Tutustu Ideapankki-palveluun osoitteessa ideapankki.csc.fi{}

Idea: DPIA-repositorio (valmiit työväline-DPIA-arvioinnit korkeakoulujen tietosuojavastaaville ja tietoturvapäälliköille)

Ohjausyhteistyö: AAPA ja FUCIO

Tiivistelmä

Haluamme kehittää tietosuojavaikutusten arviointia (DPIA), yhteistyötä niiden tekemiseksi, valmiiden havaintojen jakamista (repository) sekä kehittää tätä palvelevia työkaluja. Idea liittyy mm. laajemmin esimerkiksi pilvipalveluiden vaatimuksienmukaisuuden arvioimiseen (https://jira.eduuni.fi/browse/CSCIDEAPANKKI-111) sekä yleisesti teemaan korkeakoululaitoksesta ja vaatimuksien mukaisuudesta (https://wiki.eduuni.fi/x/ngltCQ). 

Viimeisin kehityssuunta tässä ideassa on toteuttaa yhteistyössä referenssikeissi DPIA:sta korkeakoulujen SEC-verkostojen yhteistyönä (AAPA ja FUCIO).

Yleiskuvaus ideasta

DPIA-repositorio (valmiit työväline-DPIA-arvioinnit korkeakoulujen tietosuojavastaaville ja tietoturvapäälliköille)

 

Tämä idea/ehdotus koskee sitä, että missä yhteisellä areenalla voitaisiin toteuttaa työväline-DPIA-arviointien tekemiseen ja julkaisuun ”yhteiseksi hyväksi” tarkoitettu DPIA-repositorio. Kyseessä olisi tietosuojan vaikutustenarviointi -lomakkeiden/dokumenttien julkaiseminen ja jakaminen muiden korkeakoulujen /oppilaitosten tietosuojavastaavien ja tietoturvapäälliköiden kesken niistä työvälineistä, joita suurin osa Suomen korkeakouluista/oppilaitoksista on ottamassa käyttöön. Myös ns. takautuvat työväline-DPIA-arvioinnit esim. Zoom-verkkokoustyövälineestä, joka jo lähes kaikkialla käytössä, mutta onko muistettu ennen käyttöönottoa tehdä ja dokumentoida DPIA, GDPR:n art. 35 mukainen tietosuojan vaikutustenarviointi?

Microsoft Teamsistä, Microsoft OneDrive-tallennusalustasta, e-lomakkeesta yms. pitäisi kaikkien tehdä vastaava työväline-DPIA-arviointi ja dokumentoida se (GDPR + tiedonhallintalaki -> osoitusvelvollisuus riskiarvioinnin + tietosuojan vaikutustenarvioinnin tekemisestä on kaikilla korkeakouluilla/organisaatioilla/rekisterinpitäjillä).

 

Taustaa

Metropolia Ammattikorkeakoulun Laki- ja arkistointipalvelussa työskentelevältä tietosuojavastaavalta pyydetään jonkun verran ns. tiskin alta jo toteutettuja tietohallinnon edustajan kannanoton, kokonaisarkkitehdin kannanoton sekä tietosuojavastaavan oman kannanoton sisältäviä, valmiita työväline-DPIA-lomakkeita.

Metropoliassa on nähty vaivaa per uusi työväline (ja myös ns. takautuvia työväline-DPIA:ta toteutettu yhä käytössä olevista, henkilötietointensiivisistä työvälineistä), toteuttaa tällainen dokumentoitu, tietosuojan vaikutustenarvioinnin kriteerit ja mielestämme myös uuden tiedonhallintalain riskiarviointivaatimukset täyttävä työväline-DPIA-arviointi.

Samaa vaivaa ja työmäärää näkevät myös monet muut korkeakoulujen tietosuojavastaavat/ työvälineiden käyttöönoton riskiarvioinnista vastaavat tietohallinnon edustajat. Ja kyseessä on useasti samat työvälineet (esim. juurikin edellä mainitut Microsoft-sidonnaiset eri työvälineet, Eduix Oy:n ohjelmistot, Googlen sovellukset), millä Suomen eri korkeakouluissa ja oppilaitoksissa operoidaan. Ja kaikilla tietosuojavastaavilla ja tietoturvapäälliköillä on edellä mainituissa organisaatiossa kädet muutenkin jo täynnä työtä.

 

Metropolia Ammattikorkeakoulun nykyinen sähköinen työväline-DPIA-prosessi

Metropolia Ammattikorkeakoulussa työväline-DPIA-prosessi toimii niin, että kuka tahansa metropolialainen tai Metropolian digimentoriverkosto voi ehdottaa sähköisesti uutta työvälinettä käyttöönotettavaksi Metropoliassa. Jos työvälineen käyttö edellyttää tavalla tai toisella henkilötietojen käsittelyä, tulee työvälineen käyttöönoton edistäjän täyttää uudesta työvälineestä sähköinen (nyt e-lomakkeella toteutettu) työväline-DPIA-lomake ja painaa ”Lähetä” nappia.

DPIA-lomake sisältää tietosuojavastaavan laatimat noin 30 kysymystä (mm. Ranskan CNIL:in + UK:n ICO:n DPIA-lomakemalleja suomennettu/yhdistelty) + lopuksi riskiarvointitaulukko, johon DPIA-tekijän tulee ottaa kantaa (riskin vakavuuden ja riskin toteutumisen todennäköisyyden suhteen) sekä esittää toimenpiteitä riskin pienentämiseksi.

Sähköinen työväline-DPIA-lomake lähtee Metropolian tietohallinnon edustajan kannanotolle, Metropolian kokonaisarkkitehdin kannanotolle sekä Metropolian tietosuojavastaavan kannanotolle. Kun kaikki asiantuntijakannanotot on saatu työväline-DPIA-lomakkeelle, menee työväline-DPIA-arviointi Metropolian ylimmälle johdolle päätöksentekoa varten (hyväksyntä/hylkäys). Aina organisaation (rekisterinpitäjän) ylin johto vastaa tietosuojasta ja tietoturvan toteutumisesta. Vaikka ideana on nyt esittää yhteisareenaa, jossa voitaisiin toteuttaa työväline-DPIA-arviointien tekemiseen ja julkaisuun ”yhteiseksi hyväksi” tarkoitettu DPIA-repositorio, niin kukaan organisaatio ei toki voi ulkoistaa päätöksentekoaan siitä, että voidaanko toteutetun DPIA-arvioinnin perusteella ottaa työväline ko. organisaatiossa käyttöön vai ei. Millä riskitasolla mennään (vai onko työvälineen käyttöönottaminen arvioitu DPIA-prosessissa täysin riskittömäksi), on jokaisen organisaation itse linjattava.

 

Opiskelijan opinnäytetyönään ohjelmoima DPIA-repositorio

Metropolia Ammattikorkeakoulun Laki- ja arkistointipalvelut voisivat tarjota erään Metropolian opiskelijan opinnäytetyönään ohjelmoimaa DPIA-repositoriota konseptina loppuun asti toteutettavaksi ja esim. tietoturvan osalta ylläpidettäväksi jollekin soveltuvalle palveluntarjoajalle (esim. CSC Oy). Opinnäytetyönä keväällä 2020 ohjelmoitu DPIA-repositorio/ DPIA-lomakkeiden tekemiseen ja arviointiin tarkoitettu verkkolomakeohjelmisto mahdollistaa tallennuspankin ja sähköisen työvälineen tietosuojalainsäädännön edellyttämien ns. työväline-DPIA-arviointilomakkeiden tekemiseen, arviointiin ja sähköiseen tallennukseen. DPIA-repositorio-työvälineen käyttäjäkunta koostuisi Haka-kirjautumisen tai muun yhteiskäytön mahdollistavan kirjautumisen turvin Suomen korkeakoulusektorin tietosuojavastaavista ja tietoturvapäälliköistä (henkilöistä, joiden työnkuvaan tietosuojalainsäädännön ja uuden tiedonhallintalain edellyttämän riskiperusteisten työväline-DPIA-arviointien tekeminen ja/tai toteuttamisessa avustaminen kuuluu).

Ideana konseptissa on se, että kuka tahansa käyttäjäkunnan edustaja - esim. palveluun rekisteröitynyt korkeakoulun tietosuojavastaava - voisi yhteisen hyvän ja yhteisen työmäärän vähentämisen nimissä laatia DPIA-repositorioon jostakin uudesta, omassa korkeakoulussaan käyttöönotettavaksi suunnitellusta, henkilötietojen käsittelyä tavalla tai toisella edellyttävästä työvälineestä, tietosuojalainsäädännön sekä uuden tiedonhallintalain edellyttämän DPIA-arvioinnin/riskiarvioinnin. Tätä sähköiselle DPIA-lomakkeelle kartoitettua työvälineen eri ominaisuuksien arviointilomaketta myös muut vastaavaa työtä omassa korkeakoulussaan tekevät tietosuojavastaavat voisivat halutessaan hyödyntää. Päätös työväline-DPIA-arvioinnin lopputulemasta tehdään kuitenkin aina organisaatiokohtaisesti.

 

DPIA-repositorio Suomen korkeakoulusektorin tietosuojavastaaville ja tietoturvapäälliköille yhteiskäyttöön

Työvälinekonseptin perusteella joku riittävät resurssit omaava palveluntarjoaja (esim. CSC Oy) voisi toteuttaa DPIA-repositorion sellaisena, että siinä olisi versiointimahdollisuus, helppokäyttöinen loppukäyttäjälle avautuva DPIA-arviointilomakkeiden selailu- ja katselmointimahdollisuus, hyvä hakutoiminto DPIA-arviointilomakkeista sekä esim. DPIA-arviointien kommentointimahdollisuus. Tätä ei nykyinen e-lomakkeella toteutettu työväline-DPIA-prosessi mahdollista.

Metropolian opiskelijalla (opinnäytetyöntekijällä) on oikeudet ohjelmoimansa ohjelmiston lähdekoodiin, jotta hän voi esimerkiksi Metropolia Ammattikorkeakoulusta valmistuttuaan ja töitä hakiessaan näyttää, minkälaisen ohjelmiston on itse luonut ja konseptoinut. Opiskelijalla on myös oikeus kehittää koodia. Oikeudet itse valmiiseen työhön (DPIA-repositorio -työvälineen konsepti) ja oikeus sen mahdolliseen jatkokäyttöön (kaupalliset oikeudet) on sopimuksellisesti sovittu jäävän Metropolia Ammattikorkeakoululle. Näin ollen opiskelija ei voi kaupalliseen tarkoitukseen käyttää ohjelmiston lähdekoodia/antaa sitä muun tahon käyttöön.

Toimivaa yhteiskäyttötyövälinettä edellä mainittuun tarkoitukseen ei ole tällä hetkellä olemassa.

 

Lisätietoja asiasta: Metropolian tietosuojavastaava, Tuulia Aarnio, Laki- ja arkistointipalvelut, p. 040 844 0690, tietosuojavastaava@metropolia.fi

Tilannetiedot asian edistymisestä

2022-06-21

• Ristiinopiskelupalvelun wiki-sivuilta löytyy DPIAn (tietosuojan vaikutustenarviointi) mallipohja, https://wiki.eduuni.fi/x/RA45E. Korkeakoulut voivat vapaasti hyödyntää mallipohjaa omaa tietosuojaa koskevaa vaikutustenarviointiaan tehdessään.

2021-03-19

• Tietosuojavaltuutetun toimisto pyytää kommentteja uudesta tietosuojan vaikutustenarviointia koskevasta ohjeesta

2021-02-02 Tilannetieto: RiKe ja DPIA

• VAHTI-pienryhmässä, (tietosuoja), on työstetty yhteistä DPIA -ja riskiarviolomaketta niin yliopistoille, korkeakouluille kuin yrityksillekin jne. Nämä on nyt laitettu tai laitetaan TSV-toimistoon lausuntopyynnölle.
  Jarmo Jaskari (AMK-SEC) on mukana työryhmässä. Jos TSV ei tuo lomaketta tarjolle pian, voisi käyttää sitä samaa DPIA-pohjaa joka tehtiin etätenteistä.
• RiKe -Ristiinopiskelun palveluväylän on tarkoitus laatia DPIA helmi-maaliskuun aikana. Vastuuhenkilöt CSC:n Jukka Kohtanen ja Minna Pylkkönen voisivat yhdessä Tietosuojavastaavien ja SEDC-ryhmien kanssa laatia RiKe/DPIA:sta esimerkin.

2021-01-28 Ideatoimikunnan kokous

• Tarkoitus on ollut pohtia asiaa yhdessä yliopistojen ja AMK:ien SEC-ryhmien työvaliokuntien kesken.
• e109770 varmistaa AMK SEC-ryhmältä onko tähän liittyen huomioitavaa.
• Keskustelussa löydetty monta ulottuvuutta: 1) valmiit lomakkeet 2) yhteisen repositoryn perustaminen 3) miten tehdyt arviot jaetaan repositoryn kautta tai muuta reittiä
• Keskustelu etenee sec-verkostoissa
• PÄÄTÖS: muutetaan status Esiselvityksessä -tilaan

2021-01-21 Tilannetieto

• Tarkoitus on ollut pohtia asiaa yhdessä yliopistojen ja AMK:ien SEC-ryhmien työvaliokuntien kesken.
• Jaakko varmistaa AMK SEC-ryhmältä onko tähän liittyen huomioitavaa.

2020-12-09 Yliopistojen SEC-ryhmän kokouksen huomioita

• Tarve tiedon jakamiselle on tunnistettu ja todennettavissa
• Keskustelussa todettiin, että yhteisten välinearviointien käyttäminen mallina vähentäisi työtä, mutta käyttötarkoituksen ja reunaehtojen kanssa oltava tarkkana ja otettava huomioon riskiarvioiden sisällön saattaminen sellaisiksi, että ne voidaan jakaa organisaation ulkopuolelle.
• Käytetystä terminologiasta tuli toteamus, että DPIA on varattu termi, eikä sitä pitäisi käyttää yleisistä riskiarvioista.
• Repositorion riskinä on myös, että riskiarviot tehdessä nojataan liikaa valmiiseen arviointiin eikä tehdä riittävästi käsittelytarvekohtaista arviointia.

2020-12-08 SEC-ryhmielle osoitettu toimeksianto

• Perustuen 3.12.2020 Ideaotimikunnan kokoukseen, SEC-ryhmille on osoitettu toimeksianto:
  • Sopia YO- ja AMK-sektoreiden yhteisestä SEC-käsittelystä, esim. molempien SEC-työvaliokuntien yhteiskokoontumisilla (viim. heti 2021 alussa)
  • Miettiä ja tuoda keskusteluun (esim. Ideatoimikunta, AAPA, FUCIO…) linjauksia ja arvioita siitä, onko dokumentaatiosta mahdollista luoda esim. sillä tavalla rakenteista, että voitaisiin erottaa julkiset, jaettavissa olevat osiot ja toisaalta ne seikat, jotka olisivat korkeakoulukohtaisia ja tietoturvan/tietosuojan kannalta rajatusti nähtävissä. (HUOM! Myös VAHTI-linjaukset, joiden työstämisessä mm. Jarmo Jaskari/AMK-SEC on mukana)
  • Pitää yhteyttä myös Tietosuojavastaavien verkoston kanssa ja sopia yhteistyöstä ja jatkotoimista.

2020-10-07 LisenssiSIG tutkii tarpeita omista lähtökohdistaan

• LisenssiSIG otti kantaa aiheeseen kokouksessaan ja tarkastelee asiaa seuraavana kokoukseen mennessä 

• Tarkistetaan myös ns. Pilvi-SIGin tuotanto tähän mennessä