Lähes kahden vuoden ajan oppilaitokset ympäri maailmaa ovat joutuneet sopeutumaan ja improvisoimaan maailmanlaajuisen Covid-19-pandemian vuoksi. Etä- ja yhdistelmäopetuksesta tuli kriittisen tärkeää. Jotkin järjestelmät olivat valmiimpia kuin toiset.
Koulujärjestelmät, joilla oli jo kehittynyt digitaalinen infrastruktuuri, olivat paremmin valmistautuneita. Toiset joutuivat hankkimaan ja toteuttamaan ratkaisuja muutamassa päivässä. Käytettiin oikoteitä, ja yksityisyyden suojaan liittyvien huolenaiheiden arviointi ohitettiin usein.
Etäopiskelu on edelleen suuri osa koulutusta vuonna 2022, ja se tulee olemaan mukana lähitulevaisuudessa. Siksi on tärkeää tarkastella viime vuosien tapahtumia tietosuojasta käsin. Seuraavassa on muutamia johtopäätöksiä.
Maailmanlaajuinen pandemia ei tarkoita, että tietosuojaa koskevia toimenpiteitä voitaisiin höllentää.
Jonkin aikaa ihmiset näyttivät uskovan, että hätätilanne on tietosuojaa tärkeämpi. Digitaalisia välineitä ja sisältöä alettiin hankkia kiireesti, jotta oppilaita voitaisiin auttaa kotiopetuksessa (etäopiskelussa). Oppilaitokset kiinnostuivat valtavasti toimittajista, jotka eivät ehkä normaalisti läpäisisi tietosuojaa koskevaa tarkastelua. Eikö tämä ollutkin yleisen edun mukaista?
Nopeasti kävi kuitenkin ilmi, että jopa maailmanlaajuisen pandemian torjunnan kannalta keskeisten palvelujen oli noudatettava tietosuojaa koskevia perusperiaatteita. Norjan hallitus käynnisti nopeasti yhteystietojen jäljityssovelluksen, jonka avulla voitiin hillitä viruksen leviämistä, mutta tietosuojaviranomainen sulki sen vielä nopeammin. Maailmanlaajuinen pandemia ei ole syy suhtautua löysästi tietosuojatoimenpiteisiin.
Kun henkilötietojen ja niitä käsittelevien järjestelmien merkitys muuttuu "mukavasta" "kriittiseksi", tietosuojan merkitys kasvaa huomattavasti. Muutama vuosi sitten, jos opettajan tili hakkeroitiin ja poistettiin, hän saattoi keksiä toisen tavan pitää luokkaansa. Pandemian aikana se voisi kuitenkin tarkoittaa, että kaksi tusinaa lasta ei saisi opetusta päiväkausiin. Tietosuojan tarvetta arvioidaan suhteessa ihmisiin kohdistuviin vaikutuksiin, kun jotain tällaista kriittistä tapahtuu.
Oppimiskohde: Tietosuojaprotokollaa on vahvistettava kriisiaikoina.
Tietosuoja on myös saatavuutta
Pandemian alkuvaiheessa monet toimittajat joutuivat kärsimään järjestelmiensä äkillisistä käyttöpiikeistä. Kaikki toimittajat eivät pystyneet tukemaan olemassa olevan asiakaskuntansa lisääntynyttä tarvetta. Joissakin tapauksissa toimittajilta kesti päiviä tai jopa viikkoja ennen kuin niiden käytettävyys palautui.
Useimmat ihmiset yhdistävät tietomurron siihen, että joku murtautuu ohjelmistoon ja varastaa tietoja. GDPR:n kannalta tietomurtona voidaan kuitenkin pitää myös tietojen saatavuuden pitkäaikaista menetystä. Se riippuu siitä, miten se vaikuttaa käyttäjiin. Jos järjestelmä on ollut pimeänä päiviä, mikä on vaikuttanut olennaisesti opetuksen järjestämiseen, sitä olisi pidettävä tietomurtona. Järjestelmien ja toimittajien tarjoamat suojatoimet käytettävyysrikkomuksia vastaan olisi sisällytettävä tietosuoja-arviointiin.
Oppimiskohde: Arvioidessasi toimittajiesi turvatoimia, ota huomioon niiden kyky varmistaa saatavuus ja jatkuvuus odottamattomien, pitkittyneiden kuormitushuippujen aikana.
Monet laitokset kamppailevat edelleen perusturvallisuustoimenpiteiden kanssa
Vuonna 2020 oli (ainakin kouluissa) uusi ilmiö, jota kutsuttiin nimellä "Zoom-pommitus". Kun videoneuvottelutyökaluja käytettiin ilman valtuutusta, kokoustilojen URL-osoitteita arvaamalla käynnistettiin pahantahtoisia hyökkäyksiä. Parhaimmillaan se häiritsi käynnissä olevaa etäopiskelua: pahimmillaan se altisti oppilaat sopimattomalle sisällölle ja käytökselle. (Zoom on sittemmin lisännyt lisätoimenpiteitä, kuten turvapainikkeen, Zoom-pommituksen estämiseksi).
Jopa laitokset, jotka päästivät järjestelmiinsä vain todennetut käyttäjät, eivät olleet immuuneja hakkeroinnille ja tietomurroille. Phishing, eli käyttäjien houkutteleminen antamaan käyttäjätunnuksia ja salasanoja esittämällä laillista palvelua, oli laajalle levinnyt ilmiö. Tämä on esimerkki siitä, miksi käyttäjätunnuksen ja salasanan todennus ei riitä ja miksi tietosuojaviranomaiset suosittelevat, että henkilöstön tilit digitaalisissa oppimisympäristöissä on suojattava monitekijätodennuksella.
Oppimiskohde: Tarkista perusturvatoimenpiteet. Varmista, että otat käyttöön asianmukaisen todennuksen oppimispalveluissasi.
Monet organisaatiot eivät vieläkään ole tietoisia opiskelijoidensa ja opettajiensa oikeuksista.
Etäopetukseen siirtyminen toi monissa organisaatioissa mukanaan paljon muutoksia. Käyttöön otettiin uusia järjestelmiä ja kerättiin enemmän henkilötietoja. Joidenkin organisaatioiden kohdalla voidaan jopa väittää, että henkilötietojen käsittelyn tarkoitus muuttui. Mutta tässä prosessissa monet organisaatiot jättivät huomiotta GDPR:n noudattamisen perusteet.
Kaikilla digitaalisen oppimisympäristön käyttäjillä on tietosuojaoikeudet. Ehkä tärkein niistä on avoimuus sen suhteen, miten heidän henkilötietojaan käsitellään. Jos olet pandemian aikana muuttanut henkilötietojen käsittelytapaa, se olisi dokumentoitava avoimesti ja oltava helposti kaikkien sidosryhmien, myös oppilaiden (ja vanhempien), saatavilla.
Oppimiskohde: Arvioi GDPR:n täytäntöönpano uudelleen. Varmista, että organisaatiossasi on riittävästi osaamista henkilötietojen asianmukaiseen suojaamiseen ja käyttäjien tietosuojaoikeuksien kunnioittamiseen.
Mutta älä anna tietosuoja-asioiden estää etäopiskelua.
Tietosuoja on perusoikeus, mutta niin on myös koulutus. Tietosuojaa ei siis pitäisi käyttää tekosyynä verkko-opetuksen lopettamiselle, kun pandemian kaltainen tapahtuma tekee koulujen täydellisen aukiolon mahdottomaksi. Tietosuojaa ei pitäisi nähdä esteenä, joka vie meidät takaisin digitaalista teknologiaa edeltävään "pimeään keskiaikaan", vaan laadunvarmistusvälineenä, jolla varmistetaan, että digitaalisia palveluja voidaan tarjota turvallisesti ja luotettavasti.
Kun tämä pandemia on ohi, on tärkeää, että emme tuudittaudu itsetyytyväisyyteen. Oletetaan, että jotain tällaista voi tapahtua milloin tahansa. Valmistaudu suunnitelmiin, infrastruktuuriin ja toimittajasopimuksiin varmistaaksesi, että jos jokin muu odottamaton tapahtuma sulkee kouluja tulevaisuudessa, sinulla on jo käytössäsi tietosuojaa tukeva infrastruktuuri, jonka avulla opetus voi jatkua, vaikka koulut olisivat suljettuina.
Oppimiskohde: Laadi "koulun jatkuvuussuunnitelma", joka helpottaa sujuvaa ja tietosuojaystävällistä siirtymistä etäopiskeluun.
Me osoitteessa itslearning olemme sitoutuneet pitämään tiedot turvassa. Voit lukea lisää GDPR-sitoumuksestamme tällä sivulla: Tietosi ovat tärkeitä.
Tässä on tarkistuslista, jolla voit varmistaa GDPR:n noudattamisen koulussasi.
Katso maksuton webinaarimme ja saat lisätietoja siitä, miten voit suojata tietoja oppilaitoksessasi.