COSS järjesti 8. syyskuuta Tampereella koulutustilaisuuden EU:n yleisestä tietosuoja-asetuksesta (GDPR) yhteistyössä Gofore Oy:n kanssa. Tilaisuuteen osallistui 30 osallistujaa kunnista sekä yrityksistä. Tietosuoja-asetus tuo tullessaan uusia periaatteita ja velvollisuuksia rekisterinpitäjille. Asetus teettää kunnissa paljon töitä ja aikaa on 257 päivää.
Tilaisuudessa kuultiin Henri Tanskasen (Asianajotoimisto HH Partners) alustus asetuksen keskeisimmistä periaatteista ja rekisterinpitäjien velvollisuuksista. Erityisesti keskityttiin suostumuksen hallinnan vaatimuksiin ja kuinka ne pakottavat rekisterinpitäjät varmistamaan, että olemassa olevat käytännöt ovat asetuksen vaatimusten tasalla.
Goforen tiimi esitteli omassa puheenvuorossaan, miten he ovat lähteneet ratkomaan GDPR-savottaa käytännössä. Näkökulma ei ole vain lain kirjaimen täyttäminen vaan miten GDPR valmius otetaan huomioon asiakkaan näkökulmasta palvelumuotoilun hengessä asiakaskeskeisen kehittämisen mukaisesti.
Henriikka Hannulan (COSS ry) alustus käsitteli GDPR-haasteita oppilaitoksissa. Alustus avasi varsinaisen Pandoran laatikon: miten koulutuksen järjestäjä rekisterinpitäjänä varmistaa asiallisen tietosuojan, kun opetaattorina on EU:n ulkopuolinen yritys? Voiko opetustoimi käyttää keräämiään tietoja oppimisanalytiikkaan, onko oppimisanalytiikan hyödyntäminen opetuksen järjestäjän perustoimintaa ja siten ’sallittua toimintaa’ vai pitääkö pyytää suostumus tai tiedot uudestaan? Menettelyjä ja käytäntöjä ollaan vasta luomassa.
Tilaisuuden lopuksi koottiin Jyrki Koskisen (Avaamo konsultointi) johdolla kokemuksia siitä, missä vaiheessa organisaatiot ovat matkalla kohti GDPR-valmiutta. Osassa kuntia työ on jo pitkällä, mutta monessa ollaan vasta lähtökuopissa. Yksi haaste on saada muutos ajoissa liikkeelle. Ei riitä, että GDPR-projektin vastuuhenkilö tietohallinnosta on löytynyt. Tiedon omistajuus on toimialoilla, jotka tulee saada mobilisoitua. GDPR koskettaa jokaista organisaatiota. On enemmän kuin toivottavaa, että kaikkien ei tarvitsisi keksiä pyörää uudestaan itsekseen vaan tehdään asioita yhdessä ja vaihdetaan kokemuksia ja parhaita käytäntöjä. Ministeriöiltä odotetaan toimialan parhaita käytäntöjä ja sapluunoita.
Kartoitus kuntien GDPR-kypsyydestä. Vaiheet: 1. Tiedostettu, 2. Vastuutettu, 3. Suunniteltu, 4. GDPR-toteutuksia olemassa, 5. GDPR -valmius on kattava.
Tampereen tietosuojakoulutus oli esimerkki COSSin Kuntakumppanuus-konseptista. Kuntakumppanuuden tavoitteena on tukea kuntia toiminnan kehittämisessä kouluttamalla sekä jakamalla kokemuksia ja parhaita käytäntöjä. Kuntakumppanuus rakentaa kuntien ja yritysten ekosysteemiä, jossa verkottua ja tehdä käytännön yhteistyötä.
Lue lisää COSSin uudesta Kuntakumppanuudesta, joka on tarkoitettu kunnille ja kaupungeille, jotka haluavat vaikuttaa avoimuuteen ja osallistua verkoston toimintaan.