Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Tietosuoja etäopetuksessa

Puheenvuoro Keski-Suomen tutoropettajaverkoston eTutore 2021 -tapahtumassa, 11.2.2021, Harto Pönkä, Innowise

  • Be the first to comment

  • Be the first to like this

Tietosuoja etäopetuksessa

  1. 1. Tietosuoja etäopetuksessa 11.2.2021 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  2. 2. “ En tiedä täysin, miten pitäis toimia tietyissä asioissa, kun ei oo annettu ohjeita ja kukaan ei tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan, joilla nyt silleen on se vastuu jakaa tätä tietoo. Must tuntuu, et kaikki on vähä ottanu tän huumorilla tai vitsillä tai et ei oteta niin tosissaan, milloin rikotaankin mitä oikeutta tai niin. 2 Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma, https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf Onko henkilöstön tietosuojaosaaminen riittävää?
  3. 3. Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä 3 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste tai vastaava ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  4. 4. Esimerkki informointivelvollisuuden toteutumattomuudesta: Wilma  Wilman Tietosuojaseloste-linkki on harhaanjohtava: se johtaa Visman selosteelle, ei opetuksesta vastaavan rekisterinpitäjän (esim. kunnan) sivulle kuten pitäisi.  Moniko käyttäjä osaa etsiä Wilmaa koskevan henkilötietojen käsittelyn informoinnin muualta? 4
  5. 5. Tietoturva vaarantuu etätöissä 5 Lähde: Tessian, kevät 2020, https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa) ”Kyberturvayhtiö Tessianin tutkimuksen mukaan 48 prosenttia kotona työskentelevistä kertoo syystä tai toisesta kiertävänsä yrityksen tietoturvan käytäntöjä.” Syitä: ▪ Etätyössä käytetään eri laitteita kuin työpaikalla (50 %) ▪ Etätyössä ei koeta olevan IT-osaston valvonnassa (48 %) ▪ Työhön tulee häiriöitä mm. perheenjäsenten vuoksi (47 %) ▪ Työhön liittyvä aikataulupaine (39 %)
  6. 6. Tietosuoja viestinnässä 6 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä.  Ohjeet, miten varmistaa viestien aitous?
  7. 7. Tietosuoja etäyhteyssovelluksissa 7  Käytä vain oppilaitoksen sallimia sovelluksia.  Toimita kutsu henkilökohtaisesti opiskelijoille.  Informoi osallistujia henkilötietojen käsittelystä.  Varmista tarvittaessa osallistujien henkilöllisyys.  Varmista esittäjien osaaminen etukäteen.  Ota huomioon, keitä on paikalla.  Älä kerro tai esitä opiskelijoiden tai muiden henkilötietoja ilman suostumusta.  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat.  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.  Lopuksi: päätä kokous, tyhjennä tai sulje huone.  Suojaa tallenne ja huolehdi sen tietosuojasta.
  8. 8. Oppijoiden henkilötiedot verkkopalveluissa 8 Huom. taulukko on esimerkinomainen, tarkista aina opetuksen järjestäjän tekemät linjaukset! Opetuksen järjestäjän hallinnoimat asiointikanavat (esim. Wilma) Opetuksen järjestäjän hallinnoimat viestintä- ja oppimisalustat (esim. 0365, Teams, G Suite, Moodle) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot eivät näy julkisesti (esim. Quizlet) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot näkyvät julkisesti (esim. Padlet) Opetuksen järjestäjän hallinnoimat käyttäjätunnukset Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Opettajien luomat tunnukset esim. nimimerkki tai etunimi Opettajan luomat anonyymit tunnukset tai ei tunnuksia Saavatko oppijat rekisteröityä palveluun itse koulussa? Ok Ok Ok, alle 13-vuotiaat tarvitsevat huoltajan suostumuksen Ok, alle 13-vuotiaat tarvitsevat huoltajan suostumuksen Käyttö opetuksen aktivointiin, materiaalien jakoon ym. Ok Ok Ok Ok Oppijoiden tekemät tehtävien palautukset ja esim. kuvat Ok Ok Ok Ei ilman suostumusta Tavall. henkilötietojen tallennus (esim. spostiosoite tai puh.nro) Ok Ok Ei ilman suostumusta Ei Koetulokset ja arvosanat Ok Ok Ei ilman suostumusta Ei Sanalliset arvioinnit, soveltuvuustestit ym. Ok Ei Ei Ei Muut salassa pidettävät tiedot (esim. terveys ja erityinen tuki) Ok Ei Ei Ei
  9. 9. Oppijoiden henkilötietojen luovuttaminen ja julkaisu 9  Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti säädetty.  Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).  Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.  Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.  Suostumus on käytännössä esimerkiksi:  Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan.  Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa  Julkaisuluvat esimerkiksi kuviin ja videoihin  Muilla tavoin kysytyt ja saadut suostumukset
  10. 10. Kysymys: kuvat, videot ja etätilanteiden tallenteet 10  Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.  Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.  Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus.  Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.  Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.  Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.  Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
  11. 11. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 11  Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.  Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.  Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.  Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.  Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.  Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä oppijoiden henkilötietojen käsittelyssä. • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  12. 12. WhatsApp opetuksessa • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.  Tunnus on aina sen rekisteröineen henkilön, ei organisaation.  Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • Teknisesti turvallinen: vahva päästä päähän -salaus. • OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.  Tarkista linjaus ja ohjeet ennen kuin käytät! • Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.  Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.  WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Organisaatiossa huomioitavaa: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • WhatsAppin käyttöön on suositeltavaa olla työpuhelin • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen- median-palveluiden-ja-digitaalisten-pelien-kaytto-
  13. 13. Milloin ja mihin etäopetuksessa tarvitaan suostumus? ▪ Kun julkaistaan henkilötietoja tai oppijoiden tuotoksia. ⬞  Suostumus henkilötietojen tai tuotosten julkaisulle. ▪ Kun oppijoiden henkilötietoja tallennetaan sovellukseen tai verkkopalveluun, joka ei ole opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä). ⬞  Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa. ▪ Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle. ⬞  Suostumus henkilötietojen siirrolle ko. palveluun ja maahan. ▪ Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen, jotka eivät ole välttämättömiä opetuksen kannalta. ⬞  Suostumus henkilötietojen käytön perusteena ko. palveluille. ▪ Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä. ⬞  Suostumus automaattiselle päätöksenteolle. 13
  14. 14. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi 14  Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.  GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).  Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä ja pyritään löytämään ratkaisuja niihin.  Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.  Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.  Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).  Monet kunnat käyttävät Microsoft Teams -sovellusta mm. varhaiskasvatus-, kehitys- ja arviointikeskusteluihin sekä terveydenhuollossa potilaiden etävastaanottoon. Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi • Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta? • Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?
  15. 15. Kyllä kai suostumukseksi riittää, että ilmoitin Wilmassa WhatsAppin käytöstä opetuksessa. Annoin tehtäväksi asentaa Sport Trackerin ja jakaa kävelylenkit sitä kautta muille. Lähetän musiikin tehtävät TikTokissa ja oppilaat kuittaavat ne kommentilla.  Julkaisen perjantaisin YouTube- videon, johon kokoan oppilaiden tuotoksia ja annan palautetta. Tein jokaisen opiskelijan nimellä Padlet-taulun, johon he käyvät merkitsemässä suorituksensa. Tehtävänä on siivota olohuone ja lähettää siitä ennen ja jälkeen kuvat Classroomiin. Mikäli oppijalla ei ole tietokonetta, hän voi tulla koululle lähiopetukseen. Ei näin.
  16. 16. 3+1 pointtia 1. Tarkista, onko etäopetuksen tietosuojasta tehty linjauksia tai ohjeita. 2. Varmista, että etäopetukseen on käytettävissä turvalliset verkkoyhteydet, välineet ja sovellukset. 3. Huomioi verkko- ja etäopetuksen tietosuoja henkilöstön osaamisen kehittämisessä. 4. Pitäisikö tietosuojataitoja opettaa myös oppijoille? 16
  17. 17. 17 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

×