24. toukokuuta 2018

Kunnan kasvatus- ja koulutustoiminnan minimitehtävät EU tietosuoja-asetuksen täyttämiseksi

Tässä lyhyt lista toimenpiteistä, joita kaupungin/kunnan kasvatuksen ja koulutuksen toimimalojen tulee mielestäni tehdä ennen tietosuoja-asetuksen astumista voimaan 25.5.2018. Tämä on aika pitkä postaus, mutta toivon että luet tämän ajatuksella läpi - sillä asiat ovat mielestäni tärkeitä.

1. Huolehtia G Suite ja O365 -palveluiden sopimusasioista.
  • G Suiten osalta: Hyväksyä hallintapaneelissa mallisopimuslausekkeet ja tietojenkäsittelysopimuksen (DPA) lisäehdot. Huom! Googlen DPA:sta on tullut uusi versio, joka täytyy käydä hyväksymässä erikseen. Lisää lisäksi tietosuojavastaavan yhteystiedot palveluun. 
  • O365 osalta uudet GDPR mukaiset sopimukset on hyväksytty
2. Laatia opetuksen tietosuojaseloste. 

3. Kolmannen osapuolen sovellusten käyttäminen.
  • Edellisestä voidaan päätellä se, että kunnan tulee kaikissa tapauksissa ylläpitää luetteloa kunnassa käytössä olevista opetuksessa suositelluista sovelluksista, ja opastaa opettajat käyttämään ainoastaan luettelon mukaisia sovelluksia opetustyössä.
  • Kokemukseni mukaan opetustoimella on kuntakohtaisesti käytössä satoja eri kolmannen osapuolten sovelluksia. Valitettavasti suurin osa nyt käytössä olevista sovelluksista ei täytä EU tietosuoja-asetuksen ja perusopetuslain vaatimuksia.
  • Olemme kartoittaneet eniten käytetyt sovellukset suurimpien kaupunkien (Espoo, Helsinki, Vantaa) toimeksiannosta, ja julkaisseet luettelon opetukseen käyttöön soveltuvista palveluista ja sovelluksista: https://docs.google.com/spreadsheets/d/1fpWsB7KaPvcPnBBZKiLMn6VWQh1unJwLmy_0xszh_L4/edit?usp=sharing
  • Sovellukset, jotka eivät ole tässä luettelossa vihreällä värillä eivät noudata tietosuoja-asetusta, tai palveluiden tarjoajat eivät ole vielä huolehtineet tarvittavasta asianmukaisesta dokumentaatiosta. Mainonta on käsitelty omassa sarakkeessaan. Otamme mielellämme vastaan ehdotuksista uusista sovelluksista listalle lisättäväksi.
  • Mielestäni tämä lista soveltuu päätöksen pohjaksi opetuksessa käytettävistä sovelluksista. Lista ei varmasti ole täydellinen, ja toimittajien ilmoitukset elävät jatkuvasti. Listan on muodostettu näiden perusteiden mukaisesti: https://docs.google.com/document/d/1jI_9q8oe-_hZPL8FTbMAiVO49-G1oLNbLLA98FUxh4o/edit?usp=sharing
  • Pelkkä kunnan päätös ei riitä, vaan opettajille ja oppilaille asiasta tulee tiedottaa, ja ohjata heidät käyttämään turvallisia sovelluksia. Käytännössä kaupungin/kunnan on lakia noudattaakseen kiellettävä hyväksymättömät sovellukset.
  • Huomaattehan, että GDPR edellyttää, että kaupungilla/kunnalla on oltava erillinen tai sähköisesti organisaation hyväksymä käyttö ja tietojenkäsittelysopimus (DPA) jokaisen listalla mainittavan sovellustoimittajan kanssa. Ilman sopimusta sovellus ei ole vaatimusten mukainen.

Järjestämme tästä asiasta keskustelutilaisuuden, jota voi seurata myös live striiminä, tai katsoa nauhoituksena jälkikäteen. Olet tervetullut paikalle Googlen toimistolle Helsinkiin perjantaina 1.6. kello 10:00. Paikalle mahtuu n. 25 henkeä, ja striimin kautta hieman enemmän. Ilmoittaudu mukaan https://docs.google.com/forms/d/e/1FAIpQLSeDV41ysWvWY9i7Xh0ITdo82pGizdGpqqCmqQU2hwSdaiMuDg/viewform

APUA! Tarkoittaako tämä nyt sitä että kaikkien palveluiden käyttö on lopetettava heti?
Ei tarkoita. Mielestäni asiat ovat jo hyvällä mallilla, kunhan olette tehneet suunnitelman asioiden kuntoon laittamisesta, ja pyritte noudattamaan sitä heti uuden lukuvuoden alkaessa elokuussa. Tällöin olette mielestäni tehneet jo parhaanne asioiden edistämiseksi.

Lauri Kaski 
Cloudpoint - onnistumisvarmuutta sinne missä sitä eniten kaivataan