Ajankohtaista

04.11.2024: Tietosuojayhteistyötä valtakunnallisesti

Digipalvelujen hankintaan ja käyttöön liittyy paljon päällekkäistä tietosuojatyötä. Arviointeja varten kaikki organisaatiot etsivät vastauksia samoihin kysymyksiin digipalvelujen tietosuojasivuilta. Tietosuojan vaikutustenarviointeja (DPIA) pidetään yleisesti erittäin työläinä prosesseina ja niitä tehdään usein organisaation sisäisesti, vaikka sama digipalvelu on samalla käyttötarkoituksella käytössä monissa muissakin organisaatioissa.

Kaikki tämä on äärimmäisen työllistävää, kun organisaatiot aloittavat työn aina alusta ja kumulatiivista resurssia ei usein ole hyödynnettävissä. Tosiasia tuntuu olevan, että yksikään organisaatio ei kykene selviytymään tietosuojatyöstä siten, että kaikki olisi tehty ja ajantasalla.

Olemme käynnistäneet yhteistyön, jossa

1. kerätään digipalvelujen GDPR-tiedot yhteen paikkaan
2. tehdään pienryhmissä DPIA-arviointeja
3. jaetaan tehdyt DPIAt toisille käyttäjille

Lue lisää blogista: https://www.ilonait.fi/post/digipalvelujen-tietosuojaa-yhteistyona


24.09.2024: Ruotsinkielinen versio julkaistu

GDPR-sovelluskirjaston ja DPIA-työkalun ruotsinkielinen versio on nyt julkaistu. Voit valita ruotsinkielisen käyttöliittymän kirjautumissivulta oikean yläkulman kielivalikosta.


21.08.2024: Nyt voit tilata GDPR-tietojen muutokset sähköpostiisi

Olemme julkaisseet GDPR-sovelluskirjastossa uuden päivitysilmoitustoiminnon, jonka avulla käyttäjät saavat sähköpostiinsa tiedot valmistajien tekemistä muutoksista palvelujen GDPR-tietoihin. Tämän avulla palvelua käyttävien organisaatioiden on mahdollista päivittää ja pitää ajantasalla omat tietosuojaselvityksensä ja -arviointinsa.

Toiminto esiteltiin 21.8. webinaarissa, jonka tallenteen löydät tästä: https://ilonait.adobeconnect.com/pea64wy3uo1r/ 

Tässä tiivistetysti ohjeet toiminnon käyttöön:

-> Saat sähköpostiisi tiedot eri softapalvelujen GDPR-tietojen muutoksista haluamallasi lähetysvälillä.

-> Myös DPIA-työkalu ilmoittaa, jos softapalvelun GDPR-tiedoissa on tapahtunut muutoksia. Muutostieto näkyy oman organisaatiosi DPIA-luettelossa ja DPIA-lomakkeella.


01.08.2024: DPIA-työpajat jatkuvat

Syksyllä jatkamme kaikille asiakkaillemme avoimia DPIA-työpajoja, joissa tehdään ohjatusti yhdessä vaikutustenarviointeja. Niitä järjestetään joka torstai klo 10-11.30. Mukaan voi tulla oppimaan ja edistämään omia arviointeja ilman ennakkoilmoittautumista. Osoite on:  https://ilonait.adobeconnect.com/gdpr/


27.04.2024: MPASSid-viranomaispalvelun vaikutus DPAn ja DPIAn tekoon

Opetushallituksen ylläpitämä MPASSid-tunnistuksenvälityspalvelu on toiminut tähän asti sopimusperustaisesti. Opetushallitus on päättänyt, että palvelu tuotetaan ja ylläpidetään jatkossa viranomaispalveluna. Palvelu säilyy entisen sisältöisenä ja maksuttomana. Uudet käyttäjät tulevat viranomaispalvelun piiriin heti liittyessään ja nykyiset sopimuksen perusteella palvelua käyttävät organisaatiot irtisanomisajan jälkeen 1.8.2024 lukien.

Kaikkien MPASSid-osapuolten täytyy hyväksyä ja sitoutua noudattamaan MPASSid:n käyttöehtoja. Mikäli organisaatio arvioi, että MPASSid:n käyttöehdot ovat riittävät suhteessa hankittavaan palveluun, ei erillistä DPA-sopimusta tarvitse tehdä palveluntarjoajan kanssa.

Organisaatiolla on rekisterinpitäjän roolissa lisäksi velvollisuus arvioida tarve tehdä tietosuojalainsäädännön mukainen tietosuojavaikutusten arviointi (DPIA). Rekisterinpitäjän pitää tehdä DPIA, mikäli palvelussa käsitellään erityisiä, arkaluonteisia henkilötietoja tai palvelun käyttöön sisältyy muita korkean riskin toimintoja esim. automaattista päätöksentekoa. Opetushallituksen MPASSid-palvelun käyttöehdot eivät poista tätä rekisterinpitäjän velvollisuutta. MPASSid:n välittämät tietomallin mukaiset tiedot käyttäjästä eivät sisällä erityisiä tai arkaluonteisia henkilötietoja.

Opetushallitus ylläpitää ajantasaista tietomallia ja teknistä dokumentaatiota palvelun osapuolille
wikisivuillaan: https://wiki.eduuni.fi/display/OPHPALV/MPASSid

Jos haluat kysyä lisää MPASSid:stä, voit laittaa viestiä osoitteeseen mpass@oph.fi


02.04.2024: Uusia palveluja GDPR-sovelluskirjastoon

Kivasti on saatu mukavasti uusia softia GDPR-datoineen viime viikkojen aikana. Kirjastosta löytyvät nyt myös näiden palveluiden GDPR-data selväkielisessä ja saavutettavassa muodossa: 
Tinkercad, LimeSurvey GmbH, Geogebra, WiseFlow, Spoken, Blender, Vihta-ajanvaraus, Turnitin (iThenticate, Feedback Studio, Simcheck, Similarity, iThenticate 2.0, Originality), AV1-robot, Adobe Express, Maxtech Pro and Easy, Duolingo, Cryptomator, Replit, Book Creator, Frends ja LanSchool.

Muistathan, että voit myös itse ehdottaa valmistajalle, että he syöttäisivät GDPR-tiedot Kirjastoon. Se ei maksa valmistalle mitään ja tunnukset he voivat tilata tällä lomakkeella:

 


13.03.2024: Tietosuojaseloste, käyttöehdot ja palvelukuvaus päivitetty

Uuden DPIA-työkalun julkaisemisen myötä olemme päivittäneet myös tietosuojaselosteen, käyttöehdot ja palvelukuvauksen. Keskeisin muutos löytyy käyttöehtojen kohdasta 8.1. Immateriaalioikeudet, johon on lisätty seuraava lause:

"Käyttäjän työn tuloksina syntyvät DPIA/ vaikutustenarvioinnit kuuluvat käyttäjälle ja palveluntarjoaja
käsittelee niitä vain palveluntarjoajan palvelun tarjoamiseksi kyseiselle käyttäjälle."

Tietosuojakuvauksen ja käyttöehdot löydät Sovelluskirjaston pääsivulta "Osta jäsenyys"-alkuisesta tekstikentästä. Palvelukuvauksen lähetämme tarjouksen liitteenä tai saat sen lähettämällä viestin: soili at sovelluskirjasto.fi


08.02.2024: DPIA-työpajat

Uusi DPIA-työkalu julkaistiin 29.2.

Työkalu löytyy GDPR-sovelluskirjaston ylävalikosta. Sen avulla tietosuojan vaikutustenarviointiprosessit nopeutuvat ja tehostuvat. DPIA-työkalu:
* hyödyntää Tietosuojavaltuutetun lomakepohjien tietorakennetta,
* hakee softakohtaiset tiedot suoraan GDPR-kirjastosta,
* kysyy täyttäjältä oikeat kysymykset oikeassa kohdassa prosessia ja
* tarjoaa valmiita mallivastausvaihtoehtoja muokattavaksi.

DPIA-työpajoissa työstetään tietosuojan vaikutustenarviointeja

Maksuttomat DPIA-työpajat on tarkoitettu GDPR-sovelluskirjaston ja siihen liittyvän DPIA-työkalun käyttäjille. Huhti-toukokuussa kokoonnutaan DPIA-työpajoihin tekemään vaikutustenarviointeja yhdessä torstaisin klo 10-11.30. Työpajoihin ei tarvitse ilmoittautua ennakkoon, klikkaa sisään: https://ilonait.adobeconnect.com/gdpr/ 

Työpajoissa kukin osallistuja aloittaa tai jatkaa oman DPIA-työskentelyn . Ideana on, että työskentelyn aikana voi kysyä neuvoa ja voidaan yhdessäkin pohtia vastauksia ja askarruttavia kysymyksiä. Työpajojen fasilitaattorina toimii Soili Meklin, joka kokoaa myös mahdolliset auki jääneet kysymykset, kysyy niihin vastaukset ja toimittaa osallistujille työpajan jälkeen.

Yhteistyöskentelyssä syntyneitä DPIA-pohjia on mahdollista jakaa muiden käyttäjien kesken idealla "tee itse yksi DPIA, saat kollegoilta monta mallipohjaa".


30.12.2023: Opetushallituksen lausunto Espoon Google-caseen liittyen

Opetushallitus on antanut Espoon kaupungin pyynnöstä lausunnon korkeimmalle hallinto-oikeudelle tietosuojaa koskevassa valitusasiassa ns. Google-casessa (dnro: 2181/03.04.04.04.01/2023). Julkaisemme lausuntolinkin tässä sen ennakkotapausmerkityksen vuoksi.


10.11.2023: Hankintojen tietosuoja -koulutukset

Valtionhallinnon eOppiva-ympäristössä on julkaistu kaksi kaikille avointa hankintojen tietosuojaan liittyvää koulutusta:
Tietosuoja hankinnoissa >>
Tietosuojan vaikutustenarvioinnit osana hankintaa >>


23.10.2023: Uusi toiminto: Suosikkien lisäys

Kirjastoon on lisätty ominaisuus, jolla tuotteita voi merkata käyttäjäkohtaisesti suosikeiksi. Tämä tapahtuu tuoterivin lopussa olevaa tähteä klikkaamalla.

Tämän jälkeen voi tuotteet järjestää yksilölliseen järjestykseen siten, että omat suosikkituotteet ovat listan yläosassa eikä niitä tarvitse etsiä muiden tuotteiden joukosta.


19.10.2023: Toiminta tietoturvaloukkaustilanteissa

Miten tietoturvaloukkauksen vakavuus arvioidaan?
Milloin loukkauksesta on ilmoitettava valvontaviranomaiselle ja rekisteröidyille?
Mihin muihin toimenpiteisiin rekisterinpitäjän on ryhdyttävä?

Mm. näihin kysymyksiin saat vastauksen katsomalla tallenteen, joka on tehty 19.10.2023 tietosuoja-asiantuntija Harto Pönkän pitämästä webinaarista: https://ilonait.adobeconnect.com/p7bmqak3x4f7/
Materiaalilinkki tässä >>


18.10.2023: Henkilötietojen käsittely alakoulussa

Generation AI (GenAI) STN-hanke on julkaissut syksyllä 2023 oppaan Henkilötietojen käsittely alakoulussa. Kyseessä on hankkeessa työskentelevien alan johtavien tutkijoiden tekemä tiivistelmä lainsäädännöstä tällä alueella.

Sisällysluettelo
1. Lasten henkilötietojen käsittely perusopetuksessa
1.1 Rekisterinpitäjä huolehtii tietosuojaperiaatteiden toteutumisesta
1.2. Henkilötietojen käsittelyperusteena perusopetuksessa on lähtökohtaisesti laki
1.3. Suostumus käsittelyperusteena ja lapsen suostumus
2. Kolmannen tahon tarjoaman sovelluksen käyttö opetuksessa
2.1 Henkilötietojen käsittelyperuste sovellusten kohdalla
2.2 Huolellinen informointi
3. Käytännön esimerkkejä
3.1 Sähköiset opetusohjelmat ja henkilötietojen käsittelyperuste
3.2 Sovellukset opetuksessa – kuka päättää?

Opas löytyy tästä linkistä >>


13.10.2023: Vaikutustenarvioinnin malli

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä tilanteissa, joissa riskit on arvioitava korkeiksi. Tässä tallennelinkki 13.10.2023 pidettyyn webinaariin, jossa tietosuoja-asiantuntija Harto Pönkä kävi lyhyesti läpi vaikutustenarvioinnin mallin ja siihen liittyviä kysymyksiä: https://ilonait.adobeconnect.com/pwr8p4zrzohm/
Materiaalilinkki tässä >>


26.09.2023: Millainen on hyvä riskianalyysi?

Tässä 26.9.2023 tallennetussa webinaarissa tietosuoja-asiantuntija Harto Pönkä kertoo tietosuojaperiaatteista sekä perehdyttää riskianalyysiin, jonka avulla rekisterinpitäjä tunnistaa jo suunnitteluvaiheessa ne toimenpiteet, joihin sen on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi.

Tallenne: https://ilonait.adobeconnect.com/puwoddcwsvwg/ 


21.09.2023: Mitä tulee huomioida sovellusten osalta osoitusvelvollisuuden täyttämiseksi?

Tässä 21.9.2023 tallennetussa webinaarissa tietosuoja-asiantuntija Harto Pönkä käy läpi rekisterinpitäjän velvollisuuksia, jotka liittyvät verkkopalvelujen ja sovellusten käyttöön. Erityishuomio on siinä, mitä asioita tulee selvittää ja huomioida osoitusvelvollisuuden täyttämiseksi. Webinaarissa sivutaan myös henkilötietojen siirtoa EU- ja ETA-alueen ulkopuolelle.

Tallenne: https://ilonait.adobeconnect.com/pkdrvukm2ogk/ 


Tilaa uutisten RSS-syöte