Tietosuojan vaikutustenarviointi - voiko se olla hyödyllistä

DPIA, DPA, sopimus, lupa, saanko, voinko vai lopetanko kaiken ATK:n. Tavallisen opettajan tai työntekijän ei tulisi joutua miettimään tällaisia asioita. Myö Eduksilla pyritään tekemään töitä siten, että Lappeenrannan opetushenkilöstöllä on selvät ja selkeät prosessit sekä ohjeet koulutyöhön. Miten sie voit edistää hommaa teidän kunnassa tai omassa tehtävässä?

Työntekijän näkökulmasta on ensiarvoisen tärkeää, että on olemassa selkeä ohje mitä saan tehdä. Sitoutumista lisää huomattavasti, jos henkilöstö saa itse vaikuttaa ohjeistukseen ja saa oikeankokoista, näköistä ja makuista koulutusta aiheesta useaan kertaan. Tämäkään ei vielä riitä, vaan henkilöstöllä tulee olla asiantuntija, jolta voi oikeasti kysyä neuvoja ja ehdottaa uusia palveluita.

Asiantuntija on monesti tietosuojavastaava. Pienemmässä kunnassa monesti vieläpä täyden työpanoksen johonkin muuhun kunnan lakisääteiseen tehtävään antava henkilö. Miten virkamies, joka ei koulussa ole kuin käynyt viime vuosituhannella voi auttaa koulun arkea? Yhtä hyvin kuin opettaja auttaa kaupunkisuunnittelua kaavoituksessa - omasta näkökulmastaan. Tästä syystä meidän mallimme, jossa Eduksilla toimii kaupungin tietosuojavastaavan apuna opetustoimen tietosuoja-asiantuntija.

Tuollainen kentän tunteva ja varsinainen substanssiosaaja on avainasemassa, kun tehdään tietosuojan vaikutustenarviointeja. Hänellä on ymmärryssä kentän käytännöistä ja tarpeista. Asiantuntija on perehtynyt alan erityislainsäädäntöön. Parasta on, jos koulupuolen asiantuntija saa edes hieman tietosuojakoulutusta oman työn oheen. Tuollainen asiantuntija voi olla rehtori tai tavallinen opettaja.

Työntekijä ehdottaa uutta palvelua asiantuntijalle. Asiantuntija on mahdollisesti saanut jo useamman kerran saman kysymyksen ja tietää jo ulkoa, ettei www.tosihelppoopettaa.com:in käyttö ole mahdollista oppilaiden kanssa ilman maksettua lisenssiä. Koulussa käydään keskustelua ja päätetään hankkia lisenssit. mikäli palvelun käyttö on turvallista.

Asiantuntija saa selvityspyynnön koululta ennen hankintapäätöstä. Hän perustuu tietovirtoihin, käyttäjien tunnistautumiseen, järjestelmässä käsiteltäviin tietoihin kirjautumistapoihin ja henkilötietojen säilytysaikoihin sekä henkilötietojen automaattiseen poistoon. Kotimaisille palveluntarjoajille isot pisteet - kaikilla, joiden kanssa Eduks on asioinut on keskusteleva ja ratkaisuja löytävä asenne.

Tämän jälkeen asiantuntija voi tehdä DPA-sopimuksen, jos vastuullinen viranhaltija on tehnyt tästä päätöksen. Vaikutustenarviointi tehdään tässä vaiheessa. Apuvälineitä on monenlaisia ja sisältöjen lähestymistapa on hyvin erilainen jokaisessa. Olemme Eduksilla testanneet useampaa. Kuitenkin tärkeintä vaikutustenarvioinneissa on, että loppukäyttäjä, joka on perehtynyt paveluun keskustelee tietosuoja-asiantuntijan ja mahdollisesti tietohallinnon kanssa yhtä aikaa samoista asioista.

Kun yhdistetään useamman alan asiantuntijuus ja kirjataan kaikkien näkemykset - voidaan arvioida riskien laatu sekä korjaavat toimenpiteet tarpeeksi monipuolisesti. Tämän jälkeen pienennetään riskiä vaikkapa käyttäjien koulutuksella, ohjeistuksella, rajoituksilla, anonymisoinnilla tai automaattisella kirjautumisella. 

Viimeisenä, mutta ei vähäisimpänä esitellään vaikutustenarviointi sen hyväksyvälle viranhaltijalle, joka tekee viranhaltijapäätöksen vaikutustenarvioinnin hyväksynnästä. Kirsikkana kakussa olisi, jos sovitaan samalla, milloin vaikutustenarviointi päivitetään ja tarkastellaan uudelleen. Meillä Lappeenrannassa Eduks tarkastaa jokaisen arvioinnin kerran vuodessa - ainakin jos käyttöehdot ovat muuttuneet ja mahdollisten laintulkinnan muutosten osalta.

Tietosuojan vaikutustenarviointi ei siis ole kyllä-ei-ehkä -vastaus tai täytetty lappu, vaan prosessi. Tässä prosessissa ymmärretään, mitä ollaan sähköisessä ympäristössä tekemässä henkilötietojen käsittelyn näkökulmasta ja miten omia toimintoja voidaan parantaa. Jokaisen opetuksen järjestäjän olisi hyvä selkeyttää oma prosessinsa sekä sitouttaa henkilöstö tähän arjen tietosuojatyöhön.