Pilvipalveluiden tietoturvallinen käyttö
Pilvipalveluilla tarkoitetaan tässä ohjeistuksessa Metropolian käytössä olevia pilvipalveluita, jotka ovat Google Workspace for Education (esim. Google Drive ja Google Meet). & Microsoft Office 365 Education (esim. Microsoft OneDrive, SharePoint, Teams ja Stream). Kumpaakin pilvipalveluun sisältyy useampi tuoteperheeseen kuuluvia sovelluksia, joihin samaa ohjeistusta tiedon tallentamisessa ja käsittelyssä sovelletaan.
1. Mitä pilveen saa tallentaa?
Tutustu Metropolian pilvipalveluiden käyttöehtoihin, jossa määritellään tarkemmin mitä pilveen saa ja ei saa tallentaa.
Pilvipalveluiden ehtojen lisäksi pilveen ei saa tallentaa salassa pidettävää tietoa kuten,
- Tenttivastaukset ja muu koesuoritus, mukaan lukien erilaiset harjoitustyöt ja näyttökokeet, sekä suorituksiin tehdyt arvostelumerkinnät. Arvosanat ja pisteytykset ovat kuitenkin julkisia, eli niitä saa tallentaa pilveen.
- Arkaluonteiset henkilötietoja, jota on muun muassa;
- Opiskelijan henkilökohtaisten ominaisuuksien sanallista arviointia koskevia tietoja
- Tiedot henkilön terveydentilasta, vammaisuudesta, terveydenhuollon tai sosiaalihuollon asiakkuudesta tai kuntoutuksesta (esim. hakemukset ja päätökset erityisjärjestelyistä opinnoissa)
- Tiedot henkilön vuosituloista tai kokonaisvarallisuudesta taikka tuen tai etuuden perusteena olevista tuloista ja varallisuudesta taikka jotka muutoin kuvaavat hänen taloudellista asemaansa
Lisätietoa mitkä tiedot ja/tai asiakirjat ovat salassa pidettäviä löytyy Julkisuuslain (621/1999) (laki viranomaisen toiminnan julkisuudesta) 24 §. Etenkin opetushenkilökunnan on otettava huomioon 24 § pykälän kohdat 21, 22, 30, jotka liittyvät opetuksessa käsiteltäviin asiakirjoihin. Muun muassa opinnäyte, tutkimus, kehittämistöihin liittyvien tietojen käsittelyssä on noudatettava salassapitoa, jotta se ei aiheuta haittaa tutkimukselle tai toimeksiantajalle. Sama pätee tietoihin, jotka kokeen tai tentin toteutuksen kannalta vaarantaisi toteutuksen. Sekä oppilaaseen liittyvissä asiakirjoissa kuten opetuksen vapautukseen, koesuoritukseen, todistukseen tai muita asiakirjoja, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia.
Muut hallinnollisesti oleelliset 24 § pykälän kohdat ovat 6, 7, 8, 11, 16, 17, 20, 23, 25. Tiedon omistaja/käsittelijä on vastuussa tiedon luokittelusta.
Alla olevan aineiston tallennus ja käsittely taulukon on tarkoitus selventää Metropolian linjausta pilvipalveluiden käytöstä ja etenkin sitä mitä kyseisissä sovelluksissa/järjestelmissä saa julkaista ja tallentaa.
2. Ovatko kaikki henkilötiedot salassa pidettäviä?
Kaikki henkilötiedot eivät ole suoraan salassa pidettävää tietoa. Esimerkiksi kurssin läsnäolotiedot ja opiskelijanumeroita sisältävät tiedostot voi tallentaa pilveen.
Erikseen luokiteltu arkaluonteiset henkilötiedot ovat aina salassa pidettäviä. Metropoliassa arkaluonteiset henkilötiedot ovat yleensä terveystietoja. Niiden käsittelyyn pitää kiinnittää erityistä huomiota, koska tietoverkkorikolliset ovat havainneet niiden korkean markkina-arvon.
3. Tiedostojen jakaminen pilvisovelluksissa
Kun jaat tiedostoja Googlen tai Microsoftin pilvipalveluista, noudata seuraavia sääntöjä. Näitä sääntöjä on noudatettava ilman poikkeuksia tietoturvan takaamiseksi.
- Kun jaat tiedoston tai kansion metropolialaiselle (henkilökunta, opiskelija, sidosryhmät ym), käytä ainoastaan hänen Metropolian pilvipalvelutiliään, älä ulkopuolista sähköpostiosoitetta. Käyttöoikeus pilvipalveluihin on jokaisen Metropolialaisen saatavilla, mahdollisen ongelman ilmetessä ratkaisu löytyy ottamalla yhteyttä Helpdeskiin. Jos kohtaat ongelman, älä ratkaise sitä jakamalla pilvipalveluista materiaalia Metropolian ulkopuoliseen sähköpostiosoitteeseen.
- Kun jaat tiedoston tai kansion Metropolian ulkopuoliselle yhteistyökumppanille, käytä hänen oman organisaationsa (työpaikkansa tai oppilaitoksensa) sähköpostiosoitetta, älä esim. gmail-osoitetta tai muita henkilökohtaiseen käyttöön tarkoitettuja sähköpostiosoitteita.
- Älä jaa tiedostoja tai kansioita niin, että kuka tahansa linkin haltija pääsee niihin käsiksi (esim. Microsoftin pilvipalveluissa älä valitse vaihtoehtoa Anyone with the link vaan Specific people tai People in Metropolia Ammattikorkeakoulu Oy with the link)
- Käytä Microsoftin pilvipalveluissa "Expiration date", jolla pystyy päättämään linkin voimassaoloajan.
Lisätietoa pilvipalveluista.
4, Huomioita tietosuojaan liittyen, koskee erityisesti kyselyjä ja etähaastatteluja:
- Kun teet kyselyä esimerkiksi opinnäytetyötä tai tutkimusta varten ja kysely sisältää henkilötietoja, ota huomioon, että kyselyiden toteuttamiseksi on suositeltavaa käyttää E-lomakeohjelmistoa. Kyselyitä ei suositella tehtävän Google Formsilla tai Microsoft Formsilla, koska tiedot näistä tallentuvat pilvipalveluun ja tällöin kyseessä voi olla henkilötietojen siirto EU/ETA-alueen ulkopuolelle, joka on tietosuojalainsäädännön mukaan lähtökohtaisesti ongelmallista.
- Jos toteutat etähaastattelua, joka on tarkoitus tallentaa, ota huomioon, että Zoom-verkkokokoustyövälineen käyttö on tässä yhteydessä pakollista. Zoom -tallenne ei mene pilvitallennukseen, vaan oletusarvoisesti Zoom -tallenne menee vain käyttäjän oman tietokoneen lokaalille C-verkkolevyasemalle. Microsoft Teams -verkkokokoustyövälineellä tallennusta tehtäessä tallennus tapahtuu oletusarvoisesti pilvitallennuksena. Ohjeeseen pääset täältä.
Jos pilvipalveluiden käytöstä tulee kysymyksiä laita viestiä tietoturva@metropolia.fi tai helpdesk@metropolia.fi
- Created by Unknown User (kimmosv), last modified on 1.1.2023