Oletko jo kuullut Googlen muutoksesta 3. osapuolen digitaalisten palveluiden hyväksymisessä, joka tulee tapahtumaan 23. lokakuuta? Asiantuntijamme tukevat Cloudpointin asiakkaita teknisissä toimenpiteissä sekä opetuksen tietosuojan toteutumisessa myös tässä ajankohtaisessa muutoksessa.
Tämä blogi on ensimmäinen osa kahden blogin sarjaa 3. osapuolen digitaalisten palveluiden muutoksesta, joka astuu voimaan 23. lokakuuta 2023. Blogi on tarkoitettu selkeyttämään taustatyötä, joka on hyvä laittaa kuntoon ennen kuin Google Workspace -ympäristön pääkäyttäjä huolehtii virallisen teknisen osuuden toteutuksesta.
Tietosuojan mukainen Google Workspace for Education osa 2 julkaistaan viikon kuluttua ja se tulee olemaan tekninen ohje, joka on rakennettu Googlen uusimpien ohjeistuksien ja asiantuntijoidemme näkemysten pohjalta. Blogi on tarkoitettu tukemaan Google Workspace -ympäristön pääkäyttäjiä muutoksen käytännön toteutuksessa, jonka voi tehdä lähempänä 23. lokakuuta kun kaikki tämän blogin tehtävät ovat valmiita.
Jos haluat virkistää muistiasi siitä, mitä 23. lokakuuta tapahtuva tietosuojamuutos koskien 3. osapuolen digitaalisten palveluiden luvittamista tarkoittaakaan, voit käydä tutustumassa aiheeseen aikaisemmassa blogissamme >>
Ensimmäinen vaihe: Ilmoitus oppijoille ja henkilökunnalle tulevasta muutoksesta.
Googlen tulevan asetusmuutoksen tavoitteena on oppijoiden henkilötietojen suojan parantaminen. Asetusmuutoksen myötä oppijat eivät enää pääse Google Workspace for Education -tunnuksillaan sellaisiin palveluihin, joita ei erikseen ole määritetty luvitetuksi Admin-konsolissa. Muutoksesta on hyötyä myös meillä Suomessa, jossa opetuksen järjestäjä määrittelee palvelut, joita opetuksessa käytetään.
On mahdollista, että Google Workspace for Education palvelun asetuksissa on ollut puutteita, ja tämän seurauksena opetuksen Google-tunnuksilla on saatettu tunnistautua myös sellaisiin palveluihin, joita ei ole tarkoitettu opetuskäyttöön. Tulevan muutoksen myötä tällaisiin palveluihin pääsy estyy ja siksi opetuksen järjestäjän on hyvä tiedottaa oppijoita tulevista muutoksista ja rajoituksista etukäteen.
Suosittelemme opetuksen järjestäjää laatimaan yleisen ilmoituksen tulevista tietosuojamuutoksista liittyen 3. osapuolen palveluihin sekä kertomaan tiedon siitä, mistä oppijat löytävät tiedot opetuksen käytössä olevista digitaalisista palveluista. Cloudpointin Edudata asiakkuuksissa oppijat löytävät sallitut palvelut oppijoiden omasta Privacy App -palvelusta.
Muiden kuin sallittujen palveluiden osalta, suosittelemme opetuksen järjestäjää laatimaan ohjeistuksen rekisteröidyille, jolloin he saavat mahdollisuuden siirtää tarvittavat tiedot ja pääsyoikeudet opetuksen tunnuksilta esimerkiksi henkilökohtaisille sähköpostitileille ennen opetuksen järjestäjän määräaikaa 23. lokakuuta.
Toinen vaihe: Rekisteröityjen pääsyoikeuksien määrittely opetuksen Google-tunnuksilla
Palveluiden sallimiseksi sekä rajoittamiseksi opetuksen järjestäjä voi pyytää listauksen käydyistä 3. osapuolen palveluista Google Workspace -ympäristön pääkäyttäjältä. Pääkäyttäjän saa listauksen Admin-konsolissa täältä.
Linkki avautuu Admin-konsolin “App access control” -osion “Accessed apps” -listaan. Voit muuttaa haettua palvelulistausta yläosiossa näkyviltä korteilta. Listauksen palveluista saat valitsemalla otsikkorivin yläpuolelta “Download list” .
Pääkäyttäjän toimittamassa listauksessa palvelut on ilmoitettu alustakohtaisesti (Web application, Android, iOS), sekä niiden käyttämät integraatiot (esimerkiksi Google Sign-in, Drive, Gmail). Pääkäyttäjän toimittamaan listaan voi lisätä jatkotoimenpiteet jokaisen palvelun ja alustan osalta, esimerkiksi estetäänkö vai luvitetaanko palvelu, sekä mille käyttäjäryhmälle.
Opetuksen järjestäjän on huomioitava, että jokainen palvelu, joka määritetään luotetuksi Admin-konsolissa, välittää henkilötietoja kyseiseen palveluun. Palveluja ei kuitenkaan tule asettaa luotetuksi vain teknisenä toimenpiteenä, vaan jokaisen palvelun osalta on lain mukaan (tietosuoja-asetuksen 35 artiklan täyttyessä) tehtävä tietosuojan vaikutustenarviointi (TVA) sekä hyväksyä palvelu erikseen opetuksen käyttöön.
Yllämainittu TVA-prosessi voi viedä paljon aikaa. Vastuullisen viranhaltijan (henkilörekisterin ylläpitäjän) tehtävänä on tehdä viranhaltijapäätös myös tilapäisestä palvelujen sallimisesta, mikäli prosessia ei saada valmiiksi 23. lokakuuta määräaikaan mennessä. Suosittelemme päätökseen sisällytettävän velvollisuus tietosuojan vaikutustenarvioinnin tekemiseen sekä sen määräaikaisuudesta esimerkiksi vuoden loppuun.
Kolmas vaihe: Pääsyoikeusmuutosten teknisen toteutuksen ajoittaminen
Kun 3. osapuolen palvelut on käyty läpi, TVA-prosessi on laitettu kuntoon ja palveluiden pääsyoikeudet on tarkastettu, opetuksen järjestäjä voi toimittaa listauksen pääsyoikeusmuutoksista Google Workspace -ympäristön pääkäyttäjälle viimeistä vaihetta varten. Google Workspace for Education pääkäyttäjä toteuttaa pääsyoikeusmuutokset opetuksen järjestäjän laatiman listauksen mukaisesti 23. lokakuuta.
Meidän vinkkimme! Pääkäyttäjä voi laatia pääsyoikeusmuutoksista CSV-tiedoston etukäteen, joka voidaan ajaa Admin-konsolissa 23. lokakuuta käytännön muutosten helpottamiseksi ja keskittämiseksi.
Haluamme olla tukemassa myös pääkäyttäjiä pääsyoikeusmuutosten käytännön toteutuksessa. Julkaisemme viikon kuluttua maanantaina 16. lokakuuta blogisarjan toisen osan, jossa avaamme Googlen tulevaa ohjeistusta palveluiden pääsyoikeuksien vahvistamisesta sekä asiantuntijoidemme näkemykset aiheesta. Google Workspace for Education -ympäristön pääkäyttäjä voi ladata tarkan asiantuntijoidemme laatiman ohjeistuksen muutosten sujuvoittamiseksi.
Lopuksi: Opetuksen tietosuojasta ja henkilötietojen poistopyynnöistä
Kolmannen osapuolen palveluiden rajoitusten puuttuessa on opetuksen tunnuksilla mahdollisesti kirjauduttu sellaisiin palveluihin, jotka eivät sovellu opetukseen. Opetuksen järjestäjän olisi hyvä varmistua siitä, ettei oppijoiden henkilötietoja jää tällaisiin palveluihin.
Suosittelemme opetuksen järjestäjää tekemään tietojenpoistopyynnöt kaikkiin sellaisiin palveluihin, jotka eivät ole hyväksyttyjä kasvatuksen ja sivistyksen toimialan käyttöön. Tähän lukeutuvat myös sellaiset palvelut, joihin on päätynyt oppijoiden henkilötietoja, mutta joiden käyttöä saatetaan jatkaa esimerkiksi henkilökunnan tunnuksilla. Lisäksi on hyvä huomioida, että alaikäisten henkilötietojen käsittelyssä sovelletaan erityistä suojaa. Poistopyynnöt on mahdollista laatia vasta 3. osapuolen palveluiden pääsyoikeusmuutosten jälkeen.
Suosittelemme asiakkaitamme laatimaan oppijoille suunnatun yleisen TVT-käyttöehtosopimuksen, jossa mainitaan opetuksen identiteettiä voitavan käyttää vain kasvatuksen ja koulutuksen toimialan erikseen hyväksymiin palveluihin. Edellämainitun lisäksi tämä tulee huolehtia viestinnällä myös olemassaoleville oppijoille, joiden oppimisuhde on jo alkanut.
Meille Cloudpointille asiakkaidemme onnistuminen sekä tietosuoja-asiat ovat sydämen asia. Tukipalvelumme auttaa palvelumuutosten teknisessä toteutuksessa, ja Edudata-tietosuojapalvelun avulla opetuksen järjestäjä varmistaa tietosuojan sekä läpinäkyvyyden toteutumisen henkilötietojen käsittelyssä.
Jäikö sinulla kysymyksiä Googlen tietosuojaa koskevaan muutokseen tai opetuksen tietosuojaan liittyen? Olethan rohkeasti yhteydessä tukipalveluumme osoitteessa tuki@cloudpoint.fi. Lisätietoja Edudata-tietosuojapalvelusta saat osoitteesta edudata.io tai tällä lomakkeelle.
Lue lisää tulevassa blogissamme ensi viikolla!
Heräsikö ajatus? Kirjoita kommentti!