelt fokus på personvern og informasjonssikkerhet. Dette arbeidet er gjort på eget initiativ og i personlig regi, og er ikke en del av det offisielle nasjonale KS-prosjektet, da jeg ikke lenger er tilknyttet dette. Noen av tekstene jeg bidro med i fellesprosjektet har jeg delvis, i noe modifisert form, tatt med her i innlegget.

Etter å ha vært dypt fordypet i prosjektets problemstillinger, kjente jeg et behov for å ‘skrive meg tom’ for å rydde i tankene. Mitt mål er ikke å konkurrere med det nasjonale prosjektet, men å bidra konstruktivt til å belyse sentrale problemstillinger sett fra mitt personlige perspektiv.

Innholdet er altså i stor grad utarbeidet uavhengig fra det nasjonale prosjektet, og jeg har i noen tilfeller benyttet kunstig intelligens (KI/AI) – nærmere bestemt Microsoft 365 Copilot (https://copilot.microsoft.cloud/) – som støtte i skriveprosessen. All tekst er naturligvis manuelt og menneskelig kvalitetssikret før publisering. Underveis har også ChatGPT blitt tatt i bruk, i tillegg til Copilot.

For å være helt åpen og transparent om min (begrensede) bruk av KI; Generativ kunstig intelligens (stor språkmodell) i form av Microsoft 365 Copilot og ChatGPT har blitt brukt til:

• Språklig forbedring og språkvask, og noe generering av innhold basert på input og kvalitetssjekk fra menneskelige meg.
• Innhenting av bakgrunnsinformasjon i idefasen (idedugnad, idemyldring og utvikling)
• Laging av passende illustrasjoner.

Språket kan til tider bære preg av KI-generering («KI-språk»), men hovedfokuset har vært på å formidle innholdet tydelig og faglig korrekt uten å henge seg opp i språklige spissfindigheter.

I og med at jeg «innrømmer» en viss KI-bruk spurte jeg KI til råds: Microsoft 365 Copilot KI sine «tanker» rundt bruken av Microsoft 365 (M365) innenfor norsk skole (lenke til PDF-fil). Fornuftig og bra svart så langt jeg kan vurdere det.

Innlegget hadde opprinnelig tittelen «Nasjonal DPIA for Microsoft 365», ettersom planen var å dele lærdommer og erfaringer fra deltakelsen i prosjektet. Etter at jeg nå er satt på sidelinjen i det nasjonale prosjektarbeidet, har jeg endret tittelen til en mer generell variant: «M365 i skolen – personvern og informasjonssikkerhet». En alternativ (men altfor lang) tittel kunne vært: «Mine tanker og vurderinger rundt oppsett av Microsoft 365-tenanter – og litt generelt om personvern og informasjonssikkerhet – i kommunal sektor, med særlig fokus på skole». Siden jeg ikke lenger deltar i prosjektet, vil innlegget ikke ha hovedfokus på DPIA-delen i KS/SkoleSec-arbeidet.»

Vinklingen har jeg prøvd å holde på et ikke-teknisk nivå. Det er mer en teoretisk drøftelse av ulike alternative valg som eventuelt kan foretas av beslutningstakere. Mine skriverier bør være interessante for skoleledelse og kommuneledelse som kommer borti bruken av M365.

Nok en KI-generert illustrasjon:

 

Og en til:

Microsoft 365-produkter og tjenester

Hva slags produkt er det snakk om:

Microsoft 365 er en omfattende og vid plattform som ofte fungerer som et av de sentrale IKT-hovedsystemene i skolen og kommunal virksomhet. Løsningen tilbyr tjenester for kommunikasjon, samarbeid, dokumenthåndtering, informasjonsdeling og læringsstøtte. Bruken innebærer behandling av store mengder data, inkludert personopplysninger om elever og ansatte, noe som stiller høye krav til informasjonssikkerhet og personvern. Tjenester og data – også innenfor M365-sfæren – håndteres i stadig større grad i skyen fremfor lokalt.

 

Innledningsvis har jeg en illustrasjon som viser noe av innholdet i M365-pakken. Illustrasjonen er imidlertid noe mangelfull og utdatert. En mer oppdatert og delvis mer fullstendig oversikt følger nedenfor:

 

Jeg forsøkte å bruke Copilot KI til å lage en illustrasjon av M365-økosystemet, men teknologien kom til kort. Derfor har jeg manuelt utarbeidet figuren ovenfor.

En mer omfattende oversikt over innholdet i M365-pakken – som både er rikholdig og til tider uoversiktlig – er tilgjengelig som PDF (lenke). I mange tilfeller betaler man betydelige beløp for funksjonalitet som ikke utnyttes fullt ut, og prisøkningene på abonnementer og lisenser har vært merkbare – påfallende høye – de siste årene, særlig for enheter som ikke kvalifiserer for A-lisenser.

I tidligere offline-tider handlet det kun om Microsofts Office-pakke, der all databehandling foregikk lokalt på egen datamaskin eller via interne bedriftsservere. Opprinnelig var målet å samle ulike produktivitetsprogrammer i en integrert pakke, spesielt tilpasset kontorbruk. I dag, med sky-teknologi og internett, har det kommet til en rekke nettbaserte funksjoner og samhandlingsfunksjonalitet, og Microsoft 365 fremstår som langt mer enn bare en tradisjonell kontorpakke.

Microsoft tilbyr en stor portefølje med produkter og tjenester:

 

For spesielt interesserte: Ti bonuspoeng til den som klarer å identifisere alle ikonene i figuren over – uten å jukse med søk på nett eller KI.

Velkjent utfordring: Microsoft har hatt betydelige prisøkninger de siste årene, langt utover den generelle prisstigningen i samfunnet. Dette kan ikke fullt ut forklares med ny funksjonalitet i produktene – det handler også om profittmaksimering, økt avhengighet og markedsmakt. De høye abonnements- og lisenskostnadene gjør at enkelte offentlige etater i europeiske land nå vurderer alternativer til Microsofts løsninger og dominerende posisjon.

En slik strategi kan innebære å ta i bruk løsninger basert på åpen kildekode som alternativer til Microsoft 365 og andre Microsoft-produkter, og der det er hensiktsmessig vurdere Linux som operativsystem (klient- og eventuelt servernivå) i stedet for Windows. Som kontorpakke kan for eksempel LibreOffice vurderes. Dette kan bidra til bedre kostnadskontroll og styrket digital suverenitet.

Å bytte til Google Workspace (fra Alphabet Inc.) vurderes som lite hensiktsmessig, da man fortsatt vil forholde seg til amerikansk Big Tech og tilsvarende overordnede problemstillinger. Den politiske diskusjonen behandles ikke videre her, men berøres noe nærmere i kapittelet om USA senere i dokumentet. I det videre fokuseres det på bruken av Microsoft 365 i skoler og kommuner som allerede har løsningen i daglig drift.

Lisenser og abonnement

A-lisenser (abonnementer) er rettet mot – og tilpasset – skole og utdanning (inkluderer noen pedagogiske verktøyer), mens E-lisenser er rettet mot administrativ eller kommersiell bruk i virksomheter. A3/E3 har mindre med sikkerhetsfunksjonalitet «innebygget» enn A5/E5.

Mer om lisensnivåer for spesielt interesserte:

 

Kort oppsummering: Microsoft 365-lisenser/avtaler/abonnement med prefiks A (f.eks. A1, A3, A5) er rettet mot utdanningssektoren og skoler (Academic), mens lisenser med prefiks E (f.eks. E1, E3, E5 + F1/F3) er beregnet for kommersiell bruk i virksomheter og offentlige organisasjoner (E for Enterprise). I tillegg er det lisensnivåer: Høyeste lisensnivå er A5/E5, middels lisensnivå er A3/E3, lavt lisensnivå A1/E1 og aller lavest lisensnivå F1/F3 (F-nivået: Frontlinjearbeidere, som typisk jobber mobilt eller på delte enheter, ikke relevant for skole). Desto høyere nivå (nummer), jo mer funksjonalitet er inkludert. Småbedrift-varianter og utgaver beregnet på hjemmebruk ikke tatt med.

De gammeldagse, evigvarende lisensene er tilnærmet historie. I dag bygger Microsoft 365 på en abonnementsmodell, der tjenester og programvare leveres som en del av et månedlig eller årlig abonnement. Fordelen er at man får mer fleksibilitet, alltid oppdaterte løsninger og enklere budsjettering. I stedet for å kjøpe en lisens én gang og måtte oppgradere manuelt ved behov, får man nå tilgang til de nyeste funksjonene og sikkerhetstiltakene automatisk, så lenge abonnementet er aktivt.

I fortsettelsen benytter jeg konsekvent Microsoft 365 (M365) som produktnavn. Imidlertid kunne det i en del tilfeller vært mer riktig å benytte begrepet Office 365. Skillet er imidlertid dette i kortversjon:

• Office 365 = Office-apper + skybaserte tjenester, dvs. fokus på selve produktivitetsverktøyene (gode gamle Office-pakken supplert med diverse skytjenester).
• Microsoft 365 = Office 365 + sikkerhetsfunksjonalitet + enhetsadministrasjon + eventuelt Windows operativsystem (i noen «pakker» eller planer) + Azure AD Premium i enkelte tilfeller. Dvs. En mer omfattende og komplett pakke enn «bare» Office 365.

På grunn av krav fra EU/EØS knyttet til konkurransesituasjonen, er ikke Teams lenger en integrert del av M365-avtalene for nye kunder. I stedet må man kjøpe en separat Teams-lisens (Teams Enterprise eller Teams Education).

Det virker som om Copilot-navnet nå sniker seg inn overalt i M365-universet, selv om Copilot i utgangspunktet kun er KI-funksjonaliteten. Microsoft omtaler ofte hele løsningen som «Microsoft 365 Copilot» eller bare «M365 Copilot«, noe som kan skape inntrykk av at Copilot er selve produktet.

Litt Microsoft-kritikk: Muligens minner vår Microsoft-avhengighet mest om et ufrivillig tvangsekteskap. Vi har gjort oss helt avhengige av Windows og Microsoft 365 (Microsoft sitt økosystem), og det finnes få gode og reelle alternativer som dekker fullt ut funksjonaliteten som ligger i Microsoft-produktene. (F. eks. å gå over til Google Workspace vil ikke gjøre tingenes tilstand noe særlig mye bedre!) Microsoft vet også å utnytte deres (nesten) monopolstilling, gjennom at prisene på abonnementer og lisenser hele tiden er sterkt økende langt utover normal prisstigning.

Status i skolen

På 1990-tallet skrev jeg en oppgave på høgskolenivå om tettheten av IKT-utstyr i utvalgte videregående skoler – helt konkret hvor mange elever per PC (langt fra 1:1 den gangen). Dette var et sentralt tema da, fordi utstyrsmangel la klare føringer for undervisningen og IT-bruken. På den tiden var det bruk av EDB og data som var de etablerte begrepene, før sky og internett ble allemannseie.

I dag er situasjonen snudd: Fokuset er i større grad på hvordan teknologien brukes pedagogisk, og ikke på om den finnes eller tilgangen på den. Samtidig opplever jeg at det til tider har vært vel mye teknologioptimisme der ute, og et høyt tempo i digitaliseringen (lenke). Vi har fortsatt et stykke igjen når det gjelder trygg bruk – særlig personvern og informasjonssikkerhet – og parallelt pågår en viktig diskusjon om omfanget av skjermbruk.

Ser vi på det som kommer frem gjennom media og offentlige kilder, er det en ubehagelig realitet at barns personvern i skolen til tider er under stort press. Den omfattende digitaliseringen av skolen og den pågående digitale transformasjonen i kommunal sektor har gitt mange muligheter, men også nye risikoområder. I flere tilfeller innføres digitale læringsverktøy uten tilstrekkelig kritisk vurdering av personvernet og personvernkonsekvensene.

Det er ofte mangel på grundige vurderinger og tilstrekkelig kompetanse til å gjøre gode personvernfaglige avveininger. Resultatet kan bli ukritisk eller uønsket innsamling av personopplysninger, også til kommersielle formål (for eksempel målrettet reklame, profilering eller videresalg av persondata). I enkelte tilfeller tas «gratis» apper og tjenester i bruk, der elever i praksis betaler for bruken med egne personopplysninger. Her fremstår det til tider som om personvernet bagatelliseres, enten av uvitenhet, naivitet eller tidspress, mens pedagogiske hensyn og «kjekt å ha» får forrang.

Målet bør være å sikre god læring uten å kompromittere elevenes personvern. Barn og elevers personopplysninger skal ikke være en handelsvare, og personvernet bør ikke settes på billigsalg i iveren etter å ta i bruk nye digitale løsninger. Overdreven teknologioptimisme må ikke få styrt valgene som blir gjort.

En realitet for mange kommuner er at svak kommuneøkonomi kan påvirke valg innen informasjonssikkerhet og personvern. Begrensede ressurser (penger, tid og kompetanse) gjør det krevende å følge anbefalte tiltak og beste praksis fullt ut, noe som også kan få betydning for hvordan M365 er konfigurert og brukt i skolen.

I forkant av DPIA-arbeidet for Microsoft 365 gjennomførte KS en kartlegging (lenke). Den viste blant annet at mange kommuner ikke hadde gjennomført DPIA, mens det i større grad var utført ROS-analyser – riktignok antakeligvis med varierende kvalitet. Det mest brukte lisensnivået i skole og kommune er E3/A3, som har færre innebygde sikkerhets- og personvernfunksjoner enn E5/A5. Det vanligste er også én felles tenant for hele kommunen, inkludert skole bestående av skoleadministrasjon, lærere og elever.

Det er mulig at både elever og foresatte har stor tillit til at kommuner og skoler velger løsninger der personvernet er godt ivaretatt. Samtidig uttrykker mange i skolesektoren bekymring for manglende oversikt og kontroll over behandlingen av personopplysninger, samt for opplevd overvåkning gjennom store plattformer som M365. At Microsoft er et amerikansk konsern underlagt amerikansk lovgivning, bidrar også til usikkerhet. Læringsstimulatorene som er tilgjengelige via M365 kan også medføre egne bekymringer knyttet til personvernet.

Jeg har i denne gjennomgangen valgt å ikke gå nærmere inn på spørsmål om elevers (barn/unge sin) skjermtid. Dette handler i hovedsak om pedagogikk, organisering, helse og trivsel, og faller utenfor rammen for denne framstillingen. Noen tar likevel til orde for redusert skjermbruk i skolen (og privat), med henvisning til bekymringer om at omfattende skjermtid kan ha negativ innvirkning på elevenes utvikling.

Teknologibruken reiser også spørsmål knyttet til nettvett (lenke) og risiko for digital mobbing (lenke). I lys av dette kan det i enkelte tilfeller være utfordrende å forene bruken av Microsoft 365 med disse hensynene.

Mange skoler benytter i dag andre enheter enn tradisjonelle Windows-PC-er, som iPad nettbrett (iPadOS) eller Chromebook datamaskiner (ChromeOS), ofte fordi de oppleves som rimelige og enkle å administrere samt billigere i innkjøp. Valg av plattform styres gjerne av økonomiske, tekniske og pedagogiske hensyn, men M365 brukes i praksis på tvers av disse enhetene.

Microsoft 365 er et sentralt IKT-system i skolen, men det inngår samtidig i en langt større kommunal systemportefølje. En typisk norsk kommune har gjerne flere hundre ulike IKT- og fagsystemer i bruk. Basert på egne erfaringer – og med noe hjelp til strukturering fra KI – har jeg derfor laget to oversikter:

M365 er et sentralt IKT-system for en skole, men det er også mange andre IKT-systemer / fagsystemer som blir benyttet i kommunene inkludert skole. En typisk norsk kommune har gjerne flere hundre ulike IKT-systemer i bruk. Ut fra egne erfaringer og med litt hjelp fra KI til å strukturere informasjonen har jeg fått laget til disse to listene:

• Typisk kommunal portefølje av IKT-systemer (lenke)
• Typisk kommunal portefølje av IKT-systemer brukt i skole (lenke)

En tenant i M365 – hva er det?

En tenant, på norsk ofte omtalt som en Microsoft 365-leier (altså et leietakermiljø), er et eget «område» i Microsofts sky som en organisasjon får når den tar i bruk Microsoft 365. Det er en dedikert forekomst (en egen instans) av Microsoft 365-tjenestene for virksomheten, der organisasjonens data lagres på en bestemt standardplassering i skyen.

Leieren er logisk og teknisk avgrenset og fungerer som en isolert «container» for virksomhetens Microsoft 365-tjenester og data. Selv om infrastrukturen er delt med mange andre organisasjoner (en delt skyløsning / multi-tenant), er innholdet i leieren adskilt fra andre leiere. Innholdet i leieren omfatter typisk brukere og identiteter, lisenser, e-post, filer og dokumenter, samarbeid/kommunikasjon, sikkerhets- og etterlevelsesinnstillinger, samt administrative data og konfigurasjon.

I fortsettelsen velger jeg å forholde meg til det engelske ordet tenant, i og med at dette er mest innarbeidet i IKT-sammenheng.

Tenant-problematikk i denne sammenhengen handler om å holde data og personopplysninger om ulike brukergrupper tilfredsstillende atskilt fra hverandre, slik at f.eks. elever ikke får tilgang til ansattopplysninger, og kommunalt ansatte uten tjenstlig behov ikke får tilgang til elevdata. Mer om dette senere.

 

 

En visuell metafor for M365-tenants (frambrakt av KI): En leilighet i et leilighetskompleks kan ses på som en tenant:

 

Man kan forestille seg et moderne (og STORT!) leilighetskompleks der hver leilighet har sin egen nøkkel, sine egne møbler, sine egne regler og sine rutiner, men deler felles infrastruktur som inntak og opplegg for strøm, vann og internett. Akkurat slik fungerer tenants i M365: isolerte enheter med egne data, innstillinger og konfigurasjoner, men bygget på en felles digital plattform i skyen.

En mer tradisjonell metafor på dette med tenant: En Microsoft 365-tenant kan sammenlignes med en tradisjonell lokal server (tjener-maskin), men i stedet for å stå fysisk på et serverrom, befinner den seg i skyen. I en lokal løsning er serveren ofte dedikert til én virksomhet, mens Microsofts datasentre betjener mange kunder samtidig gjennom en såkalt multi-tenant-arkitektur, der hver kunde har sitt eget isolerte område – en tenant. Området hos Microsoft fungerer nesten som deres egen «virtuelle server», hvor tenanten inneholder kundens brukere, data, sikkerhetsinnstillinger, lisenser og tjenester som Exchange Online, SharePoint, Teams osv.

Problemstillingen på tenant-området er?

Det er god grunn til å tro at mange kommuner – og også interkommunale IKT-samarbeid, kommunale foretak (KF) og interkommunale selskaper (IKS) – ofte deler / har én felles (single/enkel) tenant i Microsoft 365. Da kan det bli vanskelig å holde data og personopplysninger godt nok atskilt eller segregert. Kravene til konfidensialitet, gyldig behandlingsgrunnlag og dataminimering fra regelverket rundt personvern kan stå i fare for å bli brutt.

Når det gjelder skolesektoren, omfatter denne mindreårige elever (barn og unge), som i personvernsammenheng regnes som sårbare registrerte. Derfor må vi være ekstra nøye med hvordan vi beskytter elevenes personopplysninger (et særlig vern). I tillegg finnes det elever med adressesperre (hemmelig adresse), noe som stiller ekstra krav til sikkerhet og tilgangsstyring.

I en felles tenant kan det være spesielt utfordrende å ivareta tilstrekkelig informasjonssikkerhet og personvern for elevgruppen. Det er heller ikke akseptabelt at kommunalt ansatte utenfor skolesektoren – uten tjenstlig behov – har tilgang til eller kan søke opp elever og deres personopplysninger.

Utgangspunkt for tenant-oppsett

Av økonomiske, organisatoriske, praktiske, kunnskapsmessige og tekniske grunner (+ ut fra makelighetshensyn?) velger mange kommuner ut fra min erfaring å samle all kommunal virksomhet i én felles tenant. Dette gjelder også flere interkommunale IKT-samarbeid, hvor flere kommuner og ulike virksomheter deler samme løsning og tenant. En slik struktur kan imidlertid føre til sikkerhetsutfordringer som kan være krevende å håndtere på en tilfredsstillende måte.

For organisasjoner med under én million brukere anbefales det som hovedregel å benytte én felles tenant for hele virksomheten, med mindre det foreligger særskilte behov som tilsier en annen løsning. Dette rådet støttes også bredt blant leverandører av M365-tjenester til norske kommuner, inkludert konsulenthus, Microsoft-partnere og Microsoft selv (lenke).

Å etablere en arkitektur med flere tenants kan være hensiktsmessig dersom det foreligger særskilte krav knyttet til sikkerhet, personvern eller administrasjon/styring. I oppvekstsektoren, hvor det behandles sensitive personopplysninger om barn og unge (mindreårige elever), kan slike krav i enkelte tilfeller gjøre en slik løsning nødvendig eller ønskelig.

Kommunene må derfor nøye vurdere om det er tilstrekkelig å samle all kommunal virksomhet, inkludert skole, i én felles tenant, eller om det er behov for å etablere flere tenants for å ivareta krav til personvern og informasjonssikkerhet. Det finnes ingen enkel fasit på området. Valget av løsning avhenger av hvor mye risiko (risikovillighet) kommunen tåler, og hvilke sikkerhetstiltak som er på plass eller blir innført.

Det er grunn til å anta at en overgang fra én tenant-struktur til en annen kan medføre betydelige kostnader i form av tid og ressurser. I enkelte tilfeller kan disse kostnadene overstige den forventede nytten. Valg av tenant-arkitektur har samtidig direkte betydning for både risikovurderinger (ROS) og personvernkonsekvensvurderinger (DPIA), som må gjennomføres i samsvar med gjeldende regelverk på personvernområdet. Kommunens vurdering av akseptabelt risikonivå (risikoappetitt) vil også ha innvirkning på disse valgene og analysene.

Fordeler og ulemper med å samle alt i en felles tenant

Når flere kommuner, avdelinger og/eller offentlige enheter deler én felles Microsoft 365-tenant, kan det gi både fordeler og utfordringer. Her er en kraftig forenklet oversikt.

✅ Fordeler:

Enklere samarbeid og samhandling:	Deling, kommunikasjon og samarbeid/samhandling på tvers av organisasjoner og internt mellom avdelinger blir enklere og mer sømløst. Løsningen er brukervennlig og eliminerer behovet for gjestekontoer, konto­veksling og unødvendige dobbelt-kontoer for nøkkelpersonell. I tillegg gir en felles tenant en mer oversiktlig lagringsstruktur enn løsninger med flere tenanter.
Effektiv administrasjon:	Enklere og mer oversiktlig styring av brukere, tilgang og sikkerhet fra ett felles administrasjonsmiljø. Nødvendige innstillinger konfigureres én gang for alle brukere og enheter.
God tilgang på kompetanse:	Det er lettere å finne IT/IKT-personell med erfaring fra én felles tenant enn fra flere parallelle tenanter. Drift av multi-tenant-miljøer krever ofte avansert skripting, mens én tenant i større grad kan administreres gjennom grafiske administrasjonsverktøy (grafisk brukergrensesnitt) som Entra ID, Intune og SCCM.
Lavere kostnader og kostnadseffektiv drift:	Redusert dobbeltarbeid, lavere kompleksitet og enklere (og rimeligere?) lisenshåndtering. Standardisering gir reduserte drifts- og administrasjonskostnader.
Høy sikkerhet kan oppnås:	Med riktige tiltak, konfigurasjoner, lisenser og/eller tilleggsprodukter kan man oppnå et høyt sikkerhetsnivå selv i en felles tenant, forutsatt gode praksiser for tilgangsstyring og databeskyttelse.
Enklere integrasjoner mellom M365 og andre fagsystemer:	Når alt er samlet i én tenant, blir integrasjoner mer forutsigbare, enklere og rimeligere å implementere. Flere fagsystemer støtter dårlig flere parallelle integrasjoner mot ulike M365-tenanter. Gevinster (reduserte drifts- og administrasjonskostnader m. m.) oppnås gjennom standardisering og forenkling.
Standardisering:	Felles løsninger (inkludert standardiserte fagsystemer) og én tenant gir betydelige stordriftsfordeler i driften, både teknisk og organisatorisk.
I tråd med anbefalinger:	Modellen støttes av Microsoft og av en rekke konsulentselskaper (og deres konsulenter) med erfaring fra større multi-organisasjonsmiljøer.
Bedre felles styring og standardisering:	En felles tenant gjør det enklere å etablere enhetlige rutiner, prosedyrer, sikkerhetskrav/tiltak og IT-standarder. Det gir mer forutsigbar drift og mindre variasjon i kvalitet og modenhet.
Mer effektiv sikkerhetsovervåkning:	Alt kan overvåkes i ett felles sikkerhetsmiljø (SOC/SIEM), med sentralisert logging og varsling, fremfor fragmenterte løsninger i hver kommune/enhet.
Færre lokale avvik:	Konsoliderte og standardiserte løsninger reduserer risikoen for lokale særkonfigurasjoner, som ofte er der svakheter og sårbarheter oppstår.

❌ Ulemper:

Datasikkerhet:	Risiko for at brukere får tilgang til feil eller for mye informasjon dersom tilgangsstyringen ikke er stramt konfigurert. Segregering av data krever høy modenhet og kontinuerlig oppfølging. Kun tilgang på data man har tjenstlig behov for kan glippe.
Endringer i funksjonalitet:	Kontinuerlige oppdateringer og ny/vesentlig endret funksjonalitet i M365 krever tett oppfølging. Hvis sikkerhetsinnstillingene ikke oppdateres i takt, kan oppsettet svekkes over tid på sikkerhetsområdet.
Skjerming av personer:	Det kan være utfordrende å skjerme beskyttede identiteter (f. eks. elever med adressesperre) helt i et større fellesskap. For eksempel kan søkefunksjonalitet i M365 i noen tilfeller blottlegge for mye informasjon. Tiltak som adressebok-segregering, «Confidential Labels» (konfidensialitetsetiketter), «Information Barriers» (Informasjonsbarrierer, et konkret produkt/funksjon fra Microsoft) og «Sensitivity Labels» (sensitivitetsetiketter) må vurderes innført, men kompliserer drift og vedlikehold.
Ytelse:	Store datamengder kan i teorien påvirke ytelse, men dette er lite sannsynlig i norsk kommunesektor. Microsofts datasentre i Europa gir lav ventetid, rask prosessering og kjapp respons. Lav ytelse og ventetid vil neppe gi nevneverdige utfordringer i norsk kommunesektor, der enhetene er små i en global sammenheng. (Det eneste måtte være ved et større vellykket dataangrep rettet mot Microsoft sine skytjenester, men da vil dette ramme ytelsen og tilgjengeligheten uavhengig av tenant-oppsett.)
Personvern og juss:	Det kan være uklart om og hvordan data lovlig kan deles mellom ulike juridiske eller organisatoriske enheter i en felles tenant. Klare databehandleravtaler (DBA), definert behandlingsansvar, tydelig rollefordeling, dokumentert formål og strenge interne rutiner er helt avgjørende. Interne revisjoner og internkontroll må gjennomføres jevnlig. Noen aktuelle juridiske rammer og lovverk som gjelder: Personopplysningsloven med tilhørende EU-forordning (GDPR), kommuneloven, forvaltningsloven, offentleglova, arkivlova og opplæringslova.
Lite fleksibilitet:	Lokale tilpasninger per avdeling eller organisasjon er ofte vanskelig, siden mange innstillinger kun kan gjøres på globalt tenant-nivå (for hele tenant-en).
Ulik risikovilje:	En felles tenant gjør det krevende å operere med ulike sikkerhetsnivåer eller risikoprofiler. Lav risikovilje ett sted kan hemme nødvendig fleksibilitet et annet sted (annen organisasjon).
Fare for feildeling:	Brukere kan ved feil dele informasjon for bredt (f. eks. til «alle i organisasjonen», som kan være alle i felles-tenanten eller også eksterne brukere som har blitt gitt innpass). Risikoen øker med antall brukere/organisasjoner og manglende opplæring i delingspraksis.
Håndtering av sensitiv informasjon:	M365 er ikke alltid egnet for behandling av sensitiv eller strengt konfidensiell informasjon. Slike data bør i utgangspunktet håndteres i dedikerte fagsystemer – spesielt i en multi-organisasjons-tenant.
Større konsekvenser ved dataangrep:	Én kompromittert konto eller en vellykket angrepsteknikk kan få betydelig større konsekvenser enn i separate tenanter, ved at flere enheter og store datamengder rammes samtidig.
KI (Copilot) og personvern:	Copilot (eller tilsvarende KI/AI) med tilgang på interne data krever god datakvalitet, riktig tilgangsstyring og tydelig dataklassifisering. Manglende forberedelse («Copilot Ready») øker risikoen for at KI får tilgang til mer informasjon enn ønsket.
Styringsmodell og ansvar:	En felles tenant krever klare roller, enighet om beslutningsstruktur og governance (styringsmodell). Uten dette kan konflikter, treghet og misforståelser oppstå – særlig der flere juridiske enheter skal samarbeide om ett teknisk miljø.
Konsekvens ved sikkerhetshendelser:	Et sikkerhetsbrudd kan få «konsekvensforstørrelse» ved at hele miljøet påvirkes. Separate tenanter vil kunne isolere skadeomfanget bedre.
Kompleksitet ved eierskap til data:	Når flere virksomheter benytter samme tenant, blir det mer krevende å sikre riktig eierskap, klassifisering, arkivering og sletting. Uten tydelige datasoner og metadata kan data blandes mellom enheter.
Ulikt lisensbehov:	En felles tenant innebærer delvis felles lisensstrategi. Dette kan føre til at enkeltorganisasjoner må betale for et høyere lisensnivå enn de selv ville valgt.
Lite fleksibilitet ved endringer i organisasjonsstruktur:	Oppsplitting av en tenant – f. eks. ved at en kommune trer ut av et samarbeid – er komplisert, tidkrevende og kostbart. Migrasjon av brukere og data er et omfattende prosjekt.
Ulike modenhetsnivåer:	Noen enheter vil være mer modne enn andre. En felles tenant betyr ofte at innføringstakt og utvikling må tilpasses laveste felles nivå.
Avhengighet av felles prosesser:	Endringer i globale innstillinger (f.eks. Conditional Access, Purview-regler, sikkerhetsnivåer) må koordineres og forankres i fellesskap, noe som kan føre til tregere gjennomføring av nødvendige tiltak.

 

I samarbeid med Copilot KI fikk jeg på plass en sammenlikning og oppsummerer av dette med en- eller to-tenant-oppsett i form av en illustrasjon:

 

Figuren kan gi inntrykk av at to atskilte tenanter skaper en ugjennomtrengelig mur mellom skole og kommune. Slik trenger det ikke å være i praksis, fordi det kan etableres kontrollerte åpninger for samhandling og nødvendig informasjonsflyt mellom de to installasjonene. Samtidig er det viktig å være bevisst på og kritisk til hvilke koblinger som etableres: Hver åpning reduserer graden av isolasjon og kan øke risikoen for uønsket informasjonsspredning/-deling.

Rett skal være rett: Mulighetene for samhandling og informasjonsutveksling mellom separate tenanter er i dag langt bedre enn før.

Oppsummering:

Sjekkpunkter for vurdering av felles tenant-oppsett:

• Organisatorisk og teknologisk modenhet
• Tilgang til relevant kompetanse (teknisk, juridisk og organisatorisk)
• En gjennomarbeidet sikkerhetsstrategi med tilhørende tiltak
• Utførte og dokumenterte juridiske vurderinger, inkludert personvern og databehandleransvar.

En felles Microsoft 365-tenant (for all kommunal virksomhet inkludert skole) kan være en attraktiv løsning for kommuner, særlig med tanke på forenklet drift, samhandling, høy brukervennlighet og potensielle kostnadsbesparelser. Hvis dette velges som alternativ må man vurdere informasjonssikkerhet, personvern og risiko nøye – og samtidig ta hensyn til hvor mye frihet skolene trenger (lokal autonomi).

Kommunene og skolene må ta valg som passer deres situasjon (egne behov og modenhet) – og vite hva de faktisk gjør (bevisste valg). Nødvendige sikkerhetstiltak og tekniske kontroller må være på plass, helt uavhengig av om man velger én felles tenant eller deler opp i flere tenants.

Jeg antar at mange kommuner (de fleste?) fortsatt vil foretrekke å ha en felles tenant, men da må dette følges opp med tydelige strategier og tiltak for sikkerhet, etterlevelse og effektiv forvaltning.

Valg av tenant-oppsett eller oppdeling i flere tenants påvirker – eller kan påvirke – de påfølgende ROS- og DPIA-analysene, som omtales senere i dette innlegget.

Anbefalinger til skoleeier på tenant-området

Hovedanbefaling: Egen tenant for skole

Den beste og mest anbefalte løsningen er å etablere en egen Microsoft 365-tenant for skole, atskilt fra øvrig kommunal virksomhet. Dette gir en tydelig organisatorisk og teknisk separasjon («pottetett» skille), og er den løsningen som i størst grad ivaretar krav til informasjonssikkerhet og personvern – særlig med tanke på barn og unge som en særskilt sårbar gruppe.

Fordeler med egen tenant:

• Tydeligere skille mellom skole og øvrig kommunal virksomhet
• Bedre kontroll over tilgangsstyring og databehandling
• Forenkler etterlevelse av personvernlovgivning (GDPR)
• Reduserer risiko for utilsiktet deling eller tilgang

Merk: En slik løsning bryter noe med Microsofts generelle anbefalinger om én felles tenant for hele organisasjonen, og med plattformens grunntanke om åpenhet og samhandling. Her må vi finne en balanse mellom sikkerhet og kontroll.

Alternativ løsning: Felles tenant med strenge tiltak

Dersom det ikke er praktisk mulig å etablere egen tenant for skole, kan en felles tenant vurderes. Dette krever imidlertid:

• Grundige risikovurderinger med fokus på informasjonssikkerhet og personvern
• Iverksetting av tydelige sikkerhetstiltak for å redusere risiko til et akseptabelt nivå
• Bevissthet rundt risikovillighet og hva som anses som akseptabel restrisiko

Tiltak som bør vurderes:

• Bruk av Microsofts sikkerhetsløsninger (f. eks. A5/E5-lisenser på M365 eller tilleggspakker)
• Information Barriers for å hindre uønsket kommunikasjon og deling (segmentering av brukere, begrensning av søk og deling, adressebokfiltrering og -segmentering m. m.)
• Segmentering av brukere og roller
• Begrensninger i deling og samhandling på tvers av organisasjonsenheter

Dette alternativet blir nok i praksis den mest benyttede løsningen, ut fra en totalvurdering.

Fleksibilitet og tilpasning

Andre tenant-oppsett kan også vurderes, for eksempel hybridløsninger eller delvis separasjon, forutsatt at det gjennomføres grundige kartlegginger og innføres egnede sikringstiltak.

Oppsummering

Modell	Fordeler	Ulemper
Egen tenant for skole	Høy sikkerhet, tydelig skille, bedre personvern	Mer kompleks drift, bryter med Microsofts anbefaling
Felles tenant	Enklere drift, bedre samhandling	Krever omfattende sikkerhetstiltak og risikohåndtering

Generelt: Når vi bruker Microsoft 365 i skolen, må vi tenke nøye gjennom hvordan vi beskytter elevenes personopplysninger. Vi må tenke nøye gjennom hvordan vi beskytter elevenes personvern – det holder ikke å slå på standardinnstillingene (og håpe på det beste). M365 er en kompleks og inngripende løsning, og det er urealistisk å forvente at leverandøren har ivaretatt personvernet tilstrekkelig gjennom standardinnstillinger alene. Tenant-problematikken er kun en liten brikke i det store bildet relatert til personvernet og informasjonssikkerheten til skoleelevene.

 

Generelt om informasjonssikkerhet og personvern

Når vi snakker om oppsett og drift av Microsoft 365 (M365), inkludert valg av tenant-struktur, er det viktig å forstå og ta hensyn til grunnleggende prinsipper for informasjonssikkerhet og personvern. Kommuner og skoler må ha løsninger som er trygge og følger loven – ellers går det galt. Det viktigste er å gjøre gode og systematiske risikovurderinger og å sette inn riktige sikringstiltak. Uten dette blir det vanskelig å bruke sky-tjenester på en trygg måte, og rest-risikoen blir for høy.

Det er ikke lett å kombinere høy brukervennlighet med strenge krav til sikkerhet og personvern. Balansegangen her er utfordrende.

Hva er informasjonssikkerhet?

Informasjonssikkerhet handler om å beskytte informasjon for å sikre:

• Konfidensialitet: Informasjon kun tilgjengelig for dem som har rettmessig tilgang og tjenstlig behov for den.
• Integritet: Informasjon ikke har blitt endret eller slettet av feil eller av uvedkommende.
• Tilgjengelighet: Informasjon tilgjengelig når den trengs, for dem som trenger den (tjenstlig behov).

Disse tre prinsippene kalles ofte KIT (Konfidensialitet, Integritet og Tilgjengelighet). Brudd på ett eller flere av disse utgjør et sikkerhetsbrudd.

I tillegg er det andre viktige hensyn:

• Robusthet: Evnen til å håndtere og komme seg etter hendelser som angrep eller tekniske feil.
• Etterlevelse: All behandling av informasjon må følge lover og regler, som GDPR og andre nasjonale krav.
• Økonomi: Det koster å sikre informasjon – men det kan koste enda mer å la være.

Virksomheter (inkludert skole og kommune) står overfor et komplekst trusselbilde, der både interne forhold og eksterne faktorer utgjør en betydelig risiko for informasjonssikkerheten. Eksempler på interne trusler inkluderer utro tjenere og uautorisert deling av personopplysninger med personer som ikke har tjenstlig behov for informasjonen. Eksterne trusler kan være dataangrep, opplysninger på avveie gjennom tilsiktet eller utilsiktet deling, samt sikkerhetshull i systemer.

Microsoft 365 er en løsning med stor utbredelse, og nettopp derfor er den også et attraktivt mål for aktører med uærlige hensikter. Det finnes mange kriminelle som har spesialisert seg på dataangrep rettet mot denne plattformen. Det er derfor avgjørende å ha et sterkt og helhetlig fokus på informasjonssikkerhet ved bruk av Microsoft 365. Dette innebærer både tekniske og organisatoriske tiltak, samt kontinuerlig opplæring og bevisstgjøring blant brukerne for å redusere risikoen for sikkerhetsbrudd og uautorisert tilgang.

 

Internkontroll i offentlig sektor

Offentlige virksomheter, som kommuner og fylkeskommuner, er pålagt å ha styring og kontroll med informasjonssikkerheten gjennom internkontroll, jf. eForvaltningsforskriften § 15 (lenke). Internkontrollen skal baseres på anerkjente standarder for styringssystem for informasjonssikkerhet.

Den mest brukte standarden er ISO/IEC 27001, med veilederen ISO/IEC 27002. Den beskriver hvordan man etablerer og vedlikeholder et styringssystem for informasjonssikkerhet, med 93 konkrete tiltak innen blant annet:

• Tilgangsstyring
• Tofaktorautentisering
• Logging og overvåking
• Skysikkerhet
• Beskyttelse mot skadevare

Mange kommuner bruker også NSMs grunnprinsipper for IKT-sikkerhet, og flere har tatt i bruk styringssystemet fra KiNS (Foreningen kommunal informasjonssikkerhet, lenke), som i hovedsak bygger på de samme prinsippene. Kinn kommune benytter seg av sistnevnte, dvs. KiNS sitt styringssystem (internkontroll) for informasjonssikkerhet og personvern.

 

Hva betyr GDPR for oss?

Først det åpenbare om hva er personvern (ifølge Datatilsynet, lenke):

• «Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Du har rett på en privat sfære som du selv kontrollerer, hvor du kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker.»

Som EØS-medlem er Norge forpliktet til å følge personvernforordningen (GDPR) – EUs regelverk for behandling av personopplysninger. Forkortelsen GDPR står for General Data Protection Regulation, eller på norsk: Personvernforordningen.

I Norge er GDPR innført gjennom personopplysningsloven, som stiller krav til hvordan vi samler inn, bruker, lagrer, overfører og sletter personopplysninger. Målet er å beskytte individets rettigheter og hindre misbruk av informasjon. Forordningen trådte i kraft i 2018 og gjelder fullt ut i Norge. Den er særlig viktig å forstå når vi vurderer hvordan M365 skal settes opp og brukes i kommunal og skolebasert virksomhet.

Momenter som kan regnes som personopplysninger:

 

Personopplysninger (tekstformat) som skal inngå i ordskyen: Fagforeningstilhørighet, IP-adresse, MAC-adresse, informasjonskapsler (cookies), enhets-ID, nettleser- og systeminformasjon, lokasjonsdata (GPS), tidspunkt for handlinger, religiøs oppfatning, hodeform, familiære forhold, fingeravtrykk, sivilstatus, interesser, bilnummer, kundenummer, personnummer, fødselsnummer, irismønster, filosofisk oppfatning, fødselsdato, kontaktinformasjon, høyde, alder, helseforhold, kjønn, vekt, saksopplysninger, adresse, kallenavn, systemlogger, fødested, medlemsinformasjon, innloggingsopplysninger, personlige preferanser, brukerprofiler, autentiseringsopplysninger (passord), brukernavn, biometri, telefonnummer, øyenfarge, adferdsmønstre, utdannelse, mobiltelefonnummer, arbeidssteder, politisk oppfatning, personøkonomiske forhold, passnummer, rase, navn, statsborgerskap, etnisitet, kundeforhold, bilde/foto, video/film, e-postadresse, kontaktpersoner, brukeropplysninger, religion, kontonummer, familierelasjoner, ansiktsgjenkjenning, seksuelle forhold, verge, kjøps- og betalingshistorikk, stillingsbetegnelse, arbeidsforhold, lønn / godtgjørelse, fravær / sykefravær, elev-/studentopplysninger, karakterer / vurderinger, profilering, vedtak, journalopplysninger, klient-/brukerhistorikk, tilsynsopplysninger, hjelpetiltak, barn, forsørgeransvar, pårørende, omsorgsforhold, kommunikasjon (SMS, nettsnakk/chat, meldinger), sosiale medier-profiler, interaksjonshistorikk, bruksdata, stemme, lydopptak, stemmegjenkjenning, D-nummer, DUF-nummer, bostedsadresse, postadresse, kunde-ID, bruker-ID, ansattnummer, elevnummer, studentnummer, GUID, UUID, nettleser- og enhetsopplysninger, operativsystem, skjermoppløsning, språkinnstillinger, Bluetooth-identifikatorer, WiFi-posisjonering, enhetsfingeravtrykk (device/browser fingerprinting), telemetridata, sensor-data, gyroskop, GPS, akselerometer, API-nøkler (knyttet til person), metadata, EXIF, e-poster, SMS, chat, meldinger, kommunikasjonslogger, metadata om kommunikasjon, tilgangslogger, innloggingsdata, hendelseslogger, rutinginformasjon, GPS-posisjon, geolokasjon, bevegelsesmønster, adgangskontroll, besøksregistrering, reisemønster, kredittinformasjon, låneopplysninger, kredittrating / kredittscore, transaksjonshistorikk, forsikringsinformasjon, pensjonsdata, fakturainformasjon, abonnementsopplysninger, avdeling, enhet (organisatorisk), leder, arbeidshistorikk, kompetanse, sertifiseringer, kurs, tidsregistrering, arbeidstid, lønn (egenstående), godtgjørelser (egenstående), sykemelding, varslingssaker, medarbeidersamtaler, arbeidsvurderinger, adgangskortdata, arbeidskontrakter, elevopplysninger (egenstående), studentopplysninger (egenstående), karakterer (egenstående), vurderinger (egenstående), fraværsgrunn, læringsanalyse, innleveringer, progresjon, varsler, tester, eksamensresultater, diagnoser, helsejournaler, medisinbruk, fysisk helse, psykisk helse, funksjonsnivå, IPLOS, hjelpemidler, behandlingshistorikk, sykemeldingsgrunnlag, pleiebehov, omsorgsbehov, seksuell orientering, genetiske data, biometriske data (paraplybegrep), gangeanalyse (ganglag), tastaturskrivemønster, biometriske sensordata, puls, hudrespons, husstand, klientinformasjon, saksbehandling, oppfølgingshistorikk, NAV-opplysninger, sosiale behov, straffbare forhold, forseelser, reaksjoner, sikkerhetsklarering, bakgrunnssjekker, overvåkingsdata, kameraovervåking (CCTV), alarm- og sikkerhetslogger, kundehistorikk, lojalitetsprogrammer, markedsføringsprofiler, atferdsmønstre (variant av adferdsmønstre), segmentering, kundeservice, tilfredshetsdata, klager, risikopoeng, scoringsmodeller, prediktive analyser, bruksmønstre, aktivitet, automatiserte vurderinger, interesseprofiler, fotografier, videoopptak, skjermbilder, møteopptak, skjemaer, dokumenter, besvarelser, notater, kommentarer, chatinnhold, produsert innhold (i digitale verktøy), alias, innstillinger, avtaler, kontrakter, henvendelser, reservasjoner.

Spesielt må behandlingen av særlige kategorier av personopplysninger (sensitive personopplysninger) skje med stor varsomhet. Opplysninger som inngår i denne kategorien er: helseopplysninger, fagforeningsmedlemskap, religiøst standpunkt, politisk standpunkt, rase eller etnisitet, seksuelle forhold og legning, filosofisk overbevisning, biometriske opplysninger og genetiske opplysninger.

I tillegg til behandling av særlige kategorier av personopplysninger håndteres også alminnelige personopplysninger. Dette omfatter opplysninger som navn, adresse, fødselsnummer, telefonnummer, e-postadresse, kontonummer, IP-adresse, CV-informasjon, bilder og video, familieforhold, kontaktinformasjon til pårørende, atferdsmønstre og økonomiske forhold. Kun opplysninger som er nødvendige for formålet blir samlet inn og behandlet, og behandlingen skal alltid være i tråd med gjeldende regelverk. Det tilstrebes dataminimering, slik at mengden personopplysninger som behandles holdes så lav som mulig.

For tjenester innenfor opplæring kan det også være nødvendig å behandle ulike elevopplysninger, som for eksempel klasselister, fravær, vurderinger, spesialpedagogiske behov, tilrettelegging, logger knyttet til digitale læringsplattformer og annen dokumentasjon som følger av lovpålagte oppgaver. Også her skal informasjon kun behandles når det er nødvendig, og med særlig omtanke for barns og unges personvern.

Grunnprinsipper for behandling av personopplysninger ifølge artikkel 5 i personvernforordningen (lenke), forkortet og fritt gjengitt nedenfor:

Personopplysninger skal:

• Behandles lovlig, rettferdig og åpent
• Kun brukes til klart definerte / spesifikke formål
• Begrenses til det som er nødvendig (dataminimering)
• Være korrekte og oppdaterte
• Ikke lagres lenger enn nødvendig
• Sikres mot uautorisert tilgang, ulovlig bruk og tap (konfidensialitet, integritet, tilgjengelighet)

I en kommune er (overordnet) behandlingsansvarlig kommunedirektøren.

Elever regnes som sårbare registrerte i personvernsammenheng, og mange av dem er i tillegg mindreårige. Dette innebærer at det stilles særskilte krav til hvordan deres personopplysninger behandles. I mange tilfeller er det ansvarlige voksne – som foreldre, foresatte eller ansatte i skolen – som må ivareta barnas / elevenes rettigheter etter personvernlovgivningen. Dette gjelder særlig når det kommer til samtykke, informasjon og muligheten til å utøve rettigheter som innsyn, retting og sletting av personopplysninger.

Det kan stilles spørsmål ved om innebygd personvern er tilstrekkelig ivaretatt i M365, og om standardinnstillingene faktisk reflekterer de mest personvernvennlige valgene og innstillingene. Svaret heller fort mot nei, i og med at produktet er utviklet i en annen jurisdiksjon (USA), med et regelverk og en praksis for personvern som skiller seg markant fra europeiske krav. Dataminimering er vel heller ikke akkurat Microsoft sitt sterkeste punkt

Det blir (stilltiende?) inngått databehandleravtale (DBA) mellom Microsoft og den enkelte kommune eller IKT-samarbeid. Denne avtalen legger føringer for personvernet og informasjonssikkerheten ved bruk av Microsoft 365. Samtidig er det viktig å være klar over at Norge er en liten aktør i den globale sammenhengen, og det er derfor begrensede muligheter for å få gjennomslag for større tilpasninger i avtalen for å styrke personvernet ytterligere.

Bruken av M365 og andre digitale verktøy har ført til en omfattende digitalisering og digital transformasjon, også i skolen når det kommer til utnyttelsen av IKT (lenke). Denne utviklingen skjer til tider uten en kritisk vurdering av konsekvensene for personvernet. Etter mine observasjoner ser det ut til at personvernhensyn ofte kommer i bakgrunnen, mens pedagogiske gevinster og muligheter for læring (+ teknologi-optimisme) får større oppmerksomhet.

Opplæring, kunnskapsdeling, involvering og informasjon (kommunikasjon i klart språk!) til hele organisasjonen er avgjørende for personvernområdet. Sikkerheten er aldri sterkere enn det svakeste leddet.

Microsoft 365 leveres av Microsoft, et amerikansk teknologiselskap (teknologigigant, «big tech»-selskap) med hovedbase i USA. Selv om selskapet er underlagt amerikansk lovgivning, har Microsoft forpliktet seg til å overholde EUs personvernforordning (GDPR) og tilbyr kontraktsfestede garantier for dette. Det vil uansett være en viss grad av usikkerhet knyttet til om personvernet er tilstrekkelig ivaretatt.

Microsoft oppgir at de ikke selger personopplysninger til tredjeparter. Innsamlede data brukes til å levere og forbedre tjenestene, men ikke til reklameformål i kommersielle skytjenester. F. eks. har EU-kommisjonen nylig bekreftet (juli 2025, lenke) at deres interne bruk av Microsoft 365 nå er i samsvar med europeiske personvernkrav, etter innføring av ekstra tekniske og kontraktsmessige tiltak. Muligens er det mulig å få til noe tilsvarende innenfor den norske skolesektoren.

Aktuelle sikringstiltak

Den enkelte organisasjon kan gjennom egne risikovurderinger komme fram til at risikoene ved en felles tenant-løsning er akseptable, så lenge tilgjengelige sikkerhetsinnstillinger i standardlisensene benyttes korrekt. I slike tilfeller er det ikke nødvendigvis behov for verken tilleggsløsninger eller oppgradering til dyrere Microsoft 365-lisenser.

Med riktige tiltak kan man likevel oppnå et høyt sikkerhetsnivå. Dette forutsetter at sikkerhetsinnstillingene er godt planlagt, riktig konfigurert og kontinuerlig vedlikeholdt.

Enkle sikringstiltak uten store kostnader

Ved hjelp av innebygde administrasjonsverktøy og tilpassede brukerprofiler i Microsoft 365, kan det etableres effektive sikkerhetstiltak uten vesentlige ekstrakostnader eller stor ressursbruk.

Eksempler på slike tiltak inkluderer:

• Begrensning av muligheten for at eksterne aktører kontakter elever via Teams eller e-post.
• Aktivering av adresseboksegregering, slik at brukere kun ser relevante kontakter – noe som styrker både personvern og digital sikkerhet.
• Innføring av streng tilgangskontroll og delingsrestriksjoner, for å sikre at kun autoriserte brukere får tilgang til informasjon, og at data ikke deles utilsiktet.
• I enkelte tilfeller eventuelt benytte seg av pseudonymisering.

I dagens uforutsigbare trusselbilde er det nærmest en nødvendighet for kommuner å benytte et automatisert MDR-system («Managed Detection and Response», på norsk «Administrert oppdagelse og respons»). Slike løsninger tilbyr avanserte sikkerhetstjenester for å oppdage trusler, håndtere hendelser raskt og gi faglig rådgivning. Typisk består MDR av en kombinasjon av programvare med sensorer og automatiserte prosesser, samt et eksternt team av sikkerhetseksperter som kan bistå ved behov. I tillegg er samarbeid med aktører som HelseCERT og KommuneCERT en viktig del av et helhetlig sikkerhetsarbeid.

Spesielt for ansatte i skolen, med tilgang på konfidensiell informasjon om elever, foresatte og ansatte: For å sikre god beskyttelse av brukerkontoer i Microsoft 365, bør (skal?) det benyttes tofaktorautentisering (2FA) / multifaktorautentisering (MFA). Brukeren må logge inn med to trinn – for eksempel brukernavn og passord (noe du vet) og en kode fra en app (noe du har).

Multifaktorautentisering (MFA) reduserer risikoen for uautorisert tilgang betydelig sammenlignet med bruk av kun passord. Microsoft anbefaler derfor MFA som standard for alle brukere i Microsoft 365. Dette er spesielt viktig i sektorer som håndterer sensitive data, som utdanning (der ansatte lagrer personopplysninger) og helsevesen.

Grunnleggende IKT-sikkerhetstiltak – som antivirus, brannmur, sikkerhetskopiering (backup), innlegging av sikkerhetsoppdateringer (patching) av programvare og systemer, god passordpraksis og detaljert tilgangsstyring – behandles ikke nevneverdig i dette innlegget. Det forutsettes at slike tiltak er implementert i samsvar med gjeldende krav og beste praksis. Dette inkluderer også innholdsfilter/nettfilter, spamfilter og sikkerhetsløsninger som beskytter mot digitale trusler som virus, løsepengevirus (ransomware), phishing og annen skadelig programvare.

Siden det meste i Microsoft 365 består av skybaserte tjenester, er man i stor grad avhengig av stabil nett- og internettforbindelse med høy kapasitet – gjerne med redundans for økt driftssikkerhet.

Utvidede tiltak ved høyere sikkerhetsbehov

For organisasjoner med høyere krav til sikkerhet og kontroll, kan det være aktuelt å ta i bruk mer avanserte lisenser som Microsoft 365 E5/A5. Disse gir tilgang til utvidede sikkerhetsfunksjoner (f. eks. Information Barriers) og bedre loggføring. Eventuelt kan tredjepartsløsninger med tilsvarende funksjonalitet bli benyttet.

Alternativt kan man supplere E3/A3-lisenser med tillegg som Information Barriers (IB). Information Barriers (IB) skal bidra til å hindre uønsket informasjonsflyt mellom grupper («vanntette skott»), forutsatt at funksjonen er riktig satt opp.

Selv om slike tiltak kan medføre økte lisenskostnader, kan behovet for høyere lisensnivå også være drevet av andre hensyn – som bedre logging, økt lagringskapasitet eller generell funksjonalitet. I slike tilfeller kan forbedret sikkerhet sees som en positiv bieffekt.

Digital sikkerhet (cybersikkerhet) i en urolig verden med økende geopolitisk spenning krever robuste og helhetlige løsninger – der både Microsoft 365 sine innebygde sikkerhetsfunksjoner og relevante tredjepartsløsninger bør vurderes for å beskytte data, brukere og organisasjoner mot stadig mer komplekse trusler.

Sikkerhetstiltak i Microsoft 365

Tabellen nedenfor er generert av Microsoft 365 Copilot KI (GPT-5 påslått) pr. 05.09.2025. En del av sikringstiltakene krever tilleggslisenser / abonnement på tilleggsprodukter. (Muligens finnes det også i noen tilfeller tredjeparts sikkerhetsprodukter som kan bli benyttet, men dette har jeg ikke fordypet meg i.) Opplistingen blir vel IKT-teknisk, og jeg har ikke hatt anledning til fullt ut å kvalitetssjekke innholdet da dette blir utenfor mitt primære kunnskapsområde.

Tabellen ser imidlertid slik ut:

Kategori:	Tiltak:
Identitet og tilgang (Microsoft Entra ID, tidligere Azure AD)	Multi-Factor Authentication (MFA) Conditional Access Privileged Identity Management (PIM) / Just-in-time Identity Protection (risikobaserte policyer) RBAC (minste privilegium)
Enhets- og applikasjonsstyring (Microsoft Intune)	Enhetscompliance og konfigurasjon App Protection Policies (MAM) Endpoint Security-policyer (Defender, brannmur, disk-kryptering) Windows Autopilot og Remote Help (Tillegg) Endpoint Privilege Management (EPM) Intune for Education
Lokal/Hybrid enhetsforvaltning (Microsoft Configuration Manager, tidligere SCCM – System Center Configuration Manager og senere MECM – Microsoft Endpoint Configuration Manager)	OS-utrulling og task sequences Programdistribusjon og patching BitLocker- og endpoint-beskyttelse Co-management / tenant attach med Intune
Støtte for drift og overvåking (System Center)	SCOM (overvåking) SCVMM (virtualisering/kapasitetsstyring) Relevante i datarom/hybrid-scenarier som støtteverktøy
Data- og informasjonsbeskyttelse	Sensitivitetsetiketter og kryptering Sensitivity Labels Data Loss Prevention (DLP) Kryptering (inkl. Customer Key)
Microsoft Purview	Data Classification Sensitivity Labels Data Loss Prevention (DLP) Insider Risk Management Communication Compliance eDiscovery og Audit Records Management
Kommunikasjonskontroll	Information Barriers (hindre kommunikasjon mellom definerte grupper) Safe Links og Safe Attachments Kommunikasjonsgrenser og overvåkning i Microsoft Teams
Trusselbeskyttelse	Microsoft Defender for Office 365 Microsoft Defender for Identity SIEM/SOAR (f. eks. Microsoft Sentinel)
Overvåking og varsling	Unified Audit Log Alert Policies Compliance-rapporter Microsoft Purview Audit og Logginnsyn
Administrativ sikkerhet	Reduser antall globale administratorer Separate admin-kontoer og break-glass-kontoer Prinsipp om minste privilegium Datatilgangsbegrensning og rollebasert tilgangsstyring Retningslinjer for oppbevaring og sletting

Merknad: Tredjeparts-løsninger – det vil si løsninger utviklet og levert av andre enn Microsoft – er ikke inkludert i oversikten ovenfor. Tabellen fokuserer utelukkende på sikkerhetstiltak og funksjonalitet som er tilgjengelig innenfor Microsoft 365-økosystemet. Videre er tabellen KI-generert, uten å ha blitt tilstrekkelig manuelt og menneskelig gjennomgått.

En sentral sikkerhetsløsning i Microsoft-økosystemet: Microsoft Purview er Microsoft 365 sin løsning for å identifisere, klassifisere og beskytte (sensitiv) informasjon, samt støtte etterlevelse av personvern- og regelverkskrav som GDPR. Riktig konfigurert kan verktøyet bidra til å ivareta elevenes personvern ved bruk av M365. Teknisk oppsett og konfigurasjon er utenfor omfanget av dette innlegget.

Integrasjoner mellom Microsoft 365 og andre IKT-systemer må vurderes nøye med tanke på sikkerhet. Som kjent er sikkerheten aldri sterkere enn det svakeste leddet. Følgende integrasjoner kan være aktuelle, og bør derfor inngå i sikkerhetsvurderingene:

• FEIDE – for identifisering og håndtering av brukerkontoer.
• Microsoft Entra ID (tidligere Azure AD) – for identitetshåndtering og tilgangsstyring.
• Skoleadministrative systemer/fagsystemer – for utveksling av elevdata og administrativ informasjon.
• HRM-systemer – for personaldata og tilgangsstyring.
• Andre relevante IKT-systemer og løsninger – som kan ha koblinger til M365 og påvirke sikkerhetsbildet. F. eks. interaktive skjermer / digitale tavler i klasserommet, ulike fagsystemer, pedagogiske programvare osv..

I noen tilfeller kan Microsoft School Data Sync (SDS) brukes til å hente nødvendige skoledata til M365 fra for eksempel skoleadministrative systemer. Alternativt kan data hentes via API-er (Application Programming Interfaces), som fungerer som standardiserte grensesnitt mellom systemer. Uansett metode / metodekombinasjon må personvernet og informasjonssikkerheten vurderes nøye.

 (API er en forkortelse for Application Programming Interface, og et API fungerer som en «bro» som gjør det mulig for et IKT-system å hente data eller bruke funksjoner fra et annet system gjennom et sett med standardiserte regler og protokoller.)

I fortsettelsen vil det bli presentert en teoretisk tilnærming med praktiske implikasjoner, i form av omtale av behandlingsprotokoll, ROS og DPIA:

Behandlingsprotokoll

Forut for ROS og DPIA er det nødvendig (jf. artikkel 30) og naturlig å få på plass en behandlingsprotokoll, som i en forenklet form også kan gjøres om til en offentlig personvernerklæring for behandlingen. Det nasjonale prosjektet har på sin side (foreløpig) presentert:

• KS SkoleSec: Forslag til behandlingsprotokoll for Microsoft 365 (lenke)

Denne har jeg foreløpig ikke satt meg grundig inn i. I stedet har jeg forholdt meg til den måten vi gjør det i Kinn kommune. På min arbeidsplass benytter vi oss av IKT-systemet Sikri Samsvar Personvern (lenke), som i praksis er et IKT-system bestående av en samling av maler for å forenkle arbeidet med å få laget behandlingsprotokoller og offentlige personvernerklæringer. Samsvar-systemet legger opp til noen få samlede protokoller for hele skoledriften, i stedet for å ha en for hver av de enkelte IKT-systemene/fagsystemene.

Protokollene inneholder noen konfidensielle / fortrolige data, så jeg kan ikke dele en komplett behandlingsprotokoll her. Imidlertid kan jeg i stedet dele en offisiell personvernerklæring relatert til skoledriften/skolehverdagen hentet fra Kinn kommune sin personvern-nettside, nynorsk skriftspråk (lenke):

• Kinn kommune personvernerklæring: Skulekvardagen – dagleg skuledrift (lenke)
• Flere personvernerklæringer: Personvern og personvernerklæringar – Kinn kommune (lenke)

Personvernerklæringene mangler følgende som kun er tilgjengelig i behandlingsprotkollene: Nødvendigheten av personvernkonsekvensvurdering (DPIA), systemoversikt (IKT-systemer/fagsystemer brukt i behandlingen) og eventuelt behovet for samtykke. Internt ansvarlige og spesielle interne forhold mangler også i erklæringene.

Grensegangene mellom når kommunen og Microsoft er behandlingsansvarlig vil trolig bli grundig avklart gjennom det nasjonale prosjektet. Det samme gjelder spørsmål om eventuell overføring av personopplysninger til USA. Foreløpig har jeg kun brukt kunstig intelligens (KI) til å generere innholdet i det lenkede dokumentet (lenke til dokumentet «Behandlingsansvarlig, databehandler og datalagring på europeisk jord»), og dette har ikke blitt tilstrekkelig kvalitetssikret. Likevel ser vi indikasjoner på at det finnes flere utfordringer på dette området.

Utenom å ha personvernerklæring og behandlingsprotokoll på plass er det en selvfølge å ha en oppdatert databehandleravtale. En databehandleravtale med leverandør (Microsoft) vil inneholde bestemmelser som regulerer formål og omfang av behandlingen, hvilke typer personopplysninger og registrerte som omfattes, leverandørens plikter og rettigheter, krav til informasjonssikkerhet og konfidensialitet, bruk av underdatabehandlere, håndtering av avvik og brudd på personopplysningssikkerheten, bistand til den behandlingsansvarlige ved utøvelse av registrertes rettigheter, regler for lagring, sletting og tilbakelevering av data, samt bestemmelser om revisjon, kontroll og etterlevelse av personvernregelverket (GDPR). Med Microsoft som leverandør vil avtaleverket i hovedsak være standardisert (DPA/standardvilkår). Kommunen må derfor sikre at standardavtalen, sammen med konfigurasjon og supplerende tiltak, gir tilstrekkelig etterlevelse (GDPR), inkl. kontroll på underdatabehandlere og eventuell tredjelandsoverføring.

Dette dokumentet presenterer i fortsettelsen en teoretisk tilnærming til ROS og DPIA. Det er ikke gjennomført reelle analyser, men prinsipper er beskrevet for å illustrere metodikken.

Risikovurdering (ROS) forut for DPIA – Microsoft 365 i skolen

En risikovurdering / risiko- og sårbarhetsvurdering (ROS) vurderer generelle risikoer for den IKT-tekniske sikkerheten til informasjonssystemer. En Data Protection Impact Assessment (DPIA) er en grundig vurdering spesifikt for personopplysninger, og vurderer risikoene for enkeltpersoners rettigheter og friheter (og tiltak) i henhold til GDPR.

Datatilsynet beskriver risikovurdering (lenke) slik:

• «Gjennom en risikovurdering skal virksomheten identifisere uønskede hendelser og risikoen for at disse skal inntreffe.»

I praksis innebærer dette å kartlegge mulige uønskede hendelser, vurdere sannsynligheten for at de inntreffer, og hvilke konsekvenser de kan få. Basert på dette foreslås tiltak for å redusere risikoen, og det gjøres en vurdering av restrisikoen etter at tiltakene er implementert.

Innledende risikovurderinger (forut for en DPIA) får ofte en mer IKT-teknisk vinkling enn en DPIA. Fokus rettes da gjerne spesielt mot informasjonssikkerheten (jf. KIT). Som utgangspunkt for en risikovurdering kan f. eks. malen til KiNS bli benyttet (lenke).

Risikovurderinger (ROS, Risiko- Og Sårbarhetsanalyse) må gjøres av den enkelte kommune, da dette ikke inngår i den nasjonale DPIA-en. Før det gjennomføres en fullstendig DPIA, er det viktig å identifisere og vurdere relevante risikomomenter knyttet til bruk av Microsoft 365 i skolekontekst. Nedenfor følger en oversikt over potensielle risikoer, strukturert etter tema:

1. Tilgjengelighet og tilgangsstyring

• Manglende tilgang for autoriserte brukere (glemt passord, manglende opprettelse av bruker, tekniske feil).
• Nedetid system eller utilgjengelighet grunnet driftsfeil, linje-/nettverksproblemer, leverandørfeil eller eksterne angrep.
• Brukere som beholder tilgang etter fratreden (avsluttet ansettelsesforhold eller skoleforhold) eller endret rolle (ny stilling og/eller endret tilhørighet skole).
• Uautorisert tilgang via svake passord, kompromitterte kontoer eller svak/mangelfull autentisering.
• Feil i identitets- og rettighetsstyring (f.eks. koblingen/integrasjonen mot AD/Entra ID, FEIDE) som gir feilaktige tilganger (f. eks. elever som får lærertilgang).

2. Informasjonssikkerhet og personvern

• Mangelfull opplæring som fører til feil bruk av systemet eller svekket sikkerhetsnivå.
• Feilregistrering eller uriktige data som følge av brukerfeil, integrasjonsfeil eller automatisert prosessering.
• Personopplysninger og data/informasjon som kommer på avveie som følge av sårbarheter, angrep/datainnbrudd (hacking), leverandørfeil eller interne trusler.
• Uautorisert innsyn (snoking) fra uvedkommende i personopplysninger inkludert elevmapper, logger eller delte filer. Årsaker: F. eks. feil deling/for vid deling og/eller svak tilgangskontroll.
• Utilsiktet deling av personopplysninger (inkludert eventuelle sensitive personopplysninger) gjennom samskriving, feil delingsrettigheter eller bruk av felles dokumenter.
• Deling av bilder/video av elever uten samtykke eller til feil mottakere.
• Risiko knyttet til metadata, loggdata og automatisk generert informasjon (systemnivå) som kan inneholde personopplysninger.

3. Leverandør- og databehandlerforhold

• Leverandør behandler flere data enn avtalt, eller bruker data til andre formål enn hjemlet.
• Databehandleravtale som mangler, er utdatert eller ikke dekker hele funksjonaliteten (f. eks. KI-funksjoner).
• Manglende kontroll med endringer i tjenestevilkår/vilkår, funksjonalitet eller innebygget personvern.
• Bruk av Microsoft-tjenester der Microsoft er behandlingsansvarlig (f.eks. Copilot, Bing Chat) uten nødvendig vurdering.
• Det kan være mangelfulle vurderinger knyttet opp mot bruken av underleverandører.

4. Juridiske og organisatoriske forhold

• Manglende eller feilaktig formåls- og hjemmelsvurdering for behandlingen.
• Manglende vurdering av om ressursene/tjenestene er egnet til bruk i skolen (særlig KI-funksjoner).
• Uavklarte roller mellom skole, kommune, leverandør og eventuelle underleverandører.
• Manglende eller utilstrekkelig logging og sporbarhet som vanskeliggjør kontroll og avdekking av misbruk.
• Manglende beredskapsrutiner for sikkerhetsbrudd, driftsavvik, systemsvikt og gjenoppretting.

5. Skybaserte tjenester og internasjonal dataflyt

• Risiko ved bruk av skyplattformer/skytjenester med uklare dataflyter, lagringssteder (f. eks. datalagring utenfor EU/EØS) eller uforutsigbare endringer i tjenesten.
• Overføring av data til tredjeland uten tilstrekkelig beskyttelsesnivå (f. eks. USA).
• AI/KI-funksjoner (f. eks. Copilot) som kan behandle, analysere eller generere sensitiv eller uforutsigbar informasjon.
• Eventuelt annen automatisert funksjonalitet (løsninger som foretar automatiserte beslutninger) som må vurderes spesielt.

6. Brukeratferd og kultur

• Lav bevissthet om personvern blant ansatte og elever som gir uaktsom deling og/eller feil lagring.
• Bruk av (dårlig beskyttede) private kontoer eller enheter til jobb- eller skolebruk som svekker databeskyttelsen/informasjonssikkerheten.
• Deling av brukerkontoer (f. eks. felles elev- eller ansatt-kontoer) som svekker sporbarhet og sikkerhet.
• Etablerte digitale vaner/ukultur som kan svekke etterlevelsen (f. eks. normalisering av ukritisk deling via Teams-chat eller OneDrive, uten konsekvensvurderinger).

7. Endringshåndtering og vedlikehold

• Manglende rutiner for vurdering av nye funksjoner, oppdateringer, større systemendringer eller integrasjoner, som kan introduserte nye ikke-kartlagte risikoer.
• Endringer som innføres i «produksjonen» uten testing kan føre til feil, funksjonssvikt, datatap eller nye sårbarheter.

8. Dokumentasjon og etterlevelse

• Manglende dokumentasjon av behandlingsaktiviteter, roller, tilgangsstyring og sikkerhetstiltak.
• Manglende revisjoner, kontroller, kontrollrutiner og intern oppfølging som gjør det vanskelig å avdekke avvik eller svakheter.

9. Kommunikasjon og samtykke

• Ufullstendig eller mangelfull informasjon til foresatte, elever, ansatte og/eller tjenestemottakere om behandlingens formål og omfang. Kan svekke tilliten og bryte med kravene til åpenhet.
• Samtykke ikke innhentet der det er nødvendig (påkrevd), eller brukt feil som behandlingsgrunnlag.

10. Tverrkommunal (interkommunal) eller regional bruk

• Deling av data mellom skoler eller kommuner uten klare avtaler (manglende behandlingsgrunnlag), hjemmel og risikovurdering.
• Interkommunale eller regionale fellesløsninger som krever tydelige avtaler og ansvarfordeling.
• Ulik praksis mellom skoler og samarbeidende kommuner som skaper variasjon i risikobildet og etterlevelsen.

11. KI/AI-funksjoner og Copilot (hvis aktuelt)

• Uforutsigbar eller lite transparent databehandling i KI-tjenester.
• Risiko for gjenbruk eller lekkasje av elev- og kommunedata til trening av KI-modell eller kommersiell vinning (selv om leverandør hevder det ikke skjer).
• Manglende transparens i hvordan KI genererer, vurderer eller sammenstiller data.
• Risiko ved Microsoft Graph-tilganger: KI kan hente ut data på kryss og tvers av M365 dersom tilgangsstyringen ikke er korrekt konfigurert, inkludert sensitive data og konfidensiell informasjon.

 

Spesielt aktuelt i forbindelse med Copilot/KI med tilgang på interne data: Microsoft Graph gir et kraftig tilgangslag til M365-innhold, og dersom Graph-rettigheter (særlig app-only) gis for bredt eller tilgangs- og samtykkestyringen er svak, kan apper/automatisering/KI hente og sammenstille data på tvers av Exchange, SharePoint/OneDrive og Teams – også sensitive personopplysninger og konfidensiell informasjon. Dette øker risikoen for uautorisert innsyn, utilsiktet deling og masseuthenting/eksfiltrering, og gjør at konsekvensen av én feilkonfigurasjon kan bli stor. KI bør derfor ikke gis tilgang til interne data før virksomheten er reelt «Copilot Ready«, med gjennomarbeidet tilgangsstyring, dataklassifisering, DLP (Data Loss Prevention: regler som hindrer uønsket deling eller lekkasje av sensitive data), app- og samtykkekontroll samt tilstrekkelig logging og oppfølging.

I samarbeid med M365 Copilot KI har jeg utarbeidet vedlagte fil (lenke). Dokumentet inneholder en mer konkret oversikt over risikoer, hendelser, årsaker, konsekvenser og mulige tiltak som kan inngå i ROS-analysen. Enkelte momenter relevante for DPIA er også inkludert. Listen gjør ikke krav på å være fullstendig eller endelig, men den kan fungere som et utgangspunkt og gi ideer til forhold det kan være naturlig å rette oppmerksomheten mot i det videre arbeidet.

Et dokument med en relativt detaljert liste over aktuelle risikoer og tiltak som kan inngå i en risikoanalyse har også blitt utarbeidet (lenke): «ROS/DPIA for bruk av Microsoft 365 i kommunen – offentlig versjon (bokmål)». Denne oversikten er tilpasset generell kommunal virksomhet, og er ikke direkte spisset inn mot skole.

Hva er en DPIA?

DPIA står for Data Protection Impact Assessment, eller på norsk: vurdering av personvernkonsekvenser / personvernkonsekvensvurdering. Her er et forsøk på en definisjon:

• En DPIA (vurdering av personvernkonsekvenser) er en analyse som gjennomføres for å identifisere og redusere risikoer for personvernet ved behandling av personopplysninger – særlig når det benyttes ny teknologi eller behandlingen innebærer høy risiko. Fokus rettes mot personvernet til de registrerte, i dette tilfellet spesielt mindreårige skoleelever (barn- og unge).

Regelverket for GDPR/personvern krever i en del tilfeller at slike analyser og vurderinger gjennomføres – slik som i dette tilfellet, hvor det behandles opplysninger om sårbare registrerte (barn og unge). Det nasjonale prosjektet skal til slutt resultere i en slik DPIA-vurdering. I prosjektet har de hele tiden uttrykt at man i fellesskap skal utarbeide en 80 %-løsning, som deretter må tilpasses med 20 % lokalt – til den enkelte kommune eller skole.

I forrige runde – i forbindelse med utarbeidelsen og leveransen av «Ny nasjonal personvernkonsekvensvurdering for bruk av Google Workspace for Education i skolen (lenke)» – endte man opp med et omfattende Excel-ark med en lang rekke punkter for risikoer og tiltak. Selv foretrekker jeg en tilnærming mer i tråd med malen som KiNS har presentert (lenke). Hva man ender opp med i denne runden, relatert til M365, er foreløpig uvisst for min del.

Artikkel 35 nr. 7 i personvernforordningen (lenke) angir minstekrav til innholdet i en vurdering av personvernkonsekvenser (DPIA). Blant annet skal det vurderes om behandlingen av personopplysninger er nødvendig og proporsjonal i forhold til formålet, hvilke risikoer og konsekvenser behandlingen kan ha for de registrertes rettigheter og friheter (for eksempel skoleelever), samt hvilke tiltak som kan redusere disse risikoene.

Bruken av Microsoft 365 i skolen innebærer utvilsomt flere potensielle risikoer og risikoscenarioer relatert til elevenes personvern, som må vurderes grundig i DPIA-en.

DPIA-en utgjør selvsagt hoved-leveransen fra det nasjonale prosjektet. Mye av det øvrige arbeidet består av innledende og forberedende vurderinger som må være på plass før man kan gå videre med selve sluttleveransen / den sentrale leveransen.

Noen momenter og vurderinger som jeg antar i mer eller mindre grad vil inngå i DPIA-biten:

1. Tilgangsstyring og informasjonssikkerhet

• Uautorisert tilgang til personopplysninger (uvedkommende får tilgang) om elever, ansatte og/eller tjenestemottakere, som følge av feilkonfigurerte delingstillatelser, svak autentisering eller vellykkede eksterne angrep.
• Elever, lærere og/eller kommunalt ansatte får tilgang til filer, mapper eller innhold de ikke skal ha tilgang til (f. eks. ved feil deling eller for brede rettigheter).
• Risiko for snoking i elevmapper, dokumenter (inkludert konfidensielle og/eller sensitive) eller logger (internt eller eksternt).

2. Behandlingsansvar og bruk av tjenester

• Microsoft 365 inneholder tjenester der Microsoft både er databehandler og behandlingsansvarlig, noe som skaper særlige behov for vurderinger (les: hodebry) i DPIA-en.
• Tjenester der Microsoft er behandlingsansvarlig (f.eks. Copilot, Bing Chat) tas i bruk uten tilstrekkelig vurdering eller kontroll.
• Bruk av tredjepart-sapper eller tillegg skjer uten vurdering av behandlingsgrunnlag, DPIA eller databehandleravtale.

3. Innhold og digital samhandling

• Elever / mindreårige kan få tilgang til uønsket eller skadelig innhold gjennom søk, lenker eller tredjeparts-integrasjoner/apper.
• Samskriving, samarbeid eller deling kan føre til utilsiktet deling av sensitive, unødvendige eller konfidensielle personopplysninger.
• Deling av bilder eller video av (identifiserbare) elever skjer uten samtykke eller til feil mottakere.

4. Pedagogisk og organisatorisk risikoer

• Skoleeier (kommunen) mangler vurderinger av om ressursene er pedagogisk egnet og trygge å bruke (herunder konsekvenser for personvernet og lovlighet).
• Manglende opplæring av elever og ansatte i sikker og korrekt bruk av M365.
• Det er behov for systematiske pedagogiske vurderinger som dokumenteres som del av DPIA eller egen pedagogisk konsekvensanalyse.

5. Sårbare grupper og barns rettigheter

• Behandling av opplysninger om særlig sårbare elever (f. eks. elever med spesialundervisning eller tilrettelegging) uten tilstrekkelig beskyttelse.
• Manglende vurdering av barns særskilte behov og rett til personvern og informasjon på et forståelig språk/nivå.
• Generelt: Ha hele tiden i mente at skoleelever og mindreårige barn regnes som sårbare registrerte, med ekstra behov for beskyttelse av deres personvern.)

6. Logging og overvåking

• Omfanget av teknisk logging og brukerlogging kan innebære risiko for overvåking uten rettslig grunnlag eller manglende proporsjonalitet.
• Manglende åpenhet (transparens) overfor elever, foresatte, ansatte og andre tjenestemottakere om hva som logges, hvorfor det logges og hvor lenge data lagres.
• Brukerlogging kan oppleves som overvåking og være i strid med personvernprinsippene (inkludert proporsjonaliteten) dersom elevene eller andre registrerte ikke er informert eller loggingen ikke er nødvendig..

7. Dataminimering og formålsbegrensning

• Innsamling og lagring av flere opplysninger enn nødvendig, inkludert metadata og automatisk generert informasjon.
• Risiko for at data gjenbrukes til andre formål (analyse, utvikling, tredjepartsbruk, annen tjenesteyting) uten hjemmel.
• Automatisk generert innhold (f. eks. forslag fra Copilot KI) kan inneholde sensitive data (eller konfidensielle data) hente frem informasjon som ikke skulle vært brukt.

8. Overføring av data til tredjeland

• Risiko ved at personopplysninger behandles eller overføres til land uten tilstrekkelig beskyttelsesnivå (f. eks. USA) gjennom bruk av skytjenester og KI-funksjoner.

9. Manglende kontroll, styring og endringshåndtering

• Skoleeier/kommunen har ikke tilstrekkelig kontroll over konfigurasjon, databehandleravtaler eller endringer i M365-tjenestene.
• Microsoft endrer vilkår eller funksjonalitet uten tilstrekkelig forhåndsvarsling, noe som svekker muligheten til å gjøre nye vurderinger.
• Det bør være etablerte rutiner for å overvåke endringer i vilkår og funksjonalitet som del av internkontrollen.

10. KI-funksjoner og dataminimering

• Eventuelt: Risiko for utilsiktet innsamling eller gjenbruk av data ved bruk av generativ KI (f. eks. Copilot), som vil kreve egne vurderinger før KI-en slippes løs på interne data.
• Automatisk innsamling av metadata, kontekstuell informasjon og relasjonsdata skjer uten at kommunen alltid har full innsikt eller kontroll.

11. Metadata og diagnostikk

• M365 genererer diagnostikk og metadata som kan inneholde personopplysninger, og hvor det kan være manglende transparens.
• Risiko for brudd på prinsippene om dataminimering og formålsbegrensning dersom diagnostikkdata ikke begrenses til det nødvendige.

12. Innhenting av synspunkter fra de registrerte

• GDPR art. 35(9) anbefaler at synspunkter fra de registrerte skal vurderes (innhentes) der det er hensiktsmessig.
• Risiko for manglende medvirkning fra elever, foresatte, ansatte eller tjenestemottakere, eller at informasjon ikke gis på et forståelig språk/nivå.
• Synspunkter kan innhentes via spørreundersøkelser, intervjuer eller møter.

13. Formål og behandlingsgrunnlag (rettslig grunnlag)

• Manglende klarhet om behandlingsgrunnlag (art. 6 og ev. art. 9) for ulike behandlinger i M365.
• Risiko for behandling uten gyldig grunnlag eller uten at formålene er tydelig definert.
• Særlig behov for vurdering av behandlingsgrunnlag knyttet til KI-funksjoner og diagnostikk.

14. Informasjon og transparens

• Mangelfull eller uforståelig informasjon til de registrerte om hvordan personopplysninger behandles.
• Kommunikasjon om KI, databehandling, logging og formål er ikke tilstrekkelig forståelig, i strid med kravene i GDPR art. 12.

 

Et utkast til hvordan en gjennomført DPIA sånt ca. kan se ut vedlegges (lenke): «Vurdering av personvernkonsekvenser (DPIA) – offentlig versjon (bokmål)». Dette dokumentet er rettet mot generell kommunal bruk, og det er ikke direkte spisset inn mot eller detaljert nok for skolesektoren.

Datatilsynets veiledning understreker at DPIA ikke er en engangsøvelse, men en kontinuerlig prosess som skal oppdateres ved endringer i behandlingen.

USA og skyen

Det er umulig å overse elefanten i rommet – USA og dagens politiske styring i landet – herunder utviklingen under Trump-administrasjonen i 2025. Delvis har problematikken blitt nevnt tidligere, men her kommer det et eget avsnitt.

Microsoft 365 er ikke bare et valg av digitale verktøy, men også et geopolitisk og strategisk veivalg. USA fremstår i dag som en mindre forutsigbar og ikke like selvfølgelig alliert for Norge og Europa som tidligere. Når en så dominerende plattform eies og styres – og i ytterste konsekvens kan bli gjenstand for – amerikanske interesser og amerikansk lovgivning, øker risikoen for uønsket kontroll, overvåkning og (direkte eller indirekte) sensur.

Dette handler ikke nødvendigvis om hva Microsoft selv ønsker, men om maktbalansen og hvilke reguleringsmekanismer amerikanske myndigheter kan sette i spill dersom den sikkerhetspolitiske situasjonen forverres. Amerikanske interesser er ikke nødvendigvis sammenfallende med norske og europeiske – særlig i en tid preget av økt geopolitisk spenning, proteksjonisme, sterkt fokus på egeninteresser og strategisk rivalisering.

I tillegg er markedsmakten til Microsoft og M365-økosystemet så sterk at den i praksis kan undergrave digital suverenitet – både for Norge og for Europa. Når stadig mer av arbeidshverdagen og informasjonsflyten samles hos én leverandør og én plattform, reduseres handlingsrommet og sårbarheten øker. Reelle alternativer blir færre, kostnadene ved å bytte leverandør stiger, og kontrollen over egne data og egen infrastruktur svekkes. I dagens sikkerhetspolitiske landskap må slike digitale avhengigheter behandles som samfunnssikkerhet og beredskap – ikke bare daglig IT-drift.

 

Det kan på sikt også være aktuelt å vurdere åpne (åpen kildekode) og/eller europeisk forankrede alternativer til Microsoft 365 og andre Microsoft-produkter, som del av en exit-strategi dersom rammebetingelser, risiko eller kostnadsbilde endrer seg betydelig.

Der det er hensiktsmessig kan en også vurdere Linux som klientplattform i enkelte bruksområder, i stedet for Windows. Tidligere har jeg f. eks. med litt blandede erfaringer testet ut bruken av Skolelinux, som nå heter Debian Edu. Eksempelvis kan LibreOffice benyttes som kontorpakke, og e-post/kalender kan støttes av klienter som Evolution – forutsatt egnet server-/plattformstøtte for e-post, kalender og kontakter.

For e-post, kalender, kontakter og oppgaver (groupware) kan også Open-Xchange (OX App Suite) være et relevant alternativ, enten som selvstendig plattform eller som delkomponent i en mer helhetlig samhandlingsløsning. Som samhandlingsplattform (filer/dokumenter, e-post og kalender) kan openDesk være aktuelt; løsningen er utviklet med tanke på offentlig sektor og “digital suverenitet”, og bygger på åpne standarder og en modulær tilnærming.

For skylagring og skyinfrastruktur kan en i noen scenarier vurdere europeiske leverandører (f.eks. Hetzner) for deler av behovet, forutsatt at krav til sikkerhet, drift, lokasjon, kontrakt og etterlevelse kan oppfylles. Et åpen kildekode-basert alternativ for dokument-/kontorstøtte i nettleser kan være Collabora (LibreOffice-basert), typisk som del av en større samarbeidsplattform.

I Frankrike har staten vært opptatt av å redusere avhengigheten av amerikanske leverandører, styrke digital suverenitet og ta i bruk løsninger basert på åpen kildekode. Et konkret initiativ derfra er «La Suite» – en statlig «kontorpakke» som også inkluderer Visio for videomøter. Samtidig er dette ikke en fullverdig erstatning for Microsoft 365, fordi den ikke har samme bredde og dype plattformintegrasjon, særlig innen identitet og SSO, helhetlig samhandlings- og dokumentforvaltning i stor skala, samt administrasjons-, sikkerhets- og automatiserings-/utviklingsfunksjoner.

Slike valg om å kutte ut den sterke bindingen mot amerikansk teknologi kan redusere leverandøravhengighet, styrke Norge og Europas digital suverenitet, gi potensiale for kostnadskontroll, og bidra til bedre styring og kontroll over data – men vil normalt kreve egen vurdering av funksjonalitet, integrasjoner, administrasjon, sikkerhetsmekanismer og endringskostnader. Danmark har startet pilot-/utfasingstiltak der åpne alternativer (bl.a. LibreOffice) testes i offentlig sektor som del av en digital suverenitetsretning.

Google Workspace er ikke et reelt alternativ dersom målet er å redusere tilsvarende utfordringer knyttet til amerikanske leverandører, fordi mange av de samme overførings- og jurisdiksjonsproblemstillingene (lovvalg og myndighetstilgang) kan gjøre seg gjeldende.

Å erstatte Microsoft 365 kan virke forlokkende, ikke minst for å redusere avhengigheten av amerikansk teknologi. Samtidig kan alternative løsninger gi andre – og delvis ukjente – utfordringer knyttet til informasjonssikkerhet og personvern. På flere områder beveger man seg inn i et mer uprøvd landskap, der risikoen må vurderes fra grunnen av, og der usikkerheten kan være større enn man er vant til.

Man kan inngå avtaler med Microsoft om at M365-data fra Norge skal lagres og behandles i datasentre innenfor EU/EØS (på europeisk jord). Det kan gi et inntrykk av at dataene er «trygt plassert» og under europeisk kontroll. Men fysisk plassering i Europa betyr ikke nødvendigvis europeisk kontroll eller digital suverenitet.

Når leverandøren er amerikansk, kan amerikanske lover, krav og beslutninger fortsatt få betydning – uavhengig av hvor serverne står. I praksis kan det innebære at viktige rammer for tilgang, behandling og håndtering av data i siste instans avgjøres utenfor Europa. Datasentrene kan altså stå i EU/EØS, men likevel være underlagt amerikansk eierskap, amerikansk lovverk og amerikanske etterretnings- og sikkerhetsinteresser.

Microsoft er som sagt et amerikanskeid selskap, og kan derfor i enkelte tilfeller være underlagt amerikanske myndighetskrav som kan gi tilgang til data – også når data behandles eller lagres i Europa. Noen sentrale rammer er:

• Cloud Act (2018): kan pålegge amerikansk-kontrollerte leverandører å utlevere data de har kontroll over, også når data lagres utenfor USA.
• FISA (særlig Section 702): etterretningsregelverk som kan åpne for innhenting av utenlandsetterretning via elektronisk kommunikasjon og tjenesteleverandører.
• Executive Order 12333 (EO 12333): rammeverk for amerikansk signaletterretning, særlig knyttet til innsamling utenfor USA.

Samlet betyr dette at USA-knytningen bør inngå som en sentral risikofaktor i DPIA/risikovurderingen, spesielt knyttet til tredjelandsoverføring og mulig myndighetstilgang.

Som tidligere beskrevet, foreligger det ved inngangen til år 2026 fortsatt et lovlig grunnlag for overføring av personopplysninger til USA. Samtidig er dette et område preget av betydelig rettslig og politisk usikkerhet, der både regelverk, rettspraksis og internasjonale rammebetingelser kan endre seg på relativt kort varsel.

Ved et ønske om å redusere eller avvikle avhengighet til amerikanske teknologileverandører bør det foreligge en tydelig og gjennomarbeidet exit-strategi – teknisk, avtalemessig og organisatorisk – som kan iverksettes uten uforholdsmessige konsekvenser for drift og tjenesteleveranser. I praksis kan en exit – det vil si å bryte alle bånd til amerikanske teknologigiganter – være svært krevende. Avhengighetene til Microsoft-økosystemet er betydelige, og fullgode alternativer finnes ikke alltid eller er ikke modne nok. En omlegging vil dessuten kreve mye arbeid og medføre store kostnader.

Det er ikke bare koblingen til USA og amerikanske myndigheter som får enkelte virksomheter til å vurdere å kutte eller redusere båndene til Microsoft. De betydelige prisøkningene og endringene i lisens-/abonnementsmodellene de siste årene spiller også inn – som tidligere omtalt. Særlig i kommunal sektor, der kommuneøkonomien ofte er presset, kan det være aktuelt å vurdere rimeligere alternativer.

Til slutt kommer den klassiske, men ofte undervurderte, sårbarheten ved å legge «alt i skyen» (alle egg i samme kurv). Når kritiske funksjoner og verdier konsentreres i én felles skyløsning, kan konsekvensene bli store dersom noen alvorlige hendelser rammer plattformen eller tilgangen til den. Vellykkede cyberangrep, feilkonfigurasjoner, leverandørsvikt eller lengre nettutfall kan i verste fall lamme samhandling, dokumenttilgang og daglig drift. Jo mer Microsoft 365 blir selve grunnmuren i virksomheten, desto større blir ringvirkningene når noe går galt – ikke bare en IT-feil, men en reell stans i kjernefunksjoner. Dette gjør robust beredskap, alternative arbeidsmåter og bevissthet om avhengigheter viktigere enn mange liker å tro.

Kunstig intelligens (KI) – Copilot i Microsoft 365

Dette kapitlet omhandler bruk av kunstig intelligens (KI) i Microsoft 365, med særlig vekt på Microsoft Copilot konfigurert med tilgang til interne data. Copilot er en KI-basert teknologi utviklet av Microsoft, som benytter store språkmodeller (LLM). Ofte er språkmodellene basert på OpenAI-teknologi, herunder ChatGPT-modellene (versjon 5 pr. januar 2026). Copilot integreres tett med Microsoft 365-plattformen gjennom Microsoft Graph, som fungerer som et bindeledd til organisasjonens data.

Denne integrasjonen gjør det mulig for Copilot å hente og sammenstille informasjon fra e-post, dokumenter, møter, kalender og andre datakilder som brukeren allerede har tilgang til. Copilot opererer alltid innenfor brukerens eksisterende tilgangsrettigheter og organisasjonens styringsmekanismer, som policyer, databeskyttelse og sikkerhetsinnstillinger. Copilot har ikke egen lagring av innhold eller uavhengig tilgang til data, men prosesserer forespørsler i sanntid basert på brukerens input, kontekst og rettigheter. Data behandles i samsvar med Microsofts prinsipper for sikkerhet og personvern, og lagres ikke utenfor organisasjonens Microsoft 365-tenant.

Copilot er ofte den mest aktuelle KI-løsningen for kommunal sektor, nettopp fordi den leveres av Microsoft og kan integreres direkte i eksisterende M365-løsninger. I skole og kommunal forvaltning vil dette kunne gi effektiviseringsgevinster, bedre støtte i skrive- og analysearbeid og raskere tilgang til relevant informasjon. Samtidig innebærer den tette integrasjonen at Copilot kan eksponeres for store mengder interne data, noe som stiller høye krav til styring, modenhet og informasjonssikkerhet.

I enkelte organisasjoner, inkludert skole, ser man en tendens til overdreven teknologioptimisme. Det innebærer at man i hovedsak ser de positive sidene ved KI-teknologi, samtidig som farer og utfordringer undervurderes eller overses. Resultatet kan bli at man «hopper uti» bruken uten å være klar for det – altså at virksomheten ikke er «Copilot Ready«. I kommunal forvaltning og i skolen er dette særlig krevende fordi informasjonsmengden er stor, dataene ofte er personopplysninger (inkludert opplysninger om barn/elever), og fordi feil bruk kan få betydelige konsekvenser for den enkelte.

En sentral fare ved bruk av Copilot er knyttet til for vide delinger og mangelfull tilgangsstyring. Dersom rettigheter og delinger ikke er godt kontrollert, kan elever eller ansatte få tilgang til informasjon de ikke skulle ha hatt tilgang til (ikke tjenstlig behov). Copilot forsterker i praksis eksisterende svakheter i datagrunnlaget: KI-løsningen respekterer i utgangspunktet gjeldende tilgangsrettigheter, men gjør samtidig informasjon mer tilgjengelig og synlig enn tidligere, noe som øker konsekvensene av feilkonfigurasjoner, uheldige delingspraksiser eller lav datakvalitet.

Kinn kommune har utarbeidet et eget KI-dokument (handlingsplan for bruk av KI) som inneholder relevant og fornuftig argumentasjon knyttet til ansvarlig innføring og bruk av KI i kommunal sektor, inkludert vurderinger som er særlig relevante for skole og forvaltning. Dokumentet er tilgjengelig her:

• Kinn kommune: Handlingsplan for bruk av kunstig intelligens (KI)

(Jeg tar med dette dokumentet spesifikt, i og med at jeg via min vanlige jobb var aktiv deltaker og bidragsyter i prosessen med å få det utarbeidet.)

 

Før KI-løsninger som Copilot tas i bruk med tilgang til interne data i skole og kommunal forvaltning, må minimum følgende være på plass: opplæring, modenhet, god kontroll på rettigheter, delinger og tilgangen på data, datagrunnlag med høy kvalitet, samt fornuftig satte innstillinger av KI-motoren. Uten disse forutsetningene vil risikoen for utilsiktet deling, feilinformasjon og brudd på personvern og informasjonssikkerhet være uakseptabelt høy.

Selvsagt vil innføring av KI medføre behov for justering og oppdatering av ROS og DPIA, fordi endret funksjonalitet, datatilgang og bruksområder kan endre både risikobildet og vurderingene av personvernkonsekvenser.

Tenant-problematikken er tidligere diskutert ferdig, men det er likevel viktig å understreke at det er enklere og tryggere å innføre KI innenfor oppdelte tenanter. Dette gir bedre kontroll, tydeligere avgrensninger og redusert risiko for at informasjon flyter på tvers av organisatoriske enheter som ikke skal dele data – noe som kan være særlig relevant i kommuner med både skole, barnehage og øvrig forvaltning i samme økosystem.

FRIA og EUs AI Act

Etter omtalen av KI-funksjonalitet i Microsoft 365 kan det være nyttig å løfte blikket mot det regelverket som er på vei fra EU sin side. Dette handler ikke bare om personvern i snever forstand, men om bredere risiko for grunnleggende rettigheter i offentlig sektor – særlig der KI kan inngå i beslutnings- eller styringsprosesser som berører ansatte og elever. AI Act er per dags dato ikke innført i norsk rett, men tas med her som et framoverskuende perspektiv og som støtte for helhetlig risikostyring ved videre utvikling og bruk av KI i Microsoft 365.

Microsoft 365 inkluderer i økende grad KI-funksjoner (for eksempel Copilot, en generativ KI-tjeneste) som kan generere tekst, sammenfatninger og analyser. Dette aktualiserer vurderinger opp mot EUs forordning om kunstig intelligens (AI Act), særlig der KI inngår i prosesser som kan påvirke enkeltpersoners rettigheter.

AI Act (art. 27) stiller krav om Fundamental Rights Impact Assessment (FRIA) – vurdering av konsekvenser for grunnleggende rettigheter – ved bruk av høyrisiko-KI. FRIA retter seg mot risiko for grunnleggende rettigheter (menneskerettigheter), herunder vern mot diskriminering, respekt for privatliv og personvern, ytrings- og informasjonsfrihet, samt rettssikkerhet og mulighet til å forstå og bestride beslutninger. AI Act er per dags dato ikke innført i norsk rett, og gjelder derfor ikke direkte i Norge nå, men kan bli relevant ved en senere EØS-innlemmelse.

Generell bruk av KI i Microsoft 365 (språkvask, møtesammendrag, intern tekststøtte) anses normalt ikke å utløse FRIA. Dersom KI derimot brukes i beslutnings- eller styringsprosesser som kan påvirke rettigheter og plikter, bør virksomheten gjøre en særskilt vurdering av om bruken kan nærme seg høyrisiko-området og om en FRIA-tilsvarende vurdering er hensiktsmessig. Dette kan særlig være relevant for:

• Ansatte (rekruttering, evaluering, prioritering og beslutningsstøtte med konsekvenser for arbeidsforhold).
• Elever i kommunale grunnskoler (vurderingsstøtte som påvirker elevvurdering/oppfølging, profilering/nivådeling, eller analyse av elevdata som gir anbefalinger med betydning for tiltak/tilrettelegging).

Siden slike bruksområder kan gi høyere risiko (og i skoletilfeller gjelder barn), anbefales det å etablere en mekanisme for å vurdere nye KI-bruksområder særskilt, inkludert klare formål og avgrensninger, opplæring, loggføring og menneskelig kontroll, samt vurdering av påvirkning på grunnleggende rettigheter.

Avgrensninger i det nasjonale prosjektet

Hva vil inngå og ikke inngå i leveransene fra det nasjonale prosjektet, etter den lille kjennskap jeg fikk til prosjektet:

• Avgrensinger i scope (rammer/omfang): Det har blitt foretatt avgrensninger i scope (hva som er med, og hva som ikke er med). Microsoft 365 er en omfattende pakke med applikasjoner og tjenester, og det er ikke mulig å vurdere og analysere alt. Noen avgrensninger må derfor foretas, basert på hva som fremstår som de mest relevante problemstillingene i norsk skole.
• For lite fokus på KI: Det eneste punktet jeg stiller meg noe kritisk til, er det begrensede fokuset på Microsofts KI-teknologi, spesielt Copilot i Microsoft 365. Begrunnelsen for å i stor grad utelate denne teknologien var at den har lav relevans, ettersom aldersgrensen for bruk tidligere var satt til 18 år. Imidlertid har Microsoft nå endret dette. Ifølge deres nettsider (fritt gjengitt): Tidligere var Copilot KI kun tilgjengelig for brukere over 18 år, men nå er tilgangen utvidet til også å inkludere brukere mellom 13 og 18 år – riktignok med krav om foreldreinnstillinger og visse begrensninger i funksjonalitet. Det betyr at teknologien også kan bli aktuell for elever i ungdomsskolen og videregående skole (i hvert fall privat), og bør derfor vurderes nærmere i prosjektet.
• Behandlinger: Det er utarbeidet – eller pågår arbeid med å utarbeide – kartlegging av behandlinger og forslag til behandlingsprotokoll for Microsoft 365.
• Overføring av data og personopplysninger til USA: Microsoft er en amerikansk leverandør (lenke), og det vil i noen grad skje overføring av personopplysninger fra Norge og Europa til USA. Slike overføringer skjer i henhold til Data Privacy Framework (DPF) og bygger på EUs adekvansbeslutning knyttet til personvern. I dagens usikre geopolitiske situasjon – med blant annet Trump som president (lenke) – kan dette imidlertid skape utfordringer. Mange peker derfor på behovet for å ha en klar exit-strategi fra avhengighet til amerikanske big tech-aktører. Det er allerede gjennomført noe arbeid på dette området rundt overføringsgrunnlag, og mer vil komme.
• Behandlingsansvarlig og databehandler: Grensegangen mellom når kommunen er behandlingsansvarlig og når Microsoft opptrer som databehandler – og vice versa – må tydeliggjøres.
• Ferdigstilt oktober 2025, med muligheter for (nødvendige) framtidige endringer/utvidelser: «Innhenting av de registrertes mening om behandling av personopplysninger i Microsoft 365 for Education«.
• Risikovurderinger (ROS): Ansvar for gjennomføring av risikovurderinger (ROS) er fullt og helt lagt til den enkelte kommune, og er ikke en del av det nasjonale prosjektets leveranser.
• Hoved-leveransen fra prosjektet blir DPIA-en for M365 skole.

Jeg noterer meg at det nasjonale prosjektet høsten 2025 har utvist litt ekstra interesse for Data Privacy Framework (DPF) og EUs adekvansbeslutning knyttet til personvern, i forbindelse med avholdt rettssak og avsagt dom i EU-systemet. Det viktigste å notere seg er dette her:

• Den 3. september 2025 avsa EU-domstolen en dom i Latombe-saken som bekrefter at EU-kommisjonens adekvansvurdering for USA fortsatt er gyldig, og dermed kan personopplysninger fortsatt overføres til USA under GDPR.
• Dommen gir rettslig stabilitet for transatlantiske dataoverføringer, men det er fortsatt mulig med fremtidige rettslige utfordringer.

EUs adekvansbeslutning for USA er knyttet til Data Privacy Framework (DPF), hvor EU har vurdert at ordningen – for sertifiserte virksomheter – gir et beskyttelsesnivå som i det vesentlige tilsvarer kravene i GDPR.

Merknad: DPF forutsetter at mottakeren er DPF-sertifisert (Microsoft er det). Vektleggingen av tredjelandsoverføringer og mulig myndighetstilgang bygger på føringene fra Schrems II (2020).

 

Min uttreden fra det nasjonale prosjektet

Mer om min uttreden fra det nasjonale prosjektet:

Jeg valgte å engasjere meg (mot betaling / frikjøp, inntil 20 %) innenfor KS SkoleSec-prosjektet Nasjonal DPIA for Microsoft 365 (skole). Avtale ble inngått mellom meg, KS og Kinn kommune, og jeg fikk lov til å være del av prosjektet i perioden 24.02.2025-04.08.2025.

Snipp, snapp, snute – etter ca. 5 måneder som prosjektmedarbeider var jeg ute. Min deltakelse i prosjektet var tydeligvis ikke ønskelig. Jeg har blitt «fristilt» fra prosjektet (les: «sparket»), mot min vilje. Min deltakelse ble av diffuse grunner ikke verdsatt, og tydeligvis var de ikke fornøyd med min innsats, bidrag, innsikt, kompetanse, erfaring og framdrift. Gruppas manglende samarbeidsevne kan vel kanskje også ha vært noe av begrunnelsen, og muligens var jeg ikke aktiv nok i fellessamlinger.

Slik jeg opplevde det, hadde prosjektet en ledelsesform og en prosjektleder som tidvis ble så dominerende og overdøvende at det i praksis var lite rom for reell faglig uenighet, åpne diskusjoner og faktiske innspill. I møte med prosjektlederen (Ida Thorsrud) satt jeg flere ganger igjen med inntrykk av en bastant «fasit-tilnærming», der kursen allerede var satt og innspill mest ble håndtert som forstyrrelser snarere enn som bidrag. Samtidig fremstår prosjektleder i praksis som både ansikt og navn utad, mens arbeidet og bidragene fra oss som faktisk deltok i leveransen i liten grad synliggjøres. Dette gir en opplevelse av «ære og berømmelse» til toppen, og lite til fotfolket. Dette blir forsterket av at jeg ikke kjenner til noen åpen, offisiell oversikt over deltakere, bidrag og roller.

KS sine til tider noe diffuse tilbakemeldinger, uklare forventninger, uklar bestilling (mandat) og tidvis mangelfulle veiledning gjorde det ikke akkurat enkelt å treffe mål eller blink. Min bruk av KI til idemyldring og språkvask var visstnok heller ikke helt stuerent, ifølge KS SkoleSec. Dessuten opplevde jeg løftebrudd fra KS sin side, men jeg skal la være å rippe mer opp i dette her og nå. Det er skuffende at det endte slik – for prosjektet var faktisk utrolig interessant mens det varte. Og jeg hadde så gjerne vært med videre.

Jeg bidro med omfattende tekst og refleksjoner inn i prosjektet. Selv om mye av dette sannsynligvis ikke ble videreført i den endelige versjonen, har prosessen gitt meg verdifull innsikt. Jeg har lært mye og hatt anledning til å delta i interessante møter med eksterne aktører som Datatilsynet, Microsoft og flere kommuner. I fortsettelsen blir det å følge prosjekter helt fra sidelinjen, som en ren bivåner (titter).

Først på den siste dagen i oktober 2025 ser jeg at prosjektet (via sitt åpne nyhetsbrev som jeg fortsatt abonnerer på) går ut med at de søker etter flere folk (prosjektmedarbeidere), i og med at jeg og de to andre i gruppa jeg tilhørte har blitt satt på sidelinja:

Jeg stusser litt over vinklingen i utlysningen, da det fremstår som om de denne gangen primært søker teknisk IKT-driftspersonell (relativt dyp IKT-teknisk kompetanse) innenfor M365-området. Etter mitt syn bør vurderinger knyttet til personvern gjøres av fagpersoner med nær tilknytning til tjenesteytingen i skolene og kommunene, heller enn av svært teknisk orientert IKT-personell. Det blir altså søkt etter personer eller folk som har en perifer tilknytning til den praktiske og daglige bruken av M365 i skoler og kommuner. Ellers en «fin» omskriving av sannheten, dette å bruke uttrykket «trådt ut av prosjektet».

Jeg opplever at prosjektet til tider nærmer seg en teknisk «hvordan drifte M365»-tilnærming – altså en konkret guide eller veiledning rettet mot teknologer og driftspersonell. Dette bør etter mitt syn unngås. (Teknisk IKT-driftspersonell kan man normalt forutsette tilegner seg nødvendig kunnskap gjennom andre kanaler, f. eks. leverandørdokumentasjon, kurs, fagmiljøer og kompetansenettverk.) Fokuset bør i stedet være beslutningsstøtte: konkrete risikovurderinger, anbefalinger og tiltak som skoleeiere, skoleledelse og kommunale beslutningstakere faktisk kan bruke i sin hverdag, uten å være dypt involvert i det IKT-tekniske. Samtidig bør man unngå at leveransene blir for preget av juss og juridisk fagspråk – innholdet må være forståelig og anvendbart for målgruppen.

Ja, jeg innrømmer det så gjerne! Jeg er litt bitter og føler meg litt tråkket på av prosjektet. Hint har blitt tatt, og signalene er tydelige. Fremover ser jeg derfor ingen grunn til å tilby min kompetanse og lange erfaring til kommende prosjekter i regi av KS.

I og med min uttreden av prosjektet er alt skrevet i dette innlegget mine personlige tanker og vurderinger, som ikke nødvendigvis vil samsvare med de føringer og innspill som vil komme fra det nasjonale prosjektet. Alt innhold jeg har publisert er utarbeidet som en del av mitt personlige, frivillige fritidsprosjekt, og har ingen direkte tilknytning til KS eller Kinn kommune.

På tross av kritikken min og skepsisen til enkelte sider ved den nasjonale DPIA-en til KS, synes jeg likevel dette er et godt og nødvendig arbeid de har satt i gang. Det er på høy tid at det kommer slike nasjonale prosjekter og føringer, slik at ikke alt overlates til den enkelte kommune. Hvis hver kommune skal sitte på hver sin tue og gjøre en nesten identisk analyse av de samme forholdene, blir det både unødvendig ressursbruk og et ganske meningsløst dobbeltarbeid.

Selvsagt må dette til slutt tilpasses lokalt i hver kommune, og noen steder også ned på skole- og tjenestenivå – men mye av faktagrunnlaget, risikobildet og de overordnede vurderingene er like. Mange kommuner og IKT-samarbeid har heller ikke kapasitet til å gå grundig nok til verks alene. Målet om en «80 %-versjon» (80 % i fellesskap og 20 % lokale tilpasninger) virker derfor realistisk og hensiktsmessig. Jeg har troen på at sluttproduktet kan bli bra, forutsatt at de ikke roter seg for langt inn i juridiske og teknologiske spissfindigheter.

Min egen framstilling ligger bevisst på et noe teoretisk plan, innrettet mot å gi innspill og løfte fram momenter jeg mener det kan være viktig å ta hensyn til. KS sitt arbeid peker i en litt annen retning: et mer fullstendig, nesten ferdig halvfabrikat som kommunene kan ta utgangspunkt i og tilpasse lokalt. Jeg tror det er behov og plass for begge disse tilnærmingene – særlig i et felt der det fortsatt er begrenset hvor mye offentlig tilgjengelig materiale som finnes.

Min framstilling er ikke ment å være akademisk eller vitenskapelig. Den bygger i stor grad på egne opplevelser, observasjoner og erfaringer fra mange år som kommunalt ansatt IKT-medarbeider.

Selv har jeg latt meg fascinere av de muligheter KI gir, så det føltes ganske naturlig å spørre KI til råds om hvordan min egen presentasjon som du nå leser framstår (lenke til PDF-fil): M365 Copilot KI sin vurdering av mitt innlegg. Selvsagt skal man ta KI sin vurdering med en klype salt – det er tross alt en maskinell og automatisert (matematisk) behandling, og ikke en menneskelig vurdering / fagfellevurdering.

Avsluttende kommentarer

Oppsett av en egnet tenant-struktur i Microsoft 365 for skolesektoren er komplekst – og særlig krevende fordi det innebærer behandling av personopplysninger om sårbare barn og unge. Valg av løsning bør derfor bygge på en helhetlig vurdering av tekniske, organisatoriske og juridiske forhold, der sammenhengene mellom disse tas på alvor.

 

Bruk av Microsoft 365 i kommune- og skolesektoren, inkludert løsninger med felles tenant, kan være forsvarlig. Det forutsetter imidlertid at hver kommune/skoleeier gjennomfører egne, grundige ROS- og DPIA-vurderinger og iverksetter konkrete sikringstiltak basert på lokal kontekst, risikoappetitt og akseptabelt risikonivå. «Én størrelse passer alle» fungerer sjelden i praksis.

Sikker og ansvarlig bruk handler ikke bare om teknologi. Det krever tydelige rutiner, opplæring, rolle- og ansvarsavklaringer samt involvering av relevante aktører. I tillegg må løsning og praksis forankres i GDPR (personvernforordningen) og nasjonale føringer, og følges opp gjennom systematisk kontroll og kontinuerlig forbedring.

Kort oppsummert: Microsoft 365 kan være et trygt og effektivt verktøy i skole og kommune – dersom kommunene tar aktivt eierskap til både tekniske og organisatoriske tiltak, og jobber kontinuerlig med forvaltning, informasjonssikkerhet og personvern. Målet er å redusere restrisiko til et nivå som er til å leve med, også for sårbare elevgrupper. Dette er ikke et engangstiltak, men et løpende arbeid som må involvere alle nivåer i organisasjonene.

Lenker

Mer informasjon og relevante lenker:

• KS: SkoleSec (prosjekt for å styrke arbeidet med personvern og informasjonssikkerhet knyttet til digitalt læringsmiljøer)
• KS (SkoleSec): Nasjonal DPIA for Microsoft 365 | KS starter arbeidet med å gjennomføre en nasjonal vurdering av personvernkonsekvenser (DPIA) for Microsoft 365 etter modell fra DPIAen for bruk av Google Workspace for Education i skolen.
• KS (SkoleSec): Ny nasjonal personvernkonsekvensvurdering for bruk av Google Workspace for Education i skolen
• KS: Anbefalte felles sikkerhetskrav for kommunal sektor | Trygg digitalisering er en forutsetning for at kommunene skal kunne levere tjenester til alle innbyggere, nå og i fremtiden. | Rammeverk for trygg digitalisering (RTD)
• Utdanningsdirektoratet (Udir): Personvern (GDPR) for barnehage og skole
• Microsoft Learn (Tips: Søk f. eks. etter tenant)
• Microsoft: Privacy at Microsoft | Your data is private at work, at home, and on the go
• Microsoft: Microsoft 365 Copilot (Office) – innlogging og produktoversikt
• KiNS (Foreningen kommunal informasjonssikkerhet)
• Informasjonsbeskyttelse med Microsoft Purview – informasjonsbeskyttelse.no (Roy Allan Hansen): Beskyttelse av elevopplysninger med Purview

Datatilsynet:

• Datatilsynet (Norges uavhengige tilsynsmyndighet for personvern)
• Datatilsynet: Barn, unge og skole | Personvern
• Datatilsynet: Veiledning om DPIA | Vurdering av personvernkonsekvenser (DPIA)
• Datatilsynet: Funn fra tilsyn med personvernet i skolen (2025)
• NRK Vestfold og Telemark (mai 2025): Datatilsynet slår alarm: – Utgjør en stor trussel for personvernet til barn og unge | Elever blir utsatt for målrettet reklame og er lykkelig uvitende om personopplysninger som kommer på avveier.
• Datatilsynet: Virksomhetens plikter
• Datatilsynet: NTNU, sluttrapport: Copilot med personvernbriller på
• Datatilsynet: EU-domstolen opprettholder adekvansbeslutningen for USA | EU-domstolen har i dag (3.9.2025) avvist en begjæring om å kjenne EU-kommisjonens beslutning om overføring av personopplysninger fra EØS til USA ugyldig. Det betyr at virksomheter kan fortsette å bruke adekvansbeslutningen som grunnlag for overføring til USA.
• Datatilsynet: Varsler tilsyn med alle Norges kommuner | Som en del av Totalforsvarsåret 2026, har Datatilsynet satt i gang et omfattende tilsyn med hvordan norske kommuner sikrer personopplysninger.

Standarder, maler, lovverk m. m.:

• NSM: Grunnprinsipper for IKT-sikkerhet
• Lovdata: Lov om behandling av personopplysninger (personopplysningsloven) m/forordning (EU)
• Standard Norge: Ledelsessystemer for informasjonssikkerhet – ISO/IEC 27001
• Standard Norge: Informasjonssikkerhetstiltak – NS-EN ISO/IEC 27002
• KiNS verktøykasse (DPIA-mal, styringssystem m. m.)

KI (generativ kunstig intelligens) via Copilot:

• Vestland fylkeskommune: KI-pilotprosjekt i Vestland fylkeskommune (Vurdering av personvern i Copilot for Microsoft 365)
• KiNS: Risikoer som bør vurderes i forbindelse med innføring av Microsoft Copilot
• Personvernvennlig KI: KI i Randabergskolen

Flere mer eller mindre relevante Microsoft-lenker relatert til personvern, DPIA og sikkerhet (+ tenant) i M365 innenfor skole og utdanning:

• Microsoft Education: Microsoft 365 for Education Cybersecurity Solutions
• Microsoft: Oversikt over EUs personvernforordning (GDPR) | Beskytt individuelt personvern med skytjenestene fra Microsoft
• Microsoft Learn: Administrer personvern og beskyttelse – Microsoft Priva og Microsoft Purview
• Microsoft Learn: Microsoft Purview Compliance Manager
• Microsoft: Data Protection with Microsoft Privacy Principles | Microsoft Trust Center
• Microsoft Learn: Guidance for Data Controllers using Office 365 – Microsoft GDPR
• Microsoft Learn: Data protection impact assessments – Microsoft GDPR
• Microsoft: Download Customizable DPIA document from Official Microsoft Download Center
• Microsoft Learn: Tenant setup for Microsoft 365 for education baseline – M365 Education
• Microsoft: Microsofts personvernerklæring, inkludert egne punkt for opplærings- og skoleformål (Microsoft Privacy Statement)

Diverse:

• Digi.no kommentar (Ellen Synnøve Viseth): En nasjon av Microsoft-avhengige | Skatteetaten omgår statens fellesavtale for å fortsette med Microsoft. Kostnadene ved å bytte, gjør en exit-strategi nærmest umulig.
• Barnevakten: Microsoft sporer elevene ulovlig, ifølge datatilsynet i Østerrike | En elev i Østerrike ba Microsoft om å gi henne alle data som selskapet hadde samlet inn om henne i skoleløsningen. Det er en rett hun har i GDPR-reglene, men Microsoft nektet.
• NSM: Cybersjekk | Hvor godt sikret er din virksomhet?
• OK tilnærming / prosess: Ryfylkeskulen: Overordna vurdering av personvern i digitale læremiddel
• IKT og skole
• NRK: Føler du deg verdiløs i dag? Norske elever bes om å rapportere inn følelsene sine | – Helt horribelt, mener Lektorlaget.
• Altinget debatt (Karianne Tung): Uten datasentre stopper den digitale hverdagen | Alt som lagres «i skyen», ligger i et fysisk datasenter. Skal vi ha trygge digitale tjenester, bør noe av denne infrastrukturen ligge i Norge – under norsk lov, norsk kontroll og på norske premisser, skriver digitaliseringsminister Karianne Tung (Ap).
• Sikkert

Kommunal løsrivelse fra amerikansk teknologi:

• DIGI: Norsk kommune (Larvik kommune) frir seg fra Microsoft: – Føles fantastisk | Sparer millioner på lisenser og ivrer for digital suverenitet. Nå fjerner de Office-avhengigheten i alle fagsystemer
• kode24: Flere kommuner vil frigjøre seg fra USA | – Vi merker større etterspørsel, forteller Acos, som gjør systemene sine mer uavhengige av Microsoft og Google.
• Fjordenes Tidende (NPK/NTB): Politisk press mot Microsoft i Norge: – Dei har nesten monopol | MDG og SV vil gjere norsk offentleg sektor mindre avhengig av Microsoft. Dei nemner tryggleik, demokrati og manglande kontroll over data som viktige grunnar.
• Digi.no: Digital uavhengighet: På tre timer ble danske skolelærere overbevist om å bytte til åpen kildekode | Testing som del av OS2 Skole-prosjektet.

Kinn kommune (min arbeidsgiver, hvor jeg jobber som IKT- og personvernrådgiver) – nynorsk skriftspråk:

• Kinn kommune: Personvern og personvernerklæringar
• Kinn kommune: Handlingsplan for bruk av kunstig intelligens (KI)
• Kinn kommune: Personvern generelt og essensen av GDPR (personvernforordninga), nynorsk versjon (PDF-fil)
• Kinn kommune: Generelt om informasjonssikkerheit (cybersikkerheit), nynorsk versjon (PDF-fil)
• Kinn kommune: Innleiing/introduksjon til styringssystemet for informasjonstryggleik og personvern (ISMS)

Egne (tidligere) blogg-skriverier:

• blogg.brr.no: Datamaskiner (PC) og IKT i skolen
• blogg.brr.no: Notater relatert til Microsoft 365 og Teams
• blogg.brr.no: Microsoft 365 Family (delvis i skyen)
• blogg.brr.no: Skyen («Cloud Computing», nettsky)
• blogg.brr.no: Informasjonssikkerhet og cybersikkerhet
• blogg.brr.no: Personvern, informasjonssikkerhet, internkontroll (bedrift)
• blogg.brr.no: Nettvett og digital mobbing – barn og unge
• blogg.brr.no: Digitalisering av kommunal sektor
• blogg.brr.no: Kommunikasjonsmodellen
• blogg.brr.no: Personvernerklæring for blogg.brr.no / *.brr.no
• blogg.brr.no: Tag/etikett personvern (andre skriverier her i bloggen om personvern)
• BRR sin testblogg!: Bruken av M365 i skole – og personvernet

– Tilbake til start –