Uploaded image for project: 'Ideapankki'
  1. Ideapankki
  2. CSCIDEAPANKKI-109

DPIA-repositorio (valmiit työväline-DPIA-arvioinnit korkeakoulujen tietosuojavastaaville ja tietoturvapäälliköille)

    XMLWordPrintable

    Details

      Description

      DPIA-repositorio (valmiit työväline-DPIA-arvioinnit korkeakoulujen tietosuojavastaaville ja tietoturvapäälliköille)

       

      Tämä idea/ehdotus koskee sitä, että missä yhteisellä areenalla voitaisiin toteuttaa työväline-DPIA-arviointien tekemiseen ja julkaisuun ”yhteiseksi hyväksi” tarkoitettu DPIA-repositorio. Kyseessä olisi tietosuojan vaikutustenarviointi -lomakkeiden/dokumenttien julkaiseminen ja jakaminen muiden korkeakoulujen /oppilaitosten tietosuojavastaavien ja tietoturvapäälliköiden kesken niistä työvälineistä, joita suurin osa Suomen korkeakouluista/oppilaitoksista on ottamassa käyttöön. Myös ns. takautuvat työväline-DPIA-arvioinnit esim. Zoom-verkkokoustyövälineestä, joka jo lähes kaikkialla käytössä, mutta onko muistettu ennen käyttöönottoa tehdä ja dokumentoida DPIA, GDPR:n art. 35 mukainen tietosuojan vaikutustenarviointi?

      Microsoft Teamsistä, Microsoft OneDrive-tallennusalustasta, e-lomakkeesta yms. pitäisi kaikkien tehdä vastaava työväline-DPIA-arviointi ja dokumentoida se (GDPR + tiedonhallintalaki -> osoitusvelvollisuus riskiarvioinnin + tietosuojan vaikutustenarvioinnin tekemisestä on kaikilla korkeakouluilla/organisaatioilla/rekisterinpitäjillä).

       

      Taustaa

      Metropolia Ammattikorkeakoulun Laki- ja arkistointipalvelussa työskentelevältä tietosuojavastaavalta pyydetään jonkun verran ns. tiskin alta jo toteutettuja tietohallinnon edustajan kannanoton, kokonaisarkkitehdin kannanoton sekä tietosuojavastaavan oman kannanoton sisältäviä, valmiita työväline-DPIA-lomakkeita.

      Metropoliassa on nähty vaivaa per uusi työväline (ja myös ns. takautuvia työväline-DPIA:ta toteutettu yhä käytössä olevista, henkilötietointensiivisistä työvälineistä), toteuttaa tällainen dokumentoitu, tietosuojan vaikutustenarvioinnin kriteerit ja mielestämme myös uuden tiedonhallintalain riskiarviointivaatimukset täyttävä työväline-DPIA-arviointi.

      Samaa vaivaa ja työmäärää näkevät myös monet muut korkeakoulujen tietosuojavastaavat/ työvälineiden käyttöönoton riskiarvioinnista vastaavat tietohallinnon edustajat. Ja kyseessä on useasti samat työvälineet (esim. juurikin edellä mainitut Microsoft-sidonnaiset eri työvälineet, Eduix Oy:n ohjelmistot, Googlen sovellukset), millä Suomen eri korkeakouluissa ja oppilaitoksissa operoidaan. Ja kaikilla tietosuojavastaavilla ja tietoturvapäälliköillä on edellä mainituissa organisaatiossa kädet muutenkin jo täynnä työtä.

       

      Metropolia Ammattikorkeakoulun nykyinen sähköinen työväline-DPIA-prosessi

      Metropolia Ammattikorkeakoulussa työväline-DPIA-prosessi toimii niin, että kuka tahansa metropolialainen tai Metropolian digimentoriverkosto voi ehdottaa sähköisesti uutta työvälinettä käyttöönotettavaksi Metropoliassa. Jos työvälineen käyttö edellyttää tavalla tai toisella henkilötietojen käsittelyä, tulee työvälineen käyttöönoton edistäjän täyttää uudesta työvälineestä sähköinen (nyt e-lomakkeella toteutettu) työväline-DPIA-lomake ja painaa ”Lähetä” nappia.

      DPIA-lomake sisältää tietosuojavastaavan laatimat noin 30 kysymystä (mm. Ranskan CNIL:in + UK:n ICO:n DPIA-lomakemalleja suomennettu/yhdistelty) + lopuksi riskiarvointitaulukko, johon DPIA-tekijän tulee ottaa kantaa (riskin vakavuuden ja riskin toteutumisen todennäköisyyden suhteen) sekä esittää toimenpiteitä riskin pienentämiseksi.

      Sähköinen työväline-DPIA-lomake lähtee Metropolian tietohallinnon edustajan kannanotolle, Metropolian kokonaisarkkitehdin kannanotolle sekä Metropolian tietosuojavastaavan kannanotolle. Kun kaikki asiantuntijakannanotot on saatu työväline-DPIA-lomakkeelle, menee työväline-DPIA-arviointi Metropolian ylimmälle johdolle päätöksentekoa varten (hyväksyntä/hylkäys). Aina organisaation (rekisterinpitäjän) ylin johto vastaa tietosuojasta ja tietoturvan toteutumisesta. Vaikka ideana on nyt esittää yhteisareenaa, jossa voitaisiin toteuttaa työväline-DPIA-arviointien tekemiseen ja julkaisuun ”yhteiseksi hyväksi” tarkoitettu DPIA-repositorio, niin kukaan organisaatio ei toki voi ulkoistaa päätöksentekoaan siitä, että voidaanko toteutetun DPIA-arvioinnin perusteella ottaa työväline ko. organisaatiossa käyttöön vai ei. Millä riskitasolla mennään (vai onko työvälineen käyttöönottaminen arvioitu DPIA-prosessissa täysin riskittömäksi), on jokaisen organisaation itse linjattava.

       

      Opiskelijan opinnäytetyönään ohjelmoima DPIA-repositorio

      Metropolia Ammattikorkeakoulun Laki- ja arkistointipalvelut voisivat tarjota erään Metropolian opiskelijan opinnäytetyönään ohjelmoimaa DPIA-repositoriota konseptina loppuun asti toteutettavaksi ja esim. tietoturvan osalta ylläpidettäväksi jollekin soveltuvalle palveluntarjoajalle (esim. CSC Oy). Opinnäytetyönä keväällä 2020 ohjelmoitu DPIA-repositorio/ DPIA-lomakkeiden tekemiseen ja arviointiin tarkoitettu verkkolomakeohjelmisto mahdollistaa tallennuspankin ja sähköisen työvälineen tietosuojalainsäädännön edellyttämien ns. työväline-DPIA-arviointilomakkeiden tekemiseen, arviointiin ja sähköiseen tallennukseen. DPIA-repositorio-työvälineen käyttäjäkunta koostuisi Haka-kirjautumisen tai muun yhteiskäytön mahdollistavan kirjautumisen turvin Suomen korkeakoulusektorin tietosuojavastaavista ja tietoturvapäälliköistä (henkilöistä, joiden työnkuvaan tietosuojalainsäädännön ja uuden tiedonhallintalain edellyttämän riskiperusteisten työväline-DPIA-arviointien tekeminen ja/tai toteuttamisessa avustaminen kuuluu).

      Ideana konseptissa on se, että kuka tahansa käyttäjäkunnan edustaja - esim. palveluun rekisteröitynyt korkeakoulun tietosuojavastaava - voisi yhteisen hyvän ja yhteisen työmäärän vähentämisen nimissä laatia DPIA-repositorioon jostakin uudesta, omassa korkeakoulussaan käyttöönotettavaksi suunnitellusta, henkilötietojen käsittelyä tavalla tai toisella edellyttävästä työvälineestä, tietosuojalainsäädännön sekä uuden tiedonhallintalain edellyttämän DPIA-arvioinnin/riskiarvioinnin. Tätä sähköiselle DPIA-lomakkeelle kartoitettua työvälineen eri ominaisuuksien arviointilomaketta myös muut vastaavaa työtä omassa korkeakoulussaan tekevät tietosuojavastaavat voisivat halutessaan hyödyntää. Päätös työväline-DPIA-arvioinnin lopputulemasta tehdään kuitenkin aina organisaatiokohtaisesti.

       

      DPIA-repositorio Suomen korkeakoulusektorin tietosuojavastaaville ja tietoturvapäälliköille yhteiskäyttöön

      Työvälinekonseptin perusteella joku riittävät resurssit omaava palveluntarjoaja (esim. CSC Oy) voisi toteuttaa DPIA-repositorion sellaisena, että siinä olisi versiointimahdollisuus, helppokäyttöinen loppukäyttäjälle avautuva DPIA-arviointilomakkeiden selailu- ja katselmointimahdollisuus, hyvä hakutoiminto DPIA-arviointilomakkeista sekä esim. DPIA-arviointien kommentointimahdollisuus. Tätä ei nykyinen e-lomakkeella toteutettu työväline-DPIA-prosessi mahdollista.

      Metropolian opiskelijalla (opinnäytetyöntekijällä) on oikeudet ohjelmoimansa ohjelmiston lähdekoodiin, jotta hän voi esimerkiksi Metropolia Ammattikorkeakoulusta valmistuttuaan ja töitä hakiessaan näyttää, minkälaisen ohjelmiston on itse luonut ja konseptoinut. Opiskelijalla on myös oikeus kehittää koodia. Oikeudet itse valmiiseen työhön (DPIA-repositorio -työvälineen konsepti) ja oikeus sen mahdolliseen jatkokäyttöön (kaupalliset oikeudet) on sopimuksellisesti sovittu jäävän Metropolia Ammattikorkeakoululle. Näin ollen opiskelija ei voi kaupalliseen tarkoitukseen käyttää ohjelmiston lähdekoodia/antaa sitä muun tahon käyttöön.

      Toimivaa yhteiskäyttötyövälinettä edellä mainittuun tarkoitukseen ei ole tällä hetkellä olemassa.

       

      Lisätietoja asiasta: Metropolian tietosuojavastaava, Tuulia Aarnio, Laki- ja arkistointipalvelut, p. 040 844 0690, tietosuojavastaava@metropolia.fi

       

       

        Attachments

          Issue Links

            Activity

              People

              Assignee:
              e105438 Outi Tasala
              Reporter:
              e139220 Tuulia Aarnio
              Votes:
              22 Vote for this issue
              Watchers:
              4 Start watching this issue

                Dates

                Created:
                Updated: