Tietoturvallinen verkkokoulutusympäristö

Sometimes you just have to look up.

Tietoturvallisten koulutusten järjestämisen osalta on tärkeää käyttää tietoturvallisia työkaluja, hallinnoida pääsyä oppimisympäristöön tarkoituksenmukaisella tavalla, sekä huolehtia asianmukaisesta henkilötietojen käsittelystä.

Oppimisympäristöjen kohdalla on hyvä tarkistaa ainakin nämä asiat:

  • järjestelmään on tarkoituksenmukainen kirjautumisten ja käyttäjäoikeuksien hallinta
  • digitaalinen ympäristö varmuuskopioidaan säännöllisesti
  • tietojensiirto tapahtuu suojatun (SSL-sertifioidun) yhteyden yli
  • oppimisympäristön palveluntarjoaja ja palveluntarjoajan alihankkijat huomioivat GDPR:n vaatimukset toiminnassaan
  • tietoturvaa on myös testattu (esimerkiksi säännöllinen kolmannen osapuolen penetraatiotestaus)
  • tietojenkäsittelytoimet rekisteröidään ja ne dokumentoituvat (esimerkiksi järjestemän lokitietoihin)

Eri palveluntarjoajilta kannattaakin kysyä miten tietoturva-asioista on huolehdittu.

Verkkokoulutusympäristön tietoturva rakentuu useasta eri osa-alueesta

Käyttäjähallinnan mahdollisuudet

Jos oppimisympäristöä käytetään osana muuta digitaalista toimintaympäristöä, esimerkiksi yrityksen sisäiseen käyttöön tai vaikka jäsen- tai asiakasportaalin yhteydessä, voidaan käyttäjähallintaa usein yksinkertaistaa kertakirjautumisen (single sign-on) avulla. Kertakirjautumisen avulla oppimisympäristössä voidaan yhdistää toisen järjestelmän kirjautumiseen, kuten esimerkiksi sähköpostiohjelmaan tai jäsenportaaliin.

Kertakirjautumisen avulla

  • tunnusten hallinta helpottuu kun käyttäjän ei tarvitse muistaa uutta tunnus-salasanaparia
  • pääsy oppimisympäristöön voidaan rajata automaattisesti oikeille käyttäjille
  • pääsy myös oppimisympäristöön loppuu automaattisesti kun kertakirjautumiseen käytetyt tunnukset suljetaan

Kertakirjautuminen parantaa tietoturvan lisäksi myös ohjelmistojen käytettävyyttä ja hallinnollista työtä, kun tunnusten hallinta helpottuu.

Tietojen tuonti muista järjestelmistä

Toisinaan oppimisympäristöön tuodaan myös muita käyttäjähallintaa helpottavia tietoja, kuten Office365-ympäristön AD-ryhmät. Näiden taustatietojen perusteella voidaan ryhmitellä käyttäjiä myös oppimisympäristössä esimerkiksi osaston tai aseman perusteella.

Jos oppimisympäristöön tuodaan tietoja toisesta järjestelmästä on hyvä miettiä minkä tietojen tuonti on tarpeellista ja välttää tarpeettomien henkilötietojen tuontia. Oppimisalustalle voi esimerkiksi olla tarpeen kerätä kurssiviestintään tarvittavia osallistujien sähköpostiosoitteita, tai käyttäjäryhmittelyä tukeva tieto osallistujan osastosta, muttei esimerkiksi tuoda HR-järjestelmästä työntekijöiden henkilötunnuksia.

EU:n tietosuoja-asetus GDPR

EU:n tietosuoja-asetus GDPR velvoittaa vastuulliseen henkilötietojen käsittelyyn. Henkilötietoja ovat käyttäjiä yksilöivät tiedot, kuten esimerkiksi sähköpostiosoitteet tai nimet. Joissain tilanteissa myös epäsuora tieto, kuten IP-osoite, voi riittää käyttäjän yksilöimiseen. Silloin myös epäsuoria tunnistetietoja käsitellään myös henkilötietoina. Sen sijaan esimerkiksi oppimisympäristön kokonaiskäyttäjämäärä ei ole henkilötieto.  

GDPR:n näkökulmasta on hyvä huomioida

  • palveluntarjoajan kanssa sovitaan mitä ja miten henkilötietoja käsitellään, sekä missä niitä säilytetään
  • oppimisympäristöön kerätään vain koulutusten järjestämisen näkökulmasta tarpeellisia henkilötietoja
  • oppimisympäristön käyttäjähallinta mahdollistaa koulutusten rajaamisen vain toivotuille osallistujille
  • käyttäjien pääsy ympäristöön voidaan katkaista ja tiedot poistaa järjestelmästä
  • tietojenpoistopyyntöjen käsittelyyn on suunniteltu prosessi
  • käyttäjätiedot ja varmuuskopiot poistetaan palvelun käytön lopettamisen jälkeen

GDPR:n myötä on tullut tavalliseksi edellyttää käyttäjätietojen käsittelyä EU-alueella. Palvelusopimuksen liitteenä on hyvä olla myös sopimus tietojenkäsittelystä.

Lue myös

Saavutettavuus parantaa digitaalisia palveluita ja mahdollistaa esteettömän oppimisen

Osaamisen kehittämisen menetelmät ja työkalut

Verkko-oppimisalustan valinta - muistilista koulutusalustojen vertailuun