Pilvipalveluiden tietoturvallinen käyttö
Pilvipalveluilla tarkoitetaan tässä ohjeistuksessa Metropolian käytössä olevia pilvipalveluita, jotka ovat Google Workspace for Education (esim. Google Drive ja Google Meet). & Microsoft Office 365 Education (esim. Microsoft OneDrive, SharePoint, Teams ja Stream). Kumpaakin pilvipalveluun sisältyy useampi tuoteperheeseen kuuluvia sovelluksia, joihin samaa ohjeistusta tiedon tallentamisessa ja käsittelyssä sovelletaan.
1. Mitä pilveen saa tallentaa?
Tutustu Metropolian pilvipalveluiden käyttöehtoihin, jossa määritellään tarkemmin mitä pilveen saa ja ei saa tallentaa.
Pilvipalveluiden ehtojen lisäksi pilveen ei saa tallentaa salassa pidettävää tietoa kuten,
- Tenttivastaukset ja muu koesuoritus, mukaan lukien erilaiset harjoitustyöt ja näyttökokeet, sekä suorituksiin tehdyt arvostelumerkinnät. Arvosanat ja pisteytykset ovat kuitenkin julkisia, eli niitä saa tallentaa pilveen.
- Arkaluonteiset henkilötietoja, jota on muun muassa;
- Opiskelijan henkilökohtaisten ominaisuuksien sanallista arviointia koskevia tietoja
- Tiedot henkilön terveydentilasta, vammaisuudesta, terveydenhuollon tai sosiaalihuollon asiakkuudesta tai kuntoutuksesta (esim. hakemukset ja päätökset erityisjärjestelyistä opinnoissa)
- Tiedot henkilön vuosituloista tai kokonaisvarallisuudesta taikka tuen tai etuuden perusteena olevista tuloista ja varallisuudesta taikka jotka muutoin kuvaavat hänen taloudellista asemaansa
Lisätietoa mitkä tiedot ja/tai asiakirjat ovat salassa pidettäviä löytyy Julkisuuslain (621/1999) (laki viranomaisen toiminnan julkisuudesta) 24 §. Etenkin opetushenkilökunnan on otettava huomioon 24 § pykälän kohdat 21, 22, 30, jotka liittyvät opetuksessa käsiteltäviin asiakirjoihin. Muun muassa opinnäyte, tutkimus, kehittämistöihin liittyvien tietojen käsittelyssä on noudatettava salassapitoa, jotta se ei aiheuta haittaa tutkimukselle tai toimeksiantajalle. Sama pätee tietoihin, jotka kokeen tai tentin toteutuksen kannalta vaarantaisi toteutuksen. Sekä oppilaaseen liittyvissä asiakirjoissa kuten opetuksen vapautukseen, koesuoritukseen, todistukseen tai muita asiakirjoja, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia.
Muut hallinnollisesti oleelliset 24 § pykälän kohdat ovat 6, 7, 8, 11, 16, 17, 20, 23, 25. Tiedon omistaja/käsittelijä on vastuussa tiedon luokittelusta.
Alla olevan aineiston tallennus ja käsittely taulukon on tarkoitus selventää Metropolian linjausta pilvipalveluiden käytöstä ja etenkin sitä mitä kyseisissä sovelluksissa/järjestelmissä saa julkaista ja tallentaa.
2. Ovatko kaikki henkilötiedot salassa pidettäviä?
Kaikki henkilötiedot eivät ole suoraan salassa pidettävää tietoa. Esimerkiksi kurssin läsnäolotiedot ja opiskelijanumeroita sisältävät tiedostot voi tallentaa pilveen.
Erikseen luokiteltu arkaluonteiset henkilötiedot ovat aina salassa pidettäviä. Metropoliassa arkaluonteiset henkilötiedot ovat yleensä terveystietoja. Niiden käsittelyyn pitää kiinnittää erityistä huomiota, koska tietoverkkorikolliset ovat havainneet niiden korkean markkina-arvon.
3. Tiedostojen jakaminen pilvisovelluksissa
Kun jaat tiedostoja Googlen tai Microsoftin pilvipalveluista, noudata seuraavia sääntöjä. Näitä sääntöjä on noudatettava ilman poikkeuksia tietoturvan takaamiseksi.
- Kun jaat tiedoston tai kansion metropolialaiselle (henkilökunta, opiskelija, sidosryhmät ym), käytä ainoastaan hänen Metropolian pilvipalvelutiliään, älä ulkopuolista sähköpostiosoitetta. Käyttöoikeus pilvipalveluihin on jokaisen Metropolialaisen saatavilla, mahdollisen ongelman ilmetessä ratkaisu löytyy ottamalla yhteyttä Helpdeskiin. Jos kohtaat ongelman, älä ratkaise sitä jakamalla pilvipalveluista materiaalia Metropolian ulkopuoliseen sähköpostiosoitteeseen.
- Kun jaat tiedoston tai kansion Metropolian ulkopuoliselle yhteistyökumppanille, käytä hänen oman organisaationsa (työpaikkansa tai oppilaitoksensa) sähköpostiosoitetta, älä esim. gmail-osoitetta tai muita henkilökohtaiseen käyttöön tarkoitettuja sähköpostiosoitteita.
- Älä jaa tiedostoja tai kansioita niin, että kuka tahansa linkin haltija pääsee niihin käsiksi (esim. Microsoftin pilvipalveluissa älä valitse vaihtoehtoa Anyone with the link vaan Specific people tai People in Metropolia Ammattikorkeakoulu Oy with the link)
- Käytä Microsoftin pilvipalveluissa "Expiration date", jolla pystyy päättämään linkin voimassaoloajan.
Lisätietoa pilvipalveluista.
4, Huomioita tietosuojaan liittyen, koskee erityisesti kyselyjä ja etähaastatteluja:
Kun teet kyselyä, esimerkiksi opinnäytetyötä tai tutkimusta varten, ja kysely sisältää henkilötietoja, ota huomioon, että kyselyiden toteuttamiseksi on suositeltavaa käyttää E-lomakeohjelmistoa. Metropoliassa Googlen ja Microsoftin työkaluja saa käyttää luottamuksellista aineistoa käsiteltäessä korkeakoulun tiedonluokittelukäytäntöjen mukaisesti. E-lomaketta on käytettävä salassa pidettävän aineiston keräämiseksi, esimerkiksi haastattelussa, jossa kerätään arkaluonteisia henkilötietoja. Tarkemmin Metropolian tiedonluokittelukäytännöistä pääset lukemaan tästä ohjeesta.
- Riippuen haastattelun ja opinnäytetyösi aiheen sensitiivisyydestä, sinun tulee valita, teetkö etähaastattelun Zoom- vai Teams-ohjelmalla. Pääasiassa haastattelut ovat luottamuksellisia. Silloin voit käyttää haastattelun tekemiseen Teams-ohjelmaa ja muita Microsoftin työkaluja halutessasi. Mikäli olet pitämässä haastattelua, jossa potentiaalisesti jaetaan erityisiin henkilötietoryhmiin kuuluvia tietoja, toisin sanoen arkaluonteisia henkilötietoja, sinun tulee käyttää haastattelun tekemiseen Zoom-palvelua. Seuraa silloin Zoom-ohjeen mukaisia ohjeita, koska Metropolian pilvipalveluissa ei saa käsitellä salassa pidettävää tietoa, mikäli sen riittävästä turvallisuudesta ei voida varmistua, esimerkiksi varmuuskopioinnin suhteen tiedon tuhoutumisen varalta.
Jos pilvipalveluiden käytöstä tulee kysymyksiä laita viestiä tietoturva@metropolia.fi tai helpdesk@metropolia.fi
1 Comment
Unknown User (kimmosv)
Metropolian tietosuojavastaavan tarkentava kommentti siitä mikä luokitellaan salassa pidettäväksi.
Suomessa julkisuuslaki on se, mikä pitkälti määrittelee, mikä tieto on salassapidettävää tietoa tai mikä asiakirja sisältää salassapidettävää tietoa ja mikä taas ei ole salassapidettävää tietoa.
Mitä julkisuuslaissa viranomaisesta säädetään, koskee myös julkista tehtävää hoitavia yliopistoja ja ammattikorkeakouluja.
Julkisuuslain 24§ sisältää luettelon niistä asiakirjoista, jotka ovat viranomaisen (ja julkista tehtävää hoitavan ammattikorkeakoulun) salassapidettäviä asiakirjoja. Asiakirjan käsite on laaja. Esimerkiksi sähköpostiviesti, kun sen lähettäjä on Metropolia Ammattikorkeakoulun opiskelija- ja hakijapalvelut, on julkisuuslain mukainen viranomaisen asiakirja.
Julkisuuslain 24§ luetellaan salassapidettäväksi asiakirjat, jotka muun muassa sisältävät tietoa:
- yksityisestä liikesalaisuudesta;
- asiakirjat, jotka koskevat opinnäytetyön tai tieteellisen tutkimuksen suunnitelmaa tai perusaineistoa taikka teknologista tai muuta kehittämistyötä tai niiden arviointia, jollei ole ilmeistä, että tiedon antaminen niistä ei aiheuta opinnäytetyön, tutkimuksen tai kehittämistyön suorittamiselle taikka niiden hyödyntämiselle tai sen asianmukaiselle arvioinnille tai tutkijalle taikka tutkimuksen tai kehittämistyön toimeksiantajalle haittaa;
- asiakirjat, jotka sisältävät tietoja pääsy- tai muusta kokeesta tai testistä, jos tiedon antaminen vaarantaisi kokeen tai testin tarkoituksen toteutumisen tai testin käyttämisen vastaisuudessa;
- asiakirjat, jotka sisältävät tietoja henkilön vuosituloista tai kokonaisvarallisuudesta taikka tuen tai etuuden perusteena olevista tuloista ja varallisuudesta taikka jotka muutoin kuvaavat hänen taloudellista asemaansa, sekä ulosottoviranomaisen asiakirjat siltä osin kuin ne sisältävät sellaisia tietoja, jotka ulosottorekisteriin merkittyinä olisivat ulosottokaaren mukaan salaisia, sekä tiedot luonnollisesta henkilöstä ulosottovelallisena ja ulosottoselvitys;
- asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta tai työhallinnon henkilöasiakkaasta sekä tämän saamasta etuudesta tai tukitoimesta taikka sosiaalihuollon palvelusta tai työhallinnon henkilöasiakkaan palvelusta taikka tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka tietoja henkilön seksuaalisesta käyttäytymisestä ja suuntautumisesta;
- asiakirjat, jotka sisältävät tietoja henkilölle suoritetusta psykologisesta testistä tai soveltuvuuskokeesta tai sen tuloksesta taikka asevelvollisen sijoittamista tai työntekijän valintaa tai palkkauksen perustetta varten tehdyistä arvioinneista;
- oppilashuoltoa ja oppilaan opetuksesta vapauttamista koskevat asiakirjat, oppilaan ja kokelaan koesuoritukset sekä sellaiset oppilaitoksen antamat todistukset ja muut asiakirjat, jotka sisältävät oppilaan henkilökohtaisten ominaisuuksien sanallista arviointia koskevia tietoja, samoin kuin asiakirjat, joista ilmenee ylioppilastutkintolautakunnan määräämien arvostelijoiden arvostelutehtäviä koskeva koulukohtainen työnjako, kunnes on kulunut vuosi kyseisestä tutkintakerrasta;
- asiakirjat, jotka sisältävät tiedon henkilön ilmoittamasta salaisesta puhelinnumerosta tai tiedon matkaviestimen sijaintipaikasta, samoin kuin asiakirjat, jotka sisältävät tiedon henkilön kotikunnasta ja hänen siellä olevasta asuinpaikastaan tai tilapäisestä asuinpaikastaan samoin kuin puhelinnumerosta ja muista yhteystiedoista, jos henkilö on pyytänyt tiedon salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä terveyden tai turvallisuuden tulevan uhatuksi;
- asiakirjat, jotka koskevat Suomessa oleskelevaa ulkomaalaista, jos on perusteltu syy epäillä, että tiedon antaminen niistä vaarantaa asianosaisen tai hänen läheisensä turvallisuuden;
- asiakirjat, jotka sisältävät tietoja henkilön poliittisesta vakaumuksesta tai tietoja henkilön yksityiselämän piirissä esittämistä mielipiteistä taikka tietoja henkilön elintavoista, osallistumisesta yhdistystoimintaan tai vapaa-ajan harrastuksista, perhe-elämästä tai muista niihin verrattavista henkilökohtaisista oloista