Suhtaudumme itslearningilla vakavasti rooliimme tietojen käsittelijänä. Alustamme on kehitetty Privacy by Design -periaatteen mukaisesti, mikä tarkoittaa, että tietosuoja otetaan huomioon alusta alkaen eikä vasta jälkikäteen. Jokainen uusi ominaisuus, päivitys ja integrointi arvioidaan kiinteän yksityisyyden suojan ja tietoturvan tarkistuslistan perusteella.
Teemme myös perusteellisia vaikutustenarviointeja kaikista kumppaneistamme ja alihankkijoistamme, mikä antaa kouluille varmuutta, kun ne ottavat käyttöön uusia ominaisuuksia tai työkaluja alustan sisällä.
Kunnat ovat raportoineet, että joidenkin palveluntarjoajien toimitusketjut voivat olla pitkiä ja monimutkaisia, minkä vuoksi on haastavaa ymmärtää, mitä tietoja käsitellään ja kuka niitä käsittelee. Digitaalisella oppimisvälineellä voi olla useita alihankkijoita, joilla kullakin on omat alihankkijansa.
Joitakin sovelluksia tarjoavat myös ulkomaiset yritykset, jolloin on vaikea määrittää, missä määrin henkilötietoja käsitellään.
Kaikki alihankkijamme noudattavat eurooppalaisia GDPR-standardeja, ja asiakastietoja käsitellään aina Euroopassa. Tiedot salataan, pääsyä valvotaan tiukasti ja henkilötiedot minimoidaan mahdollisuuksien mukaan.
" itslearning periaate on yksinkertainen: omiin toimintaympäristöihimme tai alihankkijoihimme ei ole pääsyä enempää kuin on ehdottoman välttämätöntä. Asiakastiedot suojataan salauksen, pääsynvalvonnan ja tietojen minimoinnin avulla." - Daniel Manne, itslearning turvallisuusvastaava.
Keskimääräisessä norjalaisessa kunnassa on tyypillisesti 50-200 järjestelmää, joissa käsitellään riskialttiita henkilötietoja. Tämä johtaa usein tietosuojaa koskevan vaikutustenarvioinnin (DPIA) vaatimukseen.
Tämän työn yksinkertaistamiseksi itslearning tarjoaa 80-prosenttisesti valmiiksi laaditun DPIA:n itslearningista, joka on kaikkien asiakkaiden käytettävissä. GDPR:n mukaisesti ylläpidämme myös jatkuvaa dokumentaatiota (Records of Processing Activities), joka antaa yleiskuvan siitä, mitä tietoja käsitellään, mihin tarkoitukseen ja millä oikeusperustalla. Tämä sujuvoittaa kuntien käsittelyä pääsyä ja poistamista koskevien pyyntöjen osalta ja varmistaa vaatimustenmukaisuuden asianmukaisen dokumentoinnin.
Kunnilla on valtava vastuu oppijoiden ja henkilöstön tietojen suojaamisesta, mutta monilla ei ole resursseja ja asiantuntemusta tämän tehtävän hoitamiseen. Tietosuojavastaavalla on ratkaiseva rooli yksityisyyden suojaa koskevien lakien noudattamisen varmistamisessa, henkilöstön opastamisessa parhaisiin käytäntöihin ja yhteyspisteenä sekä viranomaisille että yksityishenkilöille. Pienissä kunnissa tämä tehtävä ei kuitenkaan useinkaan ole oma virka, vaan ylimääräinen tehtävä, joka annetaan henkilölle, jolla on jo ennestään täysi työmäärä.
Koska koulut ovat riippuvaisia monista erilaisista digitaalisista järjestelmistä, kuntien on käytettävä paljon aikaa DPIA:n ja kunkin palveluntarjoajan pöytäkirjojen arviointiin. Tuemme asiakkaitamme avoimuudella ja selkeällä raportoinnilla, mutta mielestämme prosessin pitäisi olla yksinkertaisempi.
"Kuntien tukemiseksi katsomme, että yhteinen kansallinen tietokanta, joka sisältää 80 prosenttia valmiista DPIA-arvioinneista, paitsi yksinkertaistaa prosessia myös vahvistaa yksityisyyden suojaa ja nostaa turvallisuustasoa koko koulutusalalla." - Daniel Manne, turvallisuuspäällikkö, itslearning
Viime kädessä kyse on siitä, että kouluille annetaan mielenrauhaa, jotta ne voivat käyttää digitaalisia välineitä tarkoitukseensa: oppijat oppimisen ja kehityksen parantamiseen yksityisyyttä vaarantamatta.