Tolkun polku digiturvaan - 10 askelta hallinnolle

Tausta

Hanke lähenee loppuaan ja päätimme koota opit mahdollisimman selkeään ja tiiviiseen muotoon. Kaupungin tai organisaation hallinnolle teimme parempaan digiturvaan johtavat 10 askelta - Tolkun polku! Ajatuksena on tarjota niin tiiviit ja selkeät ohjeet, että niiden noudattaminen on mahdollista - jopa helppoa. Halinnon osalta kerroimme opettajien versiota kattavammin mitä toimia parempi digiturva edellyttää - ja avasimme kuinka asia on käytännössä hoidettuu meillää Lappeenrannassa. Tolkun polku hallintoon, olkaa hyvä!

1. Ohjeista viisaasti - Anna ohjeet, joita työntekijä pystyy noudattamaan

Anna selkeitä ja ymmärrettäviä ohjeita, joita työntekijä voi helposti noudattaa ilman, että työskentely vaikeutuu tarpeettomasti. Kaiken kieltäminen on helppoa, mutta tehotonta - hyvän ohjeistuksen antaminen vaatii molemminpuolista työtä ja ymmärrystä.

Esimerkki Lappeenrannasta: GDPR:n myötä opettajilta ja oppilailta jouduttiin estämään YouTuben käyttö kirjautuneena. Oppilaat käyttävät opiskeluun Chromebookkeja, joissa koneelle kirjautuminen tarkoittaa myös selaimeen kirjautumista. Tästä seurasi, että YouTuben käyttö olisi estynyt kokonaan. Ohjeistuksessa neuvoimme, että YouTubea voi käyttää incognito-tilassa, jolloin mainostajalle ei välity käyttäjän tietoja, eli ongelmallista kohdennettua mainontaa ei tapahdu. Käyttö muuttui hankalammaksi, mutta vaihtoehtona oli täysi kielto, mikä olisi johtanut kiellon kiertämiseen kyseenalaisin keinoin ja suurempiin tietoturvariskeihin.

2. Seuraa - Selvitä työntekijöiden tietosuoja osaamista säännöllisesti

Tietosuojalainsäädäntö ja -ohjeistukset muuttuvat koko ajan - työntekijälle mukana pysyminen omien työtehtävien ohella on äärimmäisen haastavaa. Seuraa työntekijöiden tietosuojaosaamista jatkuvasti ja johda tiedolla. 

LPR: Tietosuojaosaamista on Lappeenrannassa seurattu monipuolisesti: yhteistyössä Servitiumin kanssa toteutettiin tietosuojakysely, johon vastasi yli puolet kaupungin opettajista, Eduks on the Road -kiertueella keskustellaan kaikkien kaupungin opettajien kanssa tietosuoja-asioista vapaamuotoisissa kohtaamisissa, SELFIE-kyselyllä kartoitetaan asioita kahden vuoden välein ja vuorovuosin järjestettävissä palvelumuotoilukeskusteluissa käydään läpi koulujen tilanne.

3. Kouluta, kouluta, koulta! - Kouluta työntekijää ja anna työntekijän kouluttaa organisaatiota

Koulutuksen tulee kohdentua työtehtävään. Yleistasoinen koulutus on tehotonta ja kouluttaminen tuntematta koulutettavan työnkuvaa ajan haaskausta. Koulutus vaatii toistoja: kun itseä jo oksettaa, niin ensimmäinen saattaa olla sisäistänyt asian. Kuuntele työntekijää: miten laitteita ja järjestelmiä käytetään kenttätyössä. Huomioi erilaiset tehtäväkohtaiset erityispiirteet koulutuksia laadittaessa.

LPR: Tietosuojakoulutukset järjestetään tarpeen perusteella ja ne kohdennetaan oikealle joukolle. Edellisen kohdan selvitystyö toimii perustana koulutuskalenterin suunnittelulle. Kaikki opettajat suorittavat Tiedonhallinnan käsikirja -koulutuksen, jossa käydään läpi tärkeät opettajan työhön vaikuttavat tietosuoja-asiat. Myös kaikille uusille ja palaaville opettajille järjestetään syksyisin perehdyttämiskoulutus, jossa tarjotaan tiivis, välttämättömät tietosuoja-asiat sisältävä kokonaisuus. Esimerkiksi koulusihteerien tarpeet eroavat suuresti opetushenkilöstöstä ja heidän koulutuksensa järjestetään heidän tarpeistaan lähtien.

4. Tarjoa tukea - Pidä huoli, että työntekijällä on henkilö, jolta hän saa apua digiturvahuoliin ja -murheisiin 

Työntekijän epätietoisuus johtaa kertautuviin virheisiin. Varmista, että jokainen työntekijä tietää kenen puoleen kääntyä ongelmiensa kanssa - ja ennen kaikkea, että hän uskaltaa niin tehdä!

LPR: Lappeenrannassa kaupungin tietosuojavastaavalla on kädet täynnä työtä, joten Eduksilla päätimme helpottaa hänen taakkaansa. Kolme edukslaista kävi tietosuojavastaavan koulutuksen ja nyt autamme Lappeenrannan opetushenkilöstöä kaikissa digiongelmissa - myös digiturvan osalta!

5. Hallitse laitteita järkevästi - Rajaa laitteiden käyttöä vain tarveperusteisesti

Ylimääräinen rajoittaminen on helppoa, mutta laiskaa. Jos laitteiden työkäyttöä rajataan liikaa siirtyy tekeminen pois työkoneilta, mikä lisää tietoturvariskiä. Rajoita käyttöä vain, kun se on digiturvan kannalta välttämätöntä.

LPR: Opettajien ja lukiolaisten kannettavat sekä oppilaiden Chromebookit ovat keskitetyssä Google- tai Endpoint-hallinnassa, mikä mahdollistaa ohjelmisto- ja tietoturvapäivitykset hallitusti. iPadit ovat yksikkökohtaisessa JAMF-hallinnassa, mikä mahdollistaa joustavan ja tarpeenmukaisen käytön. Laitteiden käyttöä rajoitetaan vain lakisääteisistä syistä - lisäksi opettajilla on mahdollisuus hankkia laitekohtaiset ylläpitäjäoikeudet, jolloin he pystyvät hallinnoimaan laitettaan laajemmin.

6. Panosta järjestelmien ylläpitoon - Järjestelmäylläpito vaatii aikaa ja osaamista

Järjestelmätason virheet aiheuttavat suuria tietoturvariskejä. Ylläpitoon tulee resursoida tarvittava henkilöstö sekä ajantasaiset hallintatyökalut. Hallinnasta vastaavan henkilöstön osaaminen tulee pitää ajan tasalla.

LPR: Lappeenrannassa tietohallinnon ja opetuskentän välimaastossa toimii Eduks. Eduks tekee tiivistä yhteistyötä tietohallinnon kanssa ja vastaa mm. digiasioiden viestinnästä opetushenkilöstölle. Opetuspuolen järjestelmäylläpito on pääasiassa Eduksin vastuulla, mikä takaa sen, että kaikissa järjestelmäuudistuksissa huomioidaan pedagogiset vaikutukset ja loppukäyttäjä. Eduks kouluttautuu jatkuvasti ja testaa erilaisia hallintaratkaisuja.

7. Huolehdi asiakirjahallinnasta - Jos asiat eivät ole hallussasi, et voi suojella tietoja

Asiakirjahallinta kuuluu jokaiselle organisaatiossa - ei vain asiakirjahallinnolle. Varmista, että työntekijät huolehtivat dokumenttien poistamisesta määräajoin ja tuntevat vastuunsa sekä tietojen säilyttämisen toimintamallit.

LPR: Opettajille on luotu selkeät ohjeet asiakirjojen säilytyksestä sekä poistojen aikataulutuksesta. Opettajia muistutetaan tietojen minimoinnin periaatteesta säännöllisesti niin, että jokainen muistaa poistaa tiedostot, joiden säilyttämiseen ei enää ole syytä.

8. Varmista tietosuojaselosteiden laatu - Läpinäkyvyys ja ymmärrettävyys kertovat osaamisesta

Varmista, että tietosuojaselosteet ovat ymmärrettäviä myös niille, jotka eivät työskentele tietosuojan parissa. Pidä huoli, että tietosuojaselosteet löytyvät helposti ja ovat ajantasaisia. Näytä, että tietosuoja-asiat ovat hallussa!

LPR: Lappeenrannan kaupungin opetustoimen tietosuojaseloste on laadittu tietovarannon näkökulmasta - ei jokaisesta tietojärjestelmästä erikseen. Meillä on lakisääteinen tehtävä järjestää perusopetusta ja tietojen käsittely ja luovutus on dokumentoitu kattavasti yhteen tietosuojaselosteeseen. Tämän lisäksi oppilaille ja huoltajille on laadittu omat, selkeät ohjeet.

9. Hyödynnä vaikutustenarviointeja - Vaikutustenarviointi ei ole todistus, vaan jatkuva prosessi, jolla tietosuojaa parannetaan

Vaikutustenarviointeja ei voi rastittaa tehdyksi to do -listalta. Ne vaativat jatkuvaa seuraamista ja päivittämistä. Vaikutustenarvioinnit ovat mahdollisuus koko organisaatiolle oppia ja kehittää erilaisten järjestelmien käyttöä. Vaikutustenarvioinnit ovat työkaluja, eivät todistuksia. Niiden onnistumisessa tärkeintä on loppukäyttäjän oman alan asiantuntijuus.

LPR: Eduks on Lappeenrannan opetustoimen ja varhaiskasvatuksen asiantuntijayksikkö. Kehittämisen ja kouluttamisen lisäksi toimimme koulujen tukena ja tarkastamme hyväksytyt sovellukset vuosittain. Perehdymme ja tuemme myös uusien palveluiden käyttöönotossa kouluja. Ilman Eduksin kaltaista organisaatiota kunnan kannattaa panostaa asiantuntijaopettajiin/rehtoreihin, jotka voivat oman työnsä ohessa perhetyä tietosuojaan.

10. Nimeä vastuut ja roolit - Se kuuluisa “joku” ei hoida tehtäviä

Määritä jokaiseen tehtävään vastuuhenkilö ja varmistaa, että vastuiden väliin ei jää katveita, jonne tipahtelee hoitamattomia asioita. Sopivan vastuunjaon rakentaminen vaatii suunnittelua ja ylläpitoa. Vastuissa täytyy välttää päällekkäistä työtä, mutta minimoida henkilöriski: asiat eivät saa olla vain yhden henkilön takana, vaan jokaisen poissaolo tulee pystyä korvaamaan ilman, että palvelu rampautuu.

LPR: Koska tietohallinto ja kaupungin hallinnollinen koneisto voivat helposti etääntyä koulujen päivittäisestä toiminnasta, Eduks on ottanut aktiivisen roolin digiturvallisuuden kokonaisvaltaisessa kehittämisessä. Toimimme tiiviissä yhteistyössä tietohallinnon, koulujen ja muiden sidosryhmien kanssa. Olemme säännöllisesti läsnä kouluilla, mikä mahdollistaa suoran vuorovaikutuksen kouluyhteisön kanssa. Eduks tukee tietohallintoa esimerkiksi pääkäyttäjyyksillä ja tekee tiivistä yhteistyötä opetusjärjestelmien ylläpidon parissa - tämä varmistaa saumattoman yhteistyön ja keventää järjestelmäpuolen henkilöriskiä. 

11. Luo virheistä hyötyvä asenneympäristö - Virheettömyys kertoo siitä, että mitään ei ole tehty

Tietosuoja-asioissa tulee aina virheitä ja niihin reagointi vaikuttaa siihen miten työntekijät jatkossa toimivat. Syyllisten etsiminen ja rankaiseminen johtavat kulttuuriin, jossa virheitä piilotellaan ja vastuuta pakoillaan. Vahinkojen minimointi ja toimintamallien kehittäminen jatkoa ajatellen luo parempaa digiturvaa.

LPR: Itse mokasimme salasanauudistuksen kanssa: tarkoitus oli muuttaa järjestelmätasolla pakotetusti salasanan pituus ja vaihtoväli uusiin rajoihin. Tiedotimme kenttää hyvissä ajoin, teimme ohjevideon ja kaiken piti olla valmista… Uudistus ei vain onnistunut ja tästä seurasi monipolvinen prosessi, jossa opettajia jouduttiin häiritsemään viestitulvalla. Syyllisiä emme etsineet, vaan sammuttelimme palot ja kehitimme sivuillemme tilannehuoneen, jonka avulla jatkossa ongelmatilanteiden viestintä onnistuu yhdellä tämän mallisella viestillä: “[Tilannekuva nyt]. Seuraa tilanteen ratkaisua tilannehuoneesta: [linkki tilannehuoneeseen]”.