GDPR, DPO ja itslearning 3

GDPR ja tietosuojasta vastaava henkilö DPO

itslearningin tietosuojasta vastaava henkilö (Data Protection Officer, DPO) John-Arthur Berg on kirjoittanut kolme merkintää tietosuojasta. Tämä merkintä on viimeinen noista kolmesta:

Anna vapauksia mutta säilytä vastuu

Olen aina ajatellut että parhaat opettajat ovat sellaisia, jotka muokkaavat menetelmiään jatkuvasti. Intohimoinen kiinnostus opetuksen digitalisointiin ei tee välttämättä erinomaista opettajaa, mutta idearikas opettaja, jolla on aito halu yhdistää digitaalisia elementtejä pedagogisin perustein opetukseen, voi aikaansaada myönteisiä muutoksia oppimistuloksiin.

Yhdysvalloissa tällaisia opettajia kutsutaan nimellä trailblazer. Sen voisi suomentaa vaikkapa tienraivaajaksi. Nämä opettajat ovat uusien käytäntöjen ja teknologioiden uranuurtajia, jotka auraavat tietä muita opettajia varten. Monissa kouluissa on tällaisia edelläkävijöitä, jotka innostuneina, mutta harkiten ottavat uusia teknologioita mukaan omaan opetukseensa.

Viime vuosina yhä useampi digitaalinen palvelu edellyttää käyttäjätilin luontia ja henkilökohtaisen tiedon luovuttamista. GDPR:n myötä oppilaitosten ja organisaatioiden johdon tulee olla valmiina vastaamaan kysymyksiin tällaisten palveluiden hallinnoinnista ja tietosuojasta. Kuinka annamme vapauksia, mutta säilytämme vastuun?

GDPR edellyttää, että

  • oppijoiden henkilökohtaista tietoa käsitellään vain oikeudellisin perustein
  • palvelun tietosuoja on asianmukainen
  • oppija ja mahdollisesti hänen vanhempansa tietävät heidän oikeutensa
  • henkilökohtaisiin tietoihin käsiksi pääsevät henkilöt käyttävät dataa tarkoituksenmukaisesti
  • oppijan henkilökohtaiset tiedot poistetaan järjestelmästä heti, kun käsittelyn perusteeet eivät ole enää voimassa

Kuinka moni ”tienraivaaja-opettajista” tietää kylliksi GDPR:stä ja pitää huolen siitä, että oppilaitoksen velvollisuudet henkilökohtaisen tiedon käsittelystä toteutuvat? Vain harva. Jatkossa valvovalla viranomaisella on GDPR:n mukaan oikeus rankaista organisaatioita, jotka luovuttavat henkilökohtaisia tietoja kolmansille osapuolille ilman oikeudellisia perusteita.

Olen sitä mieltä, että GDPR:n myötä innokkaimpia opettajia pitää ohjeistaa henkilökohtaisten tietojen käytöstä. Tilanne on ollut sama jo ennen GDPR:ää, mutta keskityn tässä ajattelemaan enemmän tulevaisuutta.

Pitäisikö meidän siis rajoittaa kaikkea teknologian käyttöä opetuksessa tietosuojarikkomusten pelossa? Ei. Mutta ehkä me voimme ratkaista ongelman.

Ensin, tarvitsemme standardeja. Yhteentoimivat standardit ovat tehokas tapa taata erilaisten ekosysteemien kehittyminen vakaalle, vakioidulle pohjalle. Aivan kuten pistorasia seinässä avaa rajattomalle määrälle laitteita mahdollisuuden toimia kodissasi.

Standardeja on olemassa myös digitaalisen oppimisen maailmassa. Yksi eniten käytetty ja laajalle levinnyt standardi on IMS LTI. Harmillisesti LTI on vaikeassa asemassa GDPR:ään nähden. LTI:n kautta henkilökohtainen tieto siirtyy kolmannen osapuolen järjestelmään ja tällä hetkellä rajapinta ei sisällä toimintoa, jolla henkilökohtaisen tiedon voisi poistaa hetkellä, jolloin käsittelyn perusteet eivät ole enää voimassa. LTI:tä tulisi laajentaa jotta oppijan oikeus pyytää tietojen poistoa voidaan toteuttaa. Lisäksi LTI:hin tulisi yhdistää metadata henkilökohtaisen tiedon käsittelyn oikeudellisesta perusteesta sekä kuvaus tietosuojan tasosta.

Jos jatkamme pistorasiavertauskuvan käyttöä, LTI on tapa jolla pistoke ja pistorasia kytkeytyvät toisiinsa.

Tästä pääsemmekin toiseen standardoinnin teemaan: ohjesääntöihin. GDPR sallii yhtenäisten käytäntöjen kehittämisen ohjelmistoille jotka käsittelevät henkilökohtaista tietoa. Yhdenmukaisen toimintatavan noudattaminen helpottaisi valtavasti oppilaitoksen johdon taakkaa, kun he voisivat luottaa siihen, että kolmannen osapuolen toimijat noudattavat GDPR:n kuvailemia yhtenäisiä käytänteitä ja sovittua tietoturvan tasoa.

Jatketaan vertauskuvalla, ohjesääntö olisi tässä yhteydessä pistokkeen ”CE”-merkintä.

Kaiken tämän ylle tarvitaan yksi yhtenäistävä alusta, jonka kautta hallinnoidaan kaikkia koulun digitaalisia työvälineitä, jotka oppilaitosjohto on sallinut käytettäväksi. Tällaisia järjestelmiä on jo olemassa ja niitä kutsutaan oppimisen ohjausjärjestelmiksi. itslearning on eräs tällainen alusta. itslearning ja vastaavat alustat voivat jo tällä hetkellä tietyin rajoituksin tarjota opettajille vapauksia vastuullisuutta unohtamatta ja auttaa heitä kehittämään omaa opetustaan erilaisia digitaalisia työvälineitä käyttäen.

Viimeinen ratkaistava ongelma hitaus, jolla oppilaitokset ehtivät hyväksyä käyttöön uusia opettajien löytämiä työvälineitä. Sopivia standardeja käyttämällä osa tästä työstä voidaan jonain päivänä jättää oppimisen ohjausjärjestelmän tehtäväksi. Oppimisen ohjausjärjestelmä voi tarjota valittuja, GDPR-yhteensopivia työvälineitä opettajien käyttöön ja helpottaa oppilaitosten päättäjien taakkaa auttamalla päätöksenteossa.

(Vertauskuvan kautta: oppimisen ohjausjärjestelmästä tulee sulakekaappi)

Oma ajatukseni GDPR:stä on, että se on erittäin hyvä asia. Se on hyväksi oppijoillemme, se on hyväksi oppilaitoksille ja koko toimialalle. Digitaalisessa oppimisessa piilee valtava potentiaali. Yksi askel jolla potentiaali saadaan käyttöön on opettajien, oppijoiden ja vanhempien luottamuksen ansaitseminen. Kun henkilökohtaisen tiedon suojaamisen käytännöt saadaan vakiinnutettua GDPR:n avulla, se hyödyttää kaikkia osapuolia.

John-Arthur Berg, DPO, itslearning

 

Avaa verkkosivu

Takaisin resursseihin

https://itslearning.com/fi/gdpr/