EU:n yleinen tietosuoja-asetus, tuttavallisimmin GDPR (General Data Protection Regulation), aiheutti vuonna 2018 monessa organisaatiossa pelonsekaisia tunteita, ja aiheesta uutisoitiin taukoamatta. Lyhykäisyydessään asetuksella suojataan yksilöiden tietosuojaa asettamalla tiukemmat raamit henkilötietojen käsittelyyn.
Nyt melkein vuosi GDPR:n voimaantulon jälkeen on hyvä aika nostaa aihe taas esille ja käydä läpi millaisia käytännön velvoitteita GDPR tuo verkko-oppimisympäristön (LMS) pitäjälle. Moodle tarjoaa 3.5. päivityksestä lähtien GDPR -työkalut sisäänrakennettuna, joilla varmistat, että tietosuojavaatimukset täyttyvät.
Suosittelemme kahta eri tapaa noudattaa GDPR:ää. Verkko-oppimisympäristön pitäjän kannalta tärkein kysymys on kuka oppimisympäristöä käyttää?
1. Verkko-oppimisympäristö on sisäisessä käytössä
Jos verkko-oppimisympäristö on sisäisessä käytössä, tai pääasiallinen käyttäjäkunta ovat osa organisaatiota, GDPR -työkaluja ei välttämättä tarvitse ottaa käyttöön moodlessa.
Tilanteissa joissa järjestelmä on organisaation sisäinen, ja siihen ei pääse avoimesti luomaan tunnuksia, voi riittää että tietosuojaseloste on linkitettynä etusivulta. Monesti verkko-oppimisympäristöt ovat pääsääntöisesti organisaation sisäisiä, mutta järjestelmää käyttävät myös jotkut ulkopuoliset tahot. Tällaisissa tilanteissa ei ole järkevää vaikeuttaa kaikkien käyttäjien käyttökokemusta, vaan jopa suullinen suostumus henkilötietojen käsittelystä voi riittää.
Useimmissa tapauksissa työsopimus, taikka oppilaitoksessa täytettävä tietosuojalomake antavat riittävät oikeudet henkilötietojen käsittelyyn, eikä näin ollen moodlen GDPR -työkaluja tarvitse ottaa käyttöön.
2. Verkko-oppimisympäristö on avoimessa käytössä
Jos verkko-oppimisympäristö on avoimessa käytössä, ja järjestelmään voi kuka tahansa luoda käyttäjätunnukset, vaaditaan jo enemmän toimia. Avoimissa oppimisympäristöissä jokaiselta käyttäjältä vaaditaan ensimmäisellä kerralla hyväksyttävä tietosuojaseloste. Tämä tarkoittaa, että käyttäjä tutustuu organisaation tietosuojaselosteen ja merkitsee hyväksyvänsä sen. Vasta sen jälkeen järjestelmään pääsee kirjautumaan.
Lisäksi organisaation tulee nimetä tietosuojavastaava, joka käsittelee mahdolliset tietopyynnöt. GDPR:n mukaan henkilö voi pyytää henkilökohtaiset tietonsa nähtäväksi tai poistettavaksi järjestelmästä. Tietosuojavastaava voi hyväksyä tietopyynnön yhdellä napin painauksella ja Moodlen GDPR -työkalut hoitavat lopun automaattisesti.
Esimerkki tällaisesta järjestelmästä on Mediamaisterin oma maistericloud.com demoympäristö, johon kuka tahansa pääsee rekisteröitymään. GDPR -työkalut varmistavat että tietosuojaseloste hyväksytään, ennen kuin järjestelmään pääsee sisälle. Lisäksi nimetty tietosuojavastaava käsittelee mahdolliset tietopyynnöt ja tarvittaessa tietojen poistamisen järjestelmästä. Maistericloud demoympäristöstä löydät ilmaisen GDPR -verkkokurssin (vaatii rekisteröitymisen).
Kuvassa moodlen tietosuojatyökalut.
Kuvassa tietopyynnön lähettäminen moodlen kautta.
Melkein vuosi GDPR:n voimaantulon jälkeen tietosuoja-asioista ei enää puhuta yhtä aktiivisesti. Mediamaisterilla määritellään aina tietosuoja-asiat käyttöönottoprojektin aikana. Jos verkko-oppimisympäristön käyttötarkoitus muuttuu esimerkiksi sisäisestä järjestelmästä avoimeen, kannattaa GDPR -ominaisuuksien käyttöönotosta pitää tarkentava palaveri, jotta tietosuoja-asiat ovat varmasti kunnossa.
Lisätietoa moodlen GDPR -työkaluista ja tietosuojasta yleisesti löydät alla olevista linkeistä:
http://ohjeet.mediamaisteri.com/node/294
https://docs.moodle.org/36/en/GDPR