Lokakuussa 2023 Google Workspace for Education ympäristössä tulee tapahtumaan merkittävä tietosuojaa koskeva muutos kolmannen osapuolen palveluiden hallintaan liittyen. Tuleva muutos koskee jokaista opetuksen järjestäjää ja on syytä ottaa huomioon ennen lokakuun määräaikaa. Tämän artikkelin luettuasi tiedät mitä, missä ja milloin on tapahtumassa.
Google on globaali digitaalisen identiteetin ja turvallisen oppimisympäristön tarjoaja. Useat digitaaliset palvelut tarjoavat mahdollisuutta tunnistautua palveluun Google identiteetin avulla, mikä on tunnistettavissa Sign in with Google -valinnasta. Tämän lisäksi Googlen palvelut tarjoavat useita integraatioita kolmannen osapuolen palveluihin, joista esimerkkinä voimme nostaa Android-käyttäjien mahdollisuuden Whatsapp-keskustelunsa varmuuskopiointiin Google Driven avulla.
Myös Google Workspacen Google-tilejä voidaan käyttää edellä mainituin tavoin kolmannen osapuolen palveluissa. Pääkäyttäjällä on kuitenkin mahdollisuus rajoittaa pääsyä niihin kolmannen osapuolen aplikaatioihin ja sivustoille, jotka saavat pääsyoikeuden käyttäjän tilidataan ja näin henkilötietoihin. Rajoittaminen tapahtuu määrittelemällä yksittäisten palveluiden pääsyoikeuksia, sekä yleisasetuksella, joka koskee jokaista määrittelemätöntä kolmannen osapuolen palvelua.
Vuoteen 2023 saakka pääkäyttäjä on voinut asettaa määrittelemättömien kolmannen osapuolen palveluiden pääsyoikeudet kaikille käyttäjille kahdella tavalla:
- Salli käyttäjän päästä kolmannen osapuolen sovelluksiin
- Älä salli käyttäjien päästä kolmannen osapuolen sovelluksiin
Alaikäisten henkilötiedot turvaan
Google pyrkii jatkuvasti parantamaan käyttäjiensä tietoturvaa. Maaliskuussa 2023 Google päätti mahdollistaa kolmannen osapuolen palveluiden luvittamisen Workspace-tunnuksille käyttäjäryhmän mukaan, esimerkiksi eri tavalla oppijoille ja henkilökunnalle.
Tulevana syksynä kolmannen osapuolen palveluiden luvituksiin astuu voimaan myös uudet ikäkohtaiset asetukset kaikissa Workspace for Education -tilauksissa. Tämä vaatii ympäristön pääkäyttäjältä toimenpiteitä johtuen heikommassa asemassa olevien, tässä tilanteessa alaikäisten, henkilötietojen käsittelystä.
Jatkossa alle 18-vuotiaat käyttäjät menettävät pääsyn määrittelemättömiin kolmannen osapuolen palveluihin, jotka pyytävät muita tilitietoja kuin Sign in with Google -toiminnon vaatimia käyttäjätunnusta, nimeä ja profiilikuvaa. Tämä tarkoittaa, että muita tilitietoja ja henkilötietoja vaativat kolmannen osapuolen palvelut tulee erikseen luvittaa Google-hallinnassa. Kuitenkin oletusasetus on jatkossa alle 18-vuotiaiden osalta määrittelemättömien kolmannen osapuolen palveluiden estäminen.
Yli 18-vuotiaiden osalta asetus kaikkien määrittelemättömien kolmannen osapuolen palveluiden sallimiseksi ei katoa, mutta pääkäyttäjä saa uuden asetusvaihtoehdon, jolla rajata pääsyoikeudet samoin kuin alle 18-vuotiaille käyttäjille vain Sign in with Google -toimintoon.
Tiedosta tulevat riskit ja toimi ennakoiden
Muutoksen myötä alle 18-vuotiaiksi merkittyjen käyttäjien pääsy määrittelemättömiin kolmannen osapuolen palveluihin estyy välittömästi. Tämän välttämiseksi Google vaatii ympäristön pääkäyttäjiltä toimenpiteitä käytössä olevien palveluiden vahvistamiseksi. Vahvistamalla käytettävien palveluiden yksilölliset pääsyoikeudet ennen lokakuuta 2023, vältetään kyseisten palveluiden estäminen käyttäjiltä ja työskentely voi jatkua normaalisti.
Palveluiden estymisen lisäksi muutoksessa piilee toinen merkittävä riski: mikäli kolmannen osapuolen palvelua ei ole luvitettu lokakuuhun 2023 mennessä, palvelu estetään ja sen käyttötiedot ja henkilötiedot katoavat Googlen hallinnasta. Tämän jälkeen pääkäyttäjällä ei ole enää mahdollisuutta selvittää, missä palveluissa käyttäjien henkilötietoja sijaitsee. Opetuksen järjestäjän juridisten velvoitteiden toteuttamiseksi pääkäyttäjän tulee ottaa listaus niistä kolmannen osapuolen palveluista, minne käyttäjien henkilötietoja on päätynyt ennen 23. lokakuuta 2023.
Google-hallinnassa puhutaan alle 18-vuotiaista, mutta on syytä muistaa, että oppivelvollisuuslainsäädännön alainen oppija (esimerkiksi 20-vuotias lukio-opiskelija) ei voi itsenäisesti hyväksyä palveluiden käyttöehtosopimuksia täysi-ikäisyydestään huolimatta vaan se on opetuksen järjestäjän vastuulla. Opetuksen järjestäjän ja palvelun tarjoajan välillä tulee aina olla voimassa oleva DPA-sopimus mikäli palvelu käsittelee oppijan henkilötietoja tavalla tai toisella. Toisin sanoen uudet asetukset täytyy pääsääntöisesti olla voimassa ja estot aktivoitu oletuksena myös yli 18-vuotiaille.
Miten vältäÄ riskit?
Jotta pääkäyttäjä voi vahvistaa Google-hallinnassa pääsyoikeudet opetuksessa käytettäville kolmannen osapuolen palveluille, tulee opetuksen järjestäjällä olla listaus hyväksytyistä palveluista ennen kuin tiedot poistuvat. Kuitenkaan pelkkä listaus käytetyistä palveluista ei riitä, vaan jokaisen opetuksessa käytettävän palvelun osalta on lain mukaan tehtävä tietosuojan vaikutustenarviointi (TVA), EU GDPR lain mukaisesti ja tarkistaa sekä allekirjoittaa henkilötietojen käsittelysopimus (DPA) palvelun toimittajan kanssa. Tietosuojan vaikutustenarvioinnin jälkeen voit hyväksyä palvelut opetuksen käyttöön mikäli palvelun riskipisteet ovat hyväksytyissä rajoissa.
Tietosuojan vaikutustenarviointi on aikaa ja resursseja vievä pakollinen toimenpide jokaiselle opetuksen järjestäjälle. Me Cloudpointilla huolehdimme jo yli 70 Suomen kaupungin ja kunnan tietosuojasta ja siitä, että oppijoiden perusoikeudet henkilötietojen käsittelyssä on huomioitu.
Me autamme mielellämme myös sinua ja säästämme sinulta 800 tuntia työaikaa jo ainoastaan tietosuojan vaikutustenarvioinneissa sekä tuemme sinua kaikissa muissa osa-alueissa, joita tietosuojan hallinnoiminen vaatii. Varaa aika kanssamme ja huolehditaan tietosuojasta yhdessä!
Heräsikö ajatus? Kirjoita kommentti!