SELVITYS PÄÄTTYNYT


Johtopäätökset

  1. Mikään vaihtoehdoista (1-5) ei ole yksinkertainen ja helposti toteutettava tekninen ratkaisu, jolla pystyttäisiin helpottamaan tietojen poistamista sekä oppijoilta että henkilöstöltä.
    1. OPH ei jatka minkään esitetyn teknisen ratkaisun selvittämistä.
  2. OPH ei voi määritellä tarkkoja aikoja tietojen säilyttämiselle, koska tietosuoja-asetuksen mukaan henkilön tietojen poistaminen pitää tapahtua käsittelyperusteen lakattua ja viipymättä.

Ongelma

Nykytilassa koulutustoimijoilla (rekisterinpitäjä) ei ole tehokasta keinoa ilmoittaa viipymättä henkilötietojen käsittelijälle (palveluntarjoaja) tietojen poistamisesta käsittelyperusteen lakattua.

  • Tietosuojalainsäädännön mukaan rekisterinpitäjän eli koulutustoimijan on huolehdittava viipymättä henkilötietojen poistamisesta kolmannen osapuolen palveluista, kun koulutustoimijan oikeusperuste käsitellä henkilön tietoja on päättynyt (Tietosuoja-asetus 19 artikla).

Koulutustoimijan käsittelyperuste oppijan tai opettajan henkilötietojen käsittelylle päättyy esimerkiksi näissä tilanteissa:

  1. oppija valmistuu ja opinnot päättyvät
  2. työntekijän palvelussuhde päättyy
  3. oppija tai työntekijä muuttaa ja vaihtaa koulutustoimijaa

Miksi Opetushallitus tekee selvitystä?

  • Opetushallituksen hyvään viranomaistoimintaan voisi kuulua tietojen poistamisen helpottaminen, jos se on teknisesti ja kustannustehokkaasti toteutettavissa.
  • Tämä olisi kansallisen edun mukaista, jottei kaikkien koulutustoimijoiden ja palveluntarjoajien tarvitsisi tehdä omia ratkaisuja ja toimijakohtaisia integraatioita.

Nykytila

Koulutustoimijat ja palveluntarjoajat sopivat tietojen poistamisesta

  1. Kahdenvälisessä DPA-sopimuksessa tai
    1. 4 vuotta lisenssin umpeutumisesta, jotta mahdollistetaan paluu käyttäjäksi ja tietojen palauttaminen tarvittaessa
    2. Sopimussuhteen päätyttyä
  2. OPH:n MPASSid-käyttöehtoidoilla

    1. Palveluntarjoajan on poistettava loppukäyttäjää koskevat henkilötiedot palvelusta viipymättä…”.

    2. Koulutustoimijan on ilmoitettava palveluntarjoajalle kirjallisesti loppukäyttäjää koskevan käsittelyperusteen lakkaamisesta, mikä tavallisesti tarkoittaa koulun tai opiskelun ja siihen liittyvän aseman päättymistä.



Vaihtoehtojen kokonaisvertailua

Kyllä = Väittämä on tosi

EI = Väittämä on epätosi

Oranssiväri = vaihtoehdon kannalta kielteinen asia

Vihreä väri = vaihtoehdon kannalta hyvä asia

Vaihtoehto 1:Tekninen rajapinta palveluntarjoajalle opiskeluoikeuden voimassa olon tarkistamiseen KOSKI-palvelusta

Kuvaus: Opetushallituksen kehittämä uusi rajapintatoteutus KOSKI-palvelun tiedoille. 

Opetuksen ja koulutuksen järjestäjät ovat tallentaneet esiopetuksen, perusopetuksen, lukiokoulutuksen ja ammatillisen koulutuksen opintosuoritus- ja tutkintotiedot Koski-tietovarantoon vuodesta 2018 alkaen.

  • Opetushallitus kehittäisi uuden rajapintatoteutuksen KOSKI-palveluun.
    • Tietomallin määrittely KOSKI-tiedoista.
  • Palveluntarjoaja tekisi oman rajapintatoteutuksen KOSKI-palveluun.
    • Koulutustoimija antaisi rajapintaan käyttöoikeuden.
    • Palveluntarjoaja saisi henkilön oppijanumerolla ja oppilaitostiedolla haettua tiedot omaan järjestelmäänsä, onko henkilön opiskeluoikeus voimassa.
    • Palveluntarjoaja tekisi päättelyn ja poistaisi oppijan tiedot omasta järjestelmästä.
      • Kansallinen standardi päättelyn tekemiseen.



Vahvuudet

HeikkoudetMahdollisuudetUhat/Riskit

(plus) Hyödynnetään olemassa olevaa kansallista tietovarantoa oppijoiden opiskeluoikeuksista.

(plus) KOSKI-palvelun tietoja hyödyntämällä palveluntarjoaja voisi saada kaikkien koulutustoimijoiden tiedot haettua saman rajapintatoteutuksen kautta.

(plus) Keskitetty käyttäjähallinta virkailijan Opintopolussa, jota koulutustoimijat osaavat käyttää.

(plus) Ei aiheuta koulutustoimijoille kehittämistyötä.

(plus) Palveluntarjoajan pitäisi tehdä vain yksi rajapintatoteutus KOSKI-palvelun uuteen endpointtiin. 

(plus) Kun olisi OPH:n palvelu, niin vähentäisi osapuolien kahdenvälisiä rajapintatoteutuksia.





(minus) Ei ratkaise henkilöstön tietojen poistamista

(minus) Tarvitsee lisäselvitystä käyttötapauksittain ja koulutusmuodoittain

(minus) Esimerkiksi perusopetuksen opiskeluoikeuden voimassa olo 9 vuotta samalla koulutustoimijalla

(minus) Esimerkiksi lukion opiskeluoikeuden voimassa olo 3-4 vuotta samalla koulutustoimijalla


(star) Voisiko Opetushallitus hyödyntää samaa rajapintaa, jota HSL käyttää opiskeluoikeuden vahvistamiseen?



(error) Opiskeluoikeuksien voimassa olo on pitkä samalla koulutustoimijalla esim. toisen asteen suorittamiseen saakka. Lyhentäisikö tämä tietojen säilytysaikoja palveluissa?

(error) Perusopetuksen opiskeluoikeus voi olla voimassa koko perusopetuksen eli 9-vuosiluokan päättymiseen asti.

(error) KOSKI-tietojen perusteella päättely voi olla monimutkaista ja vaatisi lisäselvitystä. Esim. useat aktiiviset opiskeluoikeudet samalla oppijalla.


Vaihtoehto 2:Tekninen rajapinta koulutustoimijalle lähettää tiedot yhteiseen tietovarantoon ja palveluntarjoajalle poistettavaksi

Kuvaus: Opetushallituksen kehittämä uusi tietovaranto ja rajapinnat sekä koulutustoimijoille että palveluntarjoajille.

  • Opetushallitus kehittäisi kansallisen tietomallin, tietovarannon sekä rajapinnat.
  • Koulutustoimija kehittäisi oman rajapintatoteutuksen palveluun.
  • Palveluntarjoaja kehittäisi oman rajapintatoteutuksen palveluun.



Vahvuudet

HeikkoudetMahdollisuudetUhat/Riskit

(plus) Perustuisi koulutustoimijan oppilashallinnon ja henkilöstön tietoihin.

(plus) Voisi määritellä tietojen poistamiseen sopivan tietomallin.

(plus) Kun olisi OPH:n palvelu, niin vähentäisi osapuolien kahdenvälisiä rajapintatoteutuksia.


(minus) Ei perustu mihinkään olemassa olevaan palveluun, tietovarantoon, yleiskäyttöiseen toteutukseen.

(minus)Kustannuksiltaan kallein vaihtoehto.

(minus) OPH:n, koulutustoimijan sekä palveluntarjoajan on tehtävä omat rajapintatoteutukset.

(minus) Uusi tietovaranto ja henkilörekisteri Opetushallitukselle ylläpidettäväksi. Tietojen säilytysajat yms.



(star) Keskitetty käyttäjähallinta virkailijan Opintopolussa.

(star) Tietojen poistamisen päättely on varmempaa, kun koulutustoimija antaa itse tiedot poistamiselle.

(error) Pystyykö/ toteuttaisivatko kunnat oman rajapintatoteutuksen?

 (error) Kustannuksia syntyy kunnille.

Vaihtoehto 3: Muut olemassa olevat ratkaisut

3.1 OneRoster

Kuvaus: OneRoster rajapintakuvaus (kansainvälinen rajapintastandardi), jota Digione-hankkeet hyödyntävät palveluntarjoajien kanssa.

  • OneRoster speksi määrittää lähtökohtaisesti lähes kaikille rajapinnan esineille kentän, jossa voidaan asettaa tietojen statukseksi "to be deleted".

  • Tätä parametriä voisi sopimuksellisesti käyttää siihen että näin merkitty tieto tulisi poistaa tietojenkäsittelysopimuksen mukaisesti ulkoisesta järjestelmästä.

  • Tätä ominaisuutta ei ole määritelty tuotantonäkökulmasta, mutta valmius asiaan on OneRoster toteutuksen näkökulmasta. 

Vahvuudet

HeikkoudetMahdollisuudetUhat/Riskit

(plus) Olemassa oleva ratkaisu koulutustoimijoiden ja palveluntarjoajien välillä.

(plus) Digione-hanke hyödyntää jo ratkaisua ja tulee käyttöön Digione-hankkeessa mukana oleville koulutustoimijoille.

 


(minus) Ei ole kansallinen ratkaisu. Vain DigiOne-kunnissa mahdollista käyttää.


(star) Rajapintakuvaus sisältää mahdollisuuden tehdä palveluntarjoajalle tietokenttäkohtaisesti poistopyyntö.


(error) Vain osalle koulutustoimijoista käyttöön tuleva ratkaisu.


3.2 x-API 

Kuvaus: xAPI (kansainvälinen rajapintastandardi), jolla koulutustoimija voi hakea oppimispalvelusta tiedot omaan opintosuoritusjärjestelmään.

  • xAPI-toteutus perustuu siihen, että tämän rajapintastandardin avulla toimija saa oppimispalveluista tiedot haettua omaan opintosuoritusjärjestelmään (Learning Record Store, LRS), jossa koulutustoimija pystyy esimerkiksi tiedolla johtamisen tarpeisiin itse käsittelemään dataa.

  • LRS:ssä eikä ota kantaa siihen, miten lähdejärjestelmät hoitavat tiedonsäilytystä xAPIn ulkopuolella. 

  • xAPI ei ole kehitetty tietojen poistamisen käyttötarkoituksen lähdejärjestelmästä.

Vahvuudet

HeikkoudetMahdollisuudetUhat/Riskit

(plus) Osa koulutustoimijoista käyttää jo xAPI:n mukaista rajapintatoteutusta



(minus) Perustuu siihen, että xAPI-rajapintastandardin avulla koulutustoimijat voivat hakea tiedot omaan opintosuoritusjärjestelmään (LRS)

(minus) Ei ota kantaa siihen, miten lähdejärjestelmien pitäisi poistaa tiedot.

(minus) Ei ole  kehitetty alun perin tietojen poistamiseen



(star) Saattaisi taipua myös tietojen poistamiseen, jos yhteinen rakenne tietojen poistamiseen löydettäisiin

(error) Ei ole laajasti hyödynnetty tällä hetkellä koulutustoimijoiden keskuudessa.

(error) Vaatii koulutustoimijalta osaamista ja oman toteutuksen.

Vaihtoehto 4: Suorat kyselyt MPASSid:n kautta käyttäjähakemistoihin (backchannel kyselyt)

Kuvaus: SCIM-protokollan hyödyntäminen MPASSid-palvelussa.

  • SCIM-protokollaa hyödyntämällä palveluntarjoaja tekee kyselyn MPASSid:n ja MPASSid kysyy koulutustoimijalta, onko käyttäjätili voimassa.
  • Palveluntarjoajan tulkinta perustuu virheviestiin, jonka palveluntarjoaja saa, kun kysyy onko henkilön käyttäjätili käyttäjähakemistossa voimassa.
  • Käyttäjän yksilöinnin pitäisi perustua sekä oppijanumeroon että oppilaitostunniste.

Vahvuudet

HeikkoudetMahdollisuudetUhat/Riskit

(plus) Hyödynnetään olemassa olevia ratkaisuja ja MPASSid:tä.



(minus) Kyselyjä ei voida käyttää kaikissa MPASSid-organisaatioiden integraatiotyypeissä.

(minus) Ei sovi ADFS:ään eikä GOOGLE-integraatiotyypeille, koska OPH:lla ei ole käyttäjähakemistoon avaimia.

(minus) Samassa kunnassa oppilaalla voi olla samat tunnukset käytössä esiopetuksesta toisen asteen loppuun asti → ei auttaisi tietojen poistamisessa palveluita?


(star) SCIM-protokollan hyödyntäminen edellyttää tarkempaa teknistä selvitystä OPH:lta.

(star) Edellyttäisi, että SCIM tukee oppijanumeron ja organisaatio oid-tunnisteen käyttämistä palveluntarjoajan kyselyissä.


(error) Käyttäjähakemistoista saadun virheviestien päättely ei ole aukotonta?

(error) Ero käyttäjää ei löydy ja käyttäjän tili suljettu -tilan välillä. 

(error) Pitää selvittää, miten kauan käyttäjien tietoja säilytetään käyttäjähakemistoissa.

(error) Ei tiedetä täysin, onko toteutuskelpoinen.

Vaihtoehto 5: Opetushallituksen ohjeet tietojen poistamiseen

Kuvaus: Opetushallitus ohjeistaisi tarkemmin tietojen säilytysajoista ja poistamisesta.

  • OPH määräisi MPASSid-käyttöehdoissa tarkemmin tietojen poistamisesta ja tietojen säilyttämisen säilytysajasta.
  • OPH antaisi kansallisesti ohjeistusta tietosuoja-asetuksen tulkintaa tietojen poistamisessa.

Vahvuudet

HeikkoudetMahdollisuudetUhat/Riskit

(plus) OPH, viranomaisena, antaisi suosituksia/ohjeita tietojen poistamiseen liittyen.

(plus) OPH voisi antaa tiukemmat ohjeet niille osapuolille, jotka käyttävät MPASSid-käyttöehtoja DPA-sopimuksena.

(plus) Ohjeistus koulutustoimijoille, että tietoja saa säilyttää enintään vuoden käyttäjän viimeisestä MPASSid-kirjautumisesta.



(minus) Ei koskisi osapuolia, jotka toimivat DPA-sopimuksen mukaan muilla ehdoilla.


(star) MPASSid:tä käyttävien organisaatioiden tietoisuus kasvaa henkilötietojen käsittelystä ja tietojen poistamisesta.

(star) Lisätään MPASSid-käyttöehtoihin tarkempaa ohjeistusta.

(error) Opetushallituksella ei ole toimivaltaa laajasti määritellä tietojen poistamista rekisterinpitäjän puolesta.

(error) Tarkkoja säilytysaikoja ei voida antaa koska käsittelyperusteen päättyminen vaihtelee ja tiedot pitää poistaa, kun käsittelyperuste on lakannut.

(error) OPH ei voi määrätä vuoden säilytysaikaa, jos kuitenkin yksittäistapauksessa säilytysaika olisi lyhyempi kuin tämä.





  • No labels