COSS järjesti 17. marraskuuta Turussa koulutustilaisuuden EU:n yleisestä tietosuoja-asetuksesta (GDPR) yhteistyössä Mediamaisteri Oy:n kanssa. Tilaisuuteen osallistui yli 30 osallistujaa kahdestatoista varsinais-suomalaisesta kunnasta. Tilaisuuden teemana oli tietosuoja oppilaitoksissa sekä kunnissa. Tilaisuudessa nousi esiin monia haasteita, joita taklata, mutta myös konkreettisia yhteistyömuotoja haasteiden taklaamiseksi.
Tilaisuudessa kuultiin Henri Tanskasen (Asianajotoimisto HH Partners) alustus asetuksen keskeisimmistä periaatteista ja rekisterinpitäjien velvollisuuksista. Erityisesti keskityttiin henkilötietojen eri käsittelyperusteisiin, suostumuksen oikeaan käyttöalaan sekä siihen, kuinka varmistua, että olemassa olevat käytännöt ovat asetuksen vaatimusten tasalla.
Henriikka Hannulan (COSS ry) alustus käsitteli GDPR-haasteita oppilaitoksissa. Myös analytiikan käyttö osana opetustointa herätti keskustelua. Osa opetustoimen tehtävistä on lakisääteistä. Henkilötietoja, jotka tarvitaan lakisääteistä opetustoimintaa varten voidaan kerätä ja hyödyntää ilman erillistä suostumusta. Ennakkopäätöksiä ja mallisuorituksia puuttuu ja opetustoimeen onkin toivottavasti tulossa linjauksia epäselvyyksien poistamiseksi ja tulkintojen selventämiseksi.
Toimitusjohtaja Mikko Toriseva kuvasi miten koulutuksen tietotekniikkapalveluja toimittava Mediamaisteri hoitaa tietoturvan ja -suojan osana laatujärjestelmäänsä. Mediamaisteri ylläpitää tietoturvan hallintaa kuvaavaa tietoturvakuvausta ja palvelusta kertovaa SaaS-palvelukuvausta, joiden avulla asiakkaat pysyvät perillä tietoturvan toimintakäytänteistä toimittajan puolella. Vastauksena GDPR:n uusiin vaatimuksiin Mediamaisteri valmistelee tietotilinpäätöstä uudeksi tietoturvaa ohjaavaksi työvälineeksi. Vaikka kunta ulkoistaa rekisterin teknisen käsittelyn toimittajalle, se on edelleen vastuussa tietosuojasta. Niinpä kunnan on syytä olla tietoinen toimittajiensa tietosuojakyvyistä ja -käytännöistä.
Mikko Toriseva kuvasi osallistujille miten Mediamaisteri hoitaa tietoturvan ja -suojan osana laatujärjestelmäänsä.
Tilaisuuden lopuksi koottiin Jyrki Koskisen (Avaamo konsultointi) johdolla kokemuksia siitä, missä vaiheessa organisaatiot ovat matkalla kohti GDPR-valmiutta. Jokaisessa kunnassa, jotka olivat tilaisuudessa mukana työ oli jo käynnistetty, useimmissa kunnissa tehtävä oli myös vastuutettu. Ei riitä, että GDPR-projektin vastuuhenkilö (tyypillisesti) tietohallinnosta on löytynyt. Tiedon omistajuus on toimialoilla, jotka tulee saada mobilisoitua. GDPR koskettaa jokaista organisaatiota. Tietosuojahaasteet ovat monitasoiset: on rekistereitä, joista ei edes tiedosteta, että ne ovat henkilörekistereitä. Käytetään luovasti sosiaalisen median työkaluja Facebookeja ja Instagrammeja, jotka ovat uineet huomaamatta osaksi koulun tietojärjestelmäkokonaisuutta ilman, että kunnan tietohallinnolla on mitään näkyvyyttä asiaan. ‘Opetustoimessa on 900 tällaista somepalvelua’, jotka tulee ottaa haltuun. Yksi vilkasta keskustelua herättänyt alue oli pedagoginen data-analytiikka osana opetuksen ja oppilashuollon kehittämistä. Aiheesta ollaan valmistelemassa hanke-ehdotusta, ole kuulolla!
Tilaisuudessa selvitettiin osallistujien kypsyyttä ja valmiutta ensi vuonna voimaanastuvan GDPR:n toteuttamiseen. Tehtävää vielä riittää kunnissa ja oppilaitoksissa.
Turun tietosuojakoulutus oli esimerkki COSSin Kuntakumppanuus-konseptista. Kuntakumppanuuden tavoitteena on tukea kuntia toiminnan kehittämisessä kouluttamalla sekä jakamalla kokemuksia ja parhaita käytäntöjä. Kuntakumppanuus rakentaa kuntien ja yritysten ekosysteemiä, jossa verkottua ja tehdä käytännön yhteistyötä.
Facebookista löydät Kuntakumppanit-ryhmän, johon kaikki ovat vapaasti tervetulleita liittymään ja jatkamaan keskustelua mm. tietosuojakysymyksistä sekä kokemuksista.