Visma InSchool siirtyy AWS-alustalle: laaja tietosuojan vaikutustenarviointi on opetuksen järjestäjän velvollisuus
Usea opetuksen järjestäjä on jo tietoinen Visma InSchool -oppilastietojärjestelmän (arkikielellä Wilma, Primus ja Kurre) siirtymisestä Amazon Web Services (AWS) -pilvipalvelualustalle. Tämä siirtymä tuo mukanaan paitsi mahdollisuuksia, myös haasteita ja lisätyötä opetuksen järjestäjälle erityisesti tietosuojan näkökulmasta.
Kuten muutkin oppilastietojärjestelmät, Wilma käsittelee laajamittaisesti oppijoiden henkilötietoja, kuten nimiä, osoitteita, henkilötunnuksia, tietoa uskonnollisesta vakaumuksesta, arvosanoja sekä kirjallisia arviointeja. Uuden AWS-alustan myötä henkilötiedot tallennetaan ja käsitellään Wilman lisäksi Amazonin palvelimilla, mikä vaatii opetuksen järjestäjiltä erityistä tarkastelua.
Onko laaja tietosuojan vaikutustenarviointi (DPIA) pakollinen opetuksen järjestäjille?
Kyllä, laaja tietosuojan vaikutustenarviointi (DPIA) on opetuksen järjestäjän lakisääteinen velvollisuus. EU:n yleinen tietosuoja-asetus (GDPR) velvoittaa tekemään arvioinnin aina, kun henkilötietojen käsittely on laajamittaista tai kohdistuu heikommassa asemassa oleviin ryhmiin, kuten lapsiin. Tämä velvollisuus korostuu nyt, kun Visma InSchool siirtyy AWS-alustalle.
Mitä laaja tietosuojan vaikutustenarviointi (DPIA) sisältää?
Laaja DPIA toimii työkaluna, jonka avulla opetuksen järjestäjä voi arvioida Wilman ja AWS:n käytöstä aiheutuvia tietosuojariskejä sekä alentaa esille nousseita riskejä. Arvioinnissa on käsiteltävä ja analysoitava muun muassa seuraavat asiat:
- Käsittelyn kohteena olevat henkilötietoryhmät ja niihin liittyvät käsittelytoimet
- Käsittelyn tarkoitus ja oikeusperusta
- Henkilötietojen fyysinen ja digitaalinen lokaatio
- Henkilötietoihin mahdollisesti pääsevät tahot (kuten kolmansien maiden viranomaiset)
- Tietojen lakisääteinen säilytysaika
- Käytössä olevat tietoturvatoimet ja salausmenetelmät
- Henkilötietojen mahdolliset siirrot kolmansille osapuolille
- Tietosuojapäätösten ja viranomaisohjeiden noudattaminen
Miksi DPIA vaatii jatkuvaa päivitystä ja yhteistyötä?
DPIA ei ole kertaluonteinen projekti tai staattinen dokumentti. Tietosuojalainsäädäntö velvoittaa rekisterinpitäjää seuraamaan palveluissa tapahtuvia muutoksia ja pitämään vaikutustenarvioinnin ajan tasalla. Erityisesti tekoälyn ja uusien teknologioiden integroituessa digitaalisiin palveluihin riskit on arvioitava aina uudelleen.
Vaikutustenarviointi on monimutkainen prosessi, joka vaatii tietosuojavastaavien, lakiasiantuntijoiden sekä teknisten asiantuntijoiden tiivistä yhteistyötä. Tämän vuoksi pakollisesta selvitystyöstä muodostuu usein merkittävä kustannuserä opetuksen järjestäjälle.
Miten valmis DPIA-prosessi säästää organisaatiosi resursseja?
Edudata.io on valmistellut kattavan ja laajan tietosuojan vaikutustenarvioinnin Visma InSchool -oppilastietojärjestelmään AWS-alustalla. Hyödyntämällä valmista palveluamme säästät satoja tunteja asiantuntijatyötä ja varmistat vaatimustenmukaisuuden vaivattomasti.
Edudata.io Laaja DPIA-palvelu takaa lakien mukaisen ja turvallisen prosessin:
- Valmis, kymmenien sivujen laajuinen asiantuntijadokumentti
- Tietosuojalakiasiantuntijoiden ja IT-asiantuntijoiden yhdessä laatima
- Jatkuva tuki ja vuosittainen muutosten tarkastelu osana palvelua
- Valmis prosessi, joka huomioi organisaatiosi erityistarpeet
Tarjoamme Edudata.io laajaa DPIA-palvelua alkaen 99 €/kk per DPIA (36 kk sopimus, hinnoittelu perustuu opetuksen järjestäjän kokoon).
P.S. Olemme tehneet valmiiksi kattavat vaikutustenarvioinnit myös Google Workspace for Education- ja Microsoft 365 -ympäristöihin. Useamman DPIA-palvelun tilaajille tarjoamme määräalennuksen. Laitetaan opetuksen tietosuoja kuntoon yhdessä!
Kommentit (4)