Tietosuojan vaikutustenarviointi (DPIA) oppimisalusta TUNI Moodlesta

Abstract

Opinnäytetyön tarkoituksena oli tuottaa Tampereen ammattikorkeakoululle (TAMK) tietosuojan vaikutustenarviointi oppimisalusta TUNI Moodlesta. Työn tavoitteena oli tunnistaa Moodlen henkilötietojen käsittelyyn liittyvät riskit ja löytää keinoja niiden hallitsemiseksi sekä selvittää ovatko tunnistetut riskit hyväksyttävällä tasolla. Lisäksi tavoitteena oli tutustua lyhyesti vaikutustenarvioinnin oikeustieteelliseen viitekehykseen, tarkastella mukaileeko TUNI Moodlen henkilötietojen suoja tietosuoja-asetuksen vaatimuksia ja kuinka TUNI Moodlen tietosuojaa voidaan edelleen kehittää ja parantaa. Opinnäytetyössä käytettiin toiminnallisia ja lainopillisia menetelmiä.

Tietosuojan vaikutuksenarvioinnissa tunnistettiin useita TUNI Moodlen henkilötietojen käsittelyyn liittyviä riskejä ja niiden hallitsemiseksi esitettiin erilaisia suojatoimenpiteitä. Avoimen kentän ongelma oli yksi keskeisimmistä tunnistetuista riskeistä. Opiskelijat saattavat itse jakaa oppimisalustalle erityisiä tietoryhmiä koskevia tietoja ja tästä voi aiheutua esimerkiksi mainehaittaa ja ihmissuhde-ongelmia henkilökohtaisessa sekä ammatillisessa elämässä sekä altistaa kiusaamiselle. Riskin hallitsemiseksi vaikutustenarvioinnissa esitettiin muun muassa henkilökunnan koulutusta ja TUNI Moodlen toiminnallisuuksien kehittämistä.

Vaikutustenarvioinnin perusteella TUNI Moodlen jäännösriski jäi hyväksyttävälle tasolle. Lisäksi toimeksiantajalle annettiin kehittämisehdotuksia ja jatkotoimenpiteitä TUNI Moodlen tietosuojan parantamiseksi. Toimenpiteisiin kuului esimerkiksi koulutusta ja ohjeistusta, tietosuojaselosteen päivittämistä sekä kansainvälisen tietosuojakehyksen seurantaa.

Opinnäytetyön oheismateriaalina tuotettiin toimeksiantajalle vaikutustenarviointi, joka tehtiin Tietosuojavaltuutetun toimiston laatimaan Excel-työkaluun. Vaikutustenarviointi toimii dokumenttina, jolla voidaan parantaa ja hallita TUNI Moodlen tietosuojaa. Arviointi tulee päivittää lainsäädännön ja toimintaympäristön muuttuessa. Vaikutustenarviointi on TAMKin sisäiseen käyttöön tarkoitettu ja se on poistettu julkisesta raportista. Raportissa kuvattiin kuitenkin vaikutustenarvioinnin sisältö keskeisiltä osin ja tiivistetysti.

The purpose of this thesis was to produce a Data Protection Impact Assessment (DPIA) of the TUNI Moodle learning environment for Tampere University of Applied Sciences (TAMK). The aim was to identify risks related to the processing of personal data on Moodle, find ways to manage these risks and determine whether the identified risks are at an acceptable level.

Functional and legal methods were applied in this thesis. As supplementary material, a DPIA was produced for the client using the Excel tool created by the Office of the Data Protection Ombudsman. The DPIA is intended for internal use within TAMK and has been removed from the public report. However, the report describes the content of the DPIA concisely and highlights the key aspects.

The Data Protection Impact Assessment identified several risks related to the personal data on TUNI Moodle, and various protective measures were suggested to reduce these risks. One of the main risks was the open field issue, which could be managed through staff training and improving TUNI Moodle functionalities.

Based on the DPIA, the residual risk of TUNI Moodle remained at an acceptable level. Furthermore, development suggestions and follow-up measures were provided to the client to enhance the data protection of TUNI Moodle.