Kunnissa ja kouluissa käytetään useita satoja erilaisia digitaalisia palveluita. Muutama palvelu on kuitenkin ylitse muiden – Google Workspace for Education, Microsoft 365/O365 sekä Visman Wilma -palvelut ovat päivittäin läsnä opetuksessa ja oppimisessa. Kun palveluita käytetään laajasti on sanomattakin selvää, että palveluihin tallennetaan runsaasti arkaluontoisia oppilastietoja, joiden suojaaminen on ensiarvoisen tärkeää. Tässä artikkelissa tarkastellaan, miksi näille palveluille on välttämätöntä tehdä laaja ja moniuloitteinen tietosuojan vaikutustenarviointi.
Miksi tietosuojan vaikutustenarviointi on tärkeää tehdä laajasti opetuksen käytössä oleviin palveluihin?
- Oppilastietojen arkaluontoisuus
Opetuksen palvelut, joissa käsitellään laajasti henkilötietoja sisältävät arkaluontoisia tietoja, kuten oppilaiden henkilötietoja, oppimistuloksia ja arviointeja, terveydentilaan liittyviä tietoja sekä tietoja mahdollisista erityisen tuen tarpeista. Nämä tiedot ovat arkaluonteisia, sillä ne luovat vahvan digitaalisen profiilin oppijasta, ja siksi näiden tietojen suojaaminen on lakisääteinen velvoite.
- Tietojenkäsittelyn laajuus
Palvelut käsittelevät oppilaiden henkilötietoja laajasti ja monipuolisesti. Tietojenkäsittelyyn liittyy riskejä, kuten tietojen luvaton käyttö, tietovuodot ja tietojen häviäminen. Tietosuojan vaikutustenarviointi auttaa tunnistamaan ja arvioimaan palveluissa ilmaantuvia mahdollisia riskejä ja antaa mahdollisuuden aloittaa tarvittavat toimenpiteet riskien pienentämiseksi.
- EU:n tietosuoja-asetus (GDPR)
Tietosuoja-asetus on luotu suojelemaan yksilön oikeuksia, ja se asettaa tiukat vaatimukset henkilötietojen käsittelylle erityisesti digitaalisissa ympäristöissä. Tietosuojan vaikutustenarviointi on tietosuoja-asetuksen edellyttämä menettely, kun henkilötietojen käsittelyyn liittyy todennäköisesti korkea riski rekisteröidyn oikeuksille ja vapauksille. Vaikutustenarvioinnin toteuttamisen lisäksi dokumentaation täytyy olla riittävän laaja. Lisäksi opetuksen järjestäjän on huolehdittava sen jatkuvasta päivittämisestä aina riskien muuttuessa.
- Suomen lainsäädäntö ja viranomaisten ohjeistukset
Suomen tietosuojalaki sekä muut kansalliset lait ja viranomaisten ohjeistukset asettavat lisävaatimuksia oppijoiden henkilötietojen käsittelylle. Tietosuojan vaikutustenarviointi on ainoa tapa varmistaa ja todeta, että palvelut noudattavat kaikkia soveltuvia lakeja, määräyksiä sekä ohjeistuksia, ja että ne kunnioittavat oppijoiden oikeuksia.
Mitä hyötyä tietosuojan vaikutustenarvioinnista on?
- Riskienhallinta: Tietosuojan vaikutustenarviointi auttaa tunnistamaan ja arvioimaan oppilastietojen käsittelyyn liittyviä riskejä. Näin voidaan toteuttaa tarvittavat toimenpiteet riskien minimoimiseksi.
- Tietosuojan parantaminen: Tietosuojan vaikutustenarviointi auttaa parantamaan digitaalisten ympäristöjen tietosuojaa. Tämä lisää luottamusta palveluiden käyttöön liittyen ja varmistaa, että oppilastietoja käsitellään asianmukaisesti.
- Lakien noudattaminen: Tietosuojan vaikutustenarviointi on työkalu, jonka avulla opetuksen jerjestäjä pystyy huolehtimaan, että palvelut noudattavat kaikkia lakeja ja määräyksiä. Tämä vähentää oikeudellisia riskejä ja mahdollisia seuraamuksia.
- Avoimuus ja läpinäkyvyys: Tietosuojan vaikutustenarviointi lisää avoimuutta ja läpinäkyvyyttä oppijoiden henkilötietojen käsittelyssä. Tämä vahvistaa luottamusta eri sidosryhmissä sekä vaikuttaa myös positiivisesti kunnan julkisuuskuvaan.
Tietosuojan vaikutustenarvioinnin toteuttaminen on opetuksen järjestäjän vastuulla
Jokaisen kunnan ja opetuksen järjestäjän tulisi toteuttaa tietosuojan vaikutustenarviointi huolellisesti ja järjestelmällisesti laajasti käytössä oleviin palveluihin kuten Google Workspace for Educationiin, Microsoft 365 / O365 sekä Wilmaan. Vaikutustenarviointi on laajasti dokumentoitu, läpinäkyvä ja jatkuva kokonaisuus, joka vaatii ennen kaikkea teknistä osaamista ja kattavaa lakien tuntemusta.
Tietosuojan vaikutustenarviointi on aina rekisterinpitäjän vastuulla toteuttaa mutta työtä ei tarvitse tehdä alusta alkaen itse. Edudata.io DPIA-palvelu on luotu vastaamaan opetuksen järjestäjien toiveisiin, ja nyt valmis dokumenttipohja ja prosessi on valmiina opetuksen järjestäjien käyttöön. Tietosuojan vaikutustenarvioinnit alkavat jälleen elokuussa Google Workspace for Educationiin, Microsoft 365/O365 ja Wilmaan, joihin jokainen opetuksen järjestäjä on tervetullut aloittaakseen vaikutustenarviointiprosessin kanssamme. Lue lisää ja ilmoittaudu tuleviin vaikutustenarviointeihin.
Tietosuojan vaikutustenarviointi pähkinänkuoressa
Laaja tietosuojaa koskeva vaikutustenarviointi on välttämätön askel oppijoiden henkilötietojen suojaamisessa Google Workspace for Education, Microsoft 365 ja Visma Wilma -palveluissa. Tietosuojan vaikutustenarviointi auttaa tunnistamaan ja arvioimaan riskit, parantamaan tietosuojaa, varmistamaan oikeudellisen vaatimustenmukaisuuden ja lisäämään avoimuutta ja läpinäkyvyyttä. Kuntien tulee panostaa tietosuojan vaikutustenarvioinnin toteuttamiseen, jotta oppilastietoja voidaan käsitellä turvallisesti ja vastuullisesti nyt ja tulevaisuudessa.