Visma InSchool (Wilma, Primus & Kurre) siirtyy AWS-alustalle: laaja tietosuojan vaikutustenarviointi on opetuksen järjestäjän velvollisuus
Usea opetuksen järjestäjä on jo tietoinen Visma InSchool -oppilastietojärjestelmän, arkikielellä Wilma, Primus ja Kurre, siirtymisestä Amazon Web Services (AWS) -pilvipalvelualustalle. Tämä on herättänyt keskustelua opetusalalla sillä siirtymä tuo mukanaan ei ainoastaan mahdollisuuksia vaan lisäksi haasteita ja lisätyötä opetuksen järjestäjälle erityisesti tietosuojan näkökulmasta.
Kuten muutkin vastaavat oppilastietojärjestelmät Wilma käsittelee laajamittaisesti oppijoiden henkilötietoja kuten nimiä, osoitteita, henkilötunnuksia, tietoa uskonnollisesta vakaumuksesta, arvosanoja sekä kirjoitettuja arviointeja, joiden pohjalta oppijasta muodostuu digitaalinen jalanjälki palveluun. Uuden AWS-alustan tullessa mukaan osaksi Wilman kokonaisuutta henkilötiedot tallennetaan ja käsitellään Wilman lisäksi Amazonin palvelimilla, joka myös vaatii erityistä tarkastelua.
Nämä aiheet herättävät luonnollisesti kysymyksiä tietosuojan tasosta ja oppijoiden yksityisyyden suojasta. Eikä syyttä, sillä muun muassa näiden syiden vuoksi Visma InSchool palvelun käytön jatkaminen vaatii laajaa riskien ja vaikutusten arviointia tietosuojan näkökulmasta.
Opetuksen järjestäjän velvollisuus
Tietosuoja on oleellinen osa turvallista ja laadukasta opetusta ja opetuksen järjestäjällä on velvollisuus taata turvallinen sekä tietosuojattu opetusympäristö.
Tämä velvollisuus perustuu sekä opetuslakiin, että EU:n yleiseen tietosuoja-asetukseen (GDPR). GDPR:n mukaan opetuksen järjestäjän on tehtävä laaja tietosuojan vaikutustenarviointi (DPIA) aina, kun henkilötietojen käsittely on laajaa tai koskee heikossa asemassa olevia henkilöitä, kuten lapsia.
On siis sanomattakin selvää, että opetuksen järjestäjien on tärkeää ottaa tietosuoja vakavasti ja ryhtyä tarvittaviin toimenpiteisiin oppijoiden yksityisyyden suojaamiseksi. Laaja tietosuojan vaikutustenarviointi (DPIA) on keskeinen työkalu yksityisyyden suojaamisen varmistamiseksi ja sen avulla selvitetään oppilastietojärjestelmien, kuten Visma InSchoolin, Google Workspace for Educationin ja Microsoft 365:n tietosuojan tilanne.
Laaja tietosuojan vaikutustenarviointi (DPIA)
Laaja DPIA toimii työkaluna, jonka avulla opetuksen järjestäjä voi arvioida Wilman ja AWS:n käytöstä aiheutuvia tietosuojariskejä ja vaikutuksia henkilötietojen turvaamisen näkökulmista ja alentaa esille nousseita riskejä. DPIA:ssa tulee käsitellä, arvioida ja analysoida mm. seuraavia asioita:
- Käsittelyn kohteena olevat henkilötietoryhmät ja niihin liittyvät käsittelytoimet
- Käsittelyn tarkoitus ja oikeusperusta
- Henkilötietojen lokaatio
- Henkilötietoihin mahdollisesti pääsevät tahot (kuten Yhdysvaltojen viranomainen)
- Tietojen säilytysaika
- Tietoturvatoimet
- Henkilötietojen siirtäminen kolmansille osapuolille
- Tietosuojapäätösten ja ohjeiden noudattaminen.
DPIA:n avulla opetuksen järjestäjä voi varmistaa, että Wilman ja AWS:n käyttö on GDPR:n mukaista, riskit ovat tiedossa, risken tason alentamisen toimenpiteet on huomioitu ja että oppijoiden yksityisyys on suojattu.
Jatkuva päivittäminen ja yhteistyö eri tahojen välillä
On tärkeää muistaa, että DPIA ei ole staattinen dokumentti ja kertaluontoinen projekti. Tietosuojalainsäädäntö velvoittaa rekisterinpitäjää seuraamaan palvelussa tapahtuvia muutoksia sekä pitämään vaikutustenarvioinnin ja sen toimenpiteet ajantasaisena.
Teknologia kehittyy ja muuttuu nopeatempoisesti erityisesti kun tekoäly tulee voimakkaasti osaksi miltei kaikkia digitaalisia palveluja. Digitaalisten palveluiden muuttuessa myös tietosuojaan liittyvät riskit ja vaikutukset on arvioitava aina uudelleen, jotta oppijoiden henkilötiedot ja yksityisyys pysyvät jatkuvasti turvassa. Esimerkiksi DPIA:ta on ajankohtaista päivittää, jos henkilötietojen käsittely palvelussa tai palvelua käyttävässä organisaatiossa muuttuu tai jos palvelussa käytettävään digitaaliseen alustaan kuten Amazon Web Serviceen tulee muutoksia.
Laaja tietosuojan vaikutustenarviointi on aikaa vievä prosessi, joka työllistää tietosuojavastaavia, tietosuojaan erikoistuneita lakiasiantuntijoita sekä teknisiä asiantuntijoita. Näin ollen lain mukaan pakolliselle laajalle tietosuojan vaikutustenarvioinnille tulee yllättävän suuri hintalappu opetuksen järjestäjälle.
Entä jos laaja tietosuojan vaikutustenarviointi olisi valmis prosessi?
Edudata.io on tehnyt laajan tietosuojan vaikutustenarvioinnin valmiiksi Visma InSchool (Wilma) -oppilastietojärjestelmään päivitetyllä Amazon Web Services -alustalla. Nyt opetuksen järjestäjällä on mahdollisuus säästää satoja tunteja työaikaa ja resursseja tässä tehtävässä hyödyntäen Edudata.io Laajaa DPIA-palvelua.
Edudata.io Laaja DPIA-palvelu takaa sinulle varman prosessin ja dokumentoinnin lakien mukaisesti!
- Valmis useiden kymmenien sivujen pituinen dokumenttipohja
- Tietosuojalakiasiantuntijoiden valmistelema
- IT-ominaisuudet tarkistettu
- Asiantuntijat apunasi
- Valmis prosessi käyttöösi
- Vuosittainen muutosten tarkastelu
Jotta laaja DPIA olisi opetuksen järjestäjälle mahdollisimman helppoa ja jokaiselle mahdollista toteuttaa Edudata.io laaja DPIA-palvelu huolehtii, että muutokset on huomioitu sinun organisaatiossasi. Tarjoamme Edudata.io laajaa DPIA-palvelua alkaen 99 €/kk/DPIA/36kk palvelusopimus (hinta perustuu opetuksen järjestäjän koon mukaan).
Haluaisitko keskustella lisää Visma InSchool laajasta tietosuojan vaikutustenarvioinnista? Varaa kanssamme keskusteluaika klikkaamalla tästä!
Ps. Olemme tehneet valmiiksi Wilman lisäksi myös Google Workspace for Education ja Microsoft M365/O365 laajat vaikutusten arvioinnit. Useamman DPIA-palvelun tilaaja saa palveluista määräalennusta. Laitetaan opetuksen tietosuoja kuntoon yhdessä!
Heräsikö ajatus? Kirjoita kommentti!