1. Opetuksen tietosuoja -
mikä muuttui?
20.4.2023
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018

2. “
En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
2
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf

3. 3
1.
Alettiin kiinnittää
huomiota siihen,
ettei oppijoiden
tietoja olisi
julkisesti esillä
2.
Alettiin kertoa
edes jollain tapaa,
mitä sovelluksia
opetuksessa
käytetään
3.
Alettiin kysyä
suostumuksia
sovellusten
käyttöön, ainakin
joskus
4.
Ongelmiin
havahduttiin ja
aloitettiin
tietosuojan
kehittäminen
2018
EU:n yleinen
tietosuoja-asetus
(GDPR)
1999
Henkilötietolaki
2020
EUT:in Schrems
II -päätös

4. Rekisteri
4
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.

5. • Läppäri 233
• Varattu klo 10-14
• Käyttö: opiskelu
• Haettu klo: 9:50
• Palautettu klo 14:00
• Varaaja ID: 20231
• Läppäri 112
• Läppäri 159
• Läppäri 217
• Läppäri 233
• Läppäri 288
• Läppäri 289
• Läppäri 302
• Läppäri 312
• 20111: Essi Esimerkki
• 19547: Matti Mainio
• 31313: Aku Ankka
• 20231: Jaska
Jokunen
• 45990: Maija Mallikas
• 21331: Joku Vaan
A B C
Sisältää henkilötietoja = muodostavat yhdessä rekisterin
Ei sisällä henkilötietoja
Kysymys: milloin ”muu rekisteri” muuttuu henkilörekisteriksi?
5

6. Opiskelijarekisteri
Lähteenä mm. OPH:n tietosuojaopas, 2018
Opiskelija-
rekisteri
oppijoiden ja
huoltajien
henkilötiedot
▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen
+ yhteensopivat tarkoitukset
▪ Opetustilanteet, myös etä- ja verkko-opetus
▪ Opetuksen järjestäjän hallinnoimat sovellukset ja
verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot)
▪ Paikallaolot, suoritukset, testit, arviointi
▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)
▪ Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa
▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat
▪ Harjoitteluihin ja vierailuihin liittyvät tiedot
▪ Oppilashuolto ja erityisen tuen tarve
▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita.
▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.
▪ Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen
perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta.
6

7. Suostumus henkilötietojen käsittelyn perusteena
7
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n
ohjeistus) sekä tarvittaessa sovellusten asentamiseen.
▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

8. Oppijoiden henkilötietojen käytöstä tulee informoida selkeästi
Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf
8
Pääsy omiin
henkilötietoihin
Tietojen oikaisu Tietojen poisto Käsittelyn
rajoittaminen
Käsittelyn
vastustaminen
Tietojen siirto
toiseen järj.
Automaattinen
päätöksenteko
Oikeus valittaa
valvonta-
viranomaiselle
Käsittelyn
oikeusperuste
Tietojen
säilytysaika
Käsiteltävät
henkilötiedot
Henkilötietojen
käsittelijät
Tietojen siirto
kolmansiin maihin
Tietosuojavastaavan
yhteystiedot
Rekisterinpitäjä ja
yhteystiedot

9. Esimerkkejä käsiteltävistä henkilötiedoista
9
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus

10. Henkilötietojen käsittely opetuksessa
10

11. Huolehdi oppijoiden tietosuojasta
11
▪ Oppijoiden tietoja käytetään vain opetukseen.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan rekisterinpitäjän linjaukset
käytettävissä sovelluksissa ja pilvipalveluissa.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön opetuksessa.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan oppijoille käytettävien sovellusten
ja käyttäjätunnusten turvallinen käyttö.

12. Kysymys: Kahvipöytäkeskustelut
12
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa käsitellään toisen henkilötietoja.
▪ Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista
ovat salassa pidettäviä (JulkiL 24 §).
▪ Myös tiedot erityisen tuen tarpeesta, psykologisista testeistä ja soveltuvuuskokeista ovat salassa pidettäviä.
▪ Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien
kanssa ilmoitustaululla tai netissä ilman suostumusta.
▪ Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja
koulunkäyntiavustajat, jotka tarvitsevat niitä.
▪ Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada
oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Salassa pidettävien tietojen antajat
päättävät annettavista tiedoista.
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
• Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia
kahvipöydässä työtovereilleen?
• Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä tilanteessa, jos samalla
arvioidaan oppilaita ääneen?

13. Tietosuoja viestinnässä
13
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijauksia on tavallista enemmän liikenteessä.
→ Ohjeet, miten varmistaa viestien aitous?

14. 14
Laita kone kiinni aina, kun poistut paikalta!

15. Oppijoiden henkilötietojen luovuttaminen ja julkaisu
15
▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa
henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.
▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
▪ Suostumus on käytännössä esimerkiksi:
▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
▪ Julkaisuluvat esimerkiksi kuviin ja videoihin
▪ Muilla tavoin kysytyt ja saadut suostumukset

16. Henkilöä esittävä valokuva tai video
on henkilötieto ja tunnistetieto
▪ Oleellista on, voidaanko henkilö tunnistaa
kuvasta tai videosta vai ei.
▪ Tunnistaminen voi perustua kasvoihin,
videolla kuuluvaan ääneen tai sen
yhteydessä olevaan nimeen
▪ Tunnistamisen voi estää se, että henkilön
kasvot eivät näy tai kuva on otettu niin
kaukaa, ettei tunnistaminen ole mahdollista.
▪ Henkilön kasvot voi sumentaa tai peittää eli
”anonymisoida” kuvan.
▪ Jo tunnistettavan kuvan säilyttäminen on
henkilötietojen käsittelyä.
16
Kuva: Pixabay

17. Kysymys: tapahtumissa kuvaaminen
17
▪ Oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua.
▪ Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää suostumus niissä
olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää
henkilötietojen käsittelyä.
▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
▪ Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta,
eikä sillä ole oikeutta kieltää sitä.
▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim.
paikallislehdessä on sallittua.
• Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita esimerkiksi
nettisivuilla julkaistavaksi?
• Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
• Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?

18. Julkaisuluvan voimassaolo ja peruminen
▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista.
▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan.
▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa
sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa.
▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen
voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa.
▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa
perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa.
▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei
vaadi kohtuutonta työtä.
▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta
ja some-kanavista tietyn ajan päästä.
18

19. Henkilötiedot digialustoilla
19

20. Koronakeväänä opetuksessa käytetyt sovellukset
Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020,
https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020
20

21. TOP sovellukset oppimisessa ja opetuksessa 2018-2022
Data: Jane Hart, 2018-2022, Top Tools for Learning, https://www.toptools4learning.com/, kuva: Harto Pönkä, 7.2.2023
21
2018 2019 2020 2021 2022

22. Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa
22
Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset!
Opetuksen
järjestäjän viestintä-
ja asiointikanavat
(esim. Wilma)
Oppimisalustat
(esim. Google
Workspace, 0ffice
365+Teams)
Ulkopuolinen
sovellus, johon
kirjaudutaan edu-
tunnuksella
Ulkopuolinen
sovellus, johon on
erillinen tunnus
Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu
sovelluksesta
Ulkopuolinen
rekisterinpitäjä
Henkilötietojen
käsittelijä (DPA-sopimus)
Palveluntarjoaja Palveluntarjoaja Riippuu
sovelluksesta
-
Käyttäjätunnukset Opetuksen järjestäjän
hallinnoimat tai vahva
tunnistautuminen
Opetuksen järjestäjän
hallinnoimat edu-
tunnukset
Edu-tunnukset Rekisteröinti/
erilliset tunnukset
Pitääkö informoida
henkilötietojen
käsittelystä?
Kyllä,
tietosuojaselosteella
Kyllä,
tietosuojaselosteella
Kyllä, suostumuksen
pyynnön yhteydessä
Kyllä,
suostumuksen
pyynnön yhteydessä
Pitääkö pyytää erillinen
suostumus?
Ei Ei Kyllä, jos
ulkopuolinen
rekisterinpitäjä
Kyllä
Voiko tallentaa
oppijoiden tietoja?
Kyllä Kyllä Ei voi suositella Ei

23. Tietosuoja etäyhteyssovelluksissa
23
▪ Käytä vain oppilaitoksen sallimia sovelluksia.
▪ Toimita kutsu henkilökohtaisesti opiskelijoille.
▪ Informoi osallistujia henkilötietojen käsittelystä.
▪ Varmista tarvittaessa osallistujien henkilöllisyys.
▪ Varmista esittäjien osaaminen etukäteen.
▪ Älä julkaise opiskelijoiden tai muiden
henkilötietoja ilman suostumusta.
▪ Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
▪ Huomioi kotoa osallistuvat: ei sivullisia kuulolla,
videon ja mikrofonin käyttö kotirauhan alueella
perustuu vapaaehtoisuuteen.
▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone.
▪ Suojaa tallenne ja huolehdi sen tietosuojasta.

24. Kysymys: kuvat, videot ja etätilanteiden tallenteet
24
▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?

25. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa
▪ Tarkista rekisterinpitäjän ohjeistus:
▪ 1) mitä pilvipalveluita saa käyttää
▪ 2) mitä tietoja pilveen on sallittua tallentaa
▪ 3) saako tiedostoja synkronoida omille
laitteille
▪ Huolehdi työtehtävien mukaisista
käyttöoikeuksista/jakamisesta.
▪ Älä jaa henkilötietoja sisältäviä tiedostoja
ulkopuolisille ilman suostumusta tai muuta
perustetta.
Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista)
25

26. Harkitse ennen kuin jaat!
26
MITÄ? MITEN? RISKIT?
Yksi dokumentti/tiedosto
Jako yhdelle oman
organisaation käyttäjälle
Turvallisin vaihtoehto
Yksi dokumentti/tiedosto Jako usealle oman
organisaation käyttäjälle
Lähes yhtä turvallinen vaihtoehto
Yksi dokumentti/tiedosto Jako oman
organisaation ryhmälle
Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen
jakamiseen.
Yksi dokumentti/tiedosto Jako ulkopuolisille
linkillä
Ei ole turvallinen henkilötietojen ja salassa pidettävien
tietojen jakamiseen.
Jaa linkillä vain julkisia tietoja.
Kokonainen OneDrive-
kansio
Jako oman
organisaation käyttäjille
Turvallinen, jos kansio on tehty juuri kyseisten
tietojen jakamiseen.
Kokonainen OneDrive-
kansio
Jako oman
organisaation ryhmälle
Altis liian laajalle jakamiselle eli tietojen päätymiselle
työntekijöille, joille ne eivät kuulu.
Kokonainen OneDrive-
kansio
Jako ulkopuolisille
linkillä
Kaikkein turvattomin: altis tietojen vuodolle
ulkopuolisille

27. Älä luota Excelin salasanasuojaukseen
▪ Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle
▪ Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita)
27

28. Oppijoiden tiedot somepalveluissa
28
▪ Noudata aina rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia!
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna oppijoiden tai huoltajien
henkilötietoja yksityisessä käytössä olevaan
kännykkään ilman työnantajan lupaa.
▪ Jos somepalvelussa aiotaan käyttää
henkilötietoja, tarkista työnantajan linjaus.
▪ Tarvittaessa pyydä suostumukset käytölle ja
muista rekisteröityjen ja huoltajien informointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.

29. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
29
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!

30. Henkilötietojen vuotaminen sovellusten kautta
30
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Sovelluksille annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus

31. WhatsApp opetuksessa?
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
→ Tarkista linjaus ja ohjeet ennen kuin käytät!
• Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.
→ Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen
kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.
→ WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-

32. Signal työkäytössä
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
32
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)

33. Suostumukset opetuksessa
▪ Jos julkaistaan henkilötietoja tai oppijoiden tuotoksia.
→ Suostumus henkilötietojen tai tuotosten julkaisulle.
▪ Jos oppijoiden henkilötietoja tallennetaan ulkopuoliseen sovellukseen tai
verkkopalveluun, joka ei ole opetuksen järjestäjän hallinnoima.
→ Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa, jos
rekisterinpitäjä sallii sovelluksen käytön opetuksessa suostumuksen perusteella.
▪ Jos käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle.
→ Suostumus henkilötietojen siirrolle ko. palveluun ja maahan, jos rekisterinpitäjä tämän sallii.
▪ Jos käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
→ Suostumus henkilötietojen käytön perusteena ko. palveluille.
→ Suostumus ei sovellu opetuksen järjestäjän lakisääteisiin tehtäviin.
33

34. Kyllä kai suostumukseksi riittää,
että ilmoitin Wilmassa
WhatsAppin käytöstä
opetuksessa.
Annoin tehtäväksi asentaa Sport
Trackerin ja jakaa kävelylenkit
sitä kautta muille.
Lähetän musiikin tehtävät
TikTokissa ja oppilaat kuittaavat
ne kommentilla. ☺
Julkaisen perjantaisin YouTube-
videon, johon kokoan oppilaiden
tuotoksia ja annan palautetta.
Tein jokaisen opiskelijan nimellä
Padlet-taulun, johon he käyvät
merkitsemässä suorituksensa.
Tehtävänä on siivota olohuone
ja lähettää siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi tulla
koululle lähiopetukseen.
Ei näin.

35. Ajankohtaisia riskejä
35

36. Varo: Office 365 -huijaukset ovat yleisiä!
▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin.
▪ Murretuilla tunnuksilla voidaan tehtailla lisää huijauksia.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
36

37. Tietojenkalastelu Oulun yliopistolta: 900 salasanaa vääriin käsiin
Ongelma: mistä käyttäjä voi tietää oikean osoitteen?
37
Lähde: Ilta-Sanomat, 2.9.2021, https://www.is.fi/digitoday/tietoturva/art-2000008235534.html
Aito tiedote Huijausviesti Tiedote jälkikäteen

38. Huijauspuhelut Microsoftin nimissä
▪ Tavoitteena saada käyttäjätunnus haltuun.
▪ Huijauspuhelu voi tulla myös suomalaisesta
numerosta.
▪ Huijarit esiintyvät yleisimmin Microsoftin IT-
tukihenkilöinä.
▪ Huijaukseen voi liittyä myös sähköposteja,
tekstiviestejä ja tietojenkalastelusivuja.
▪ Microsoftin tutkimuksen mukaan puolet
Suomessa asuvista aikuisista oli altistunut
IT-tukihuijauksille (2021).
▪ 12 % oli ensin jatkanut keskustelua huijarin
kanssa, mutta lopettanut sitten.
▪ 3 % vastaajista oli menettänyt rahaa.
38
Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906

39. Microsoft Authenticator -autentikointisovellus
▪ Microsoft Authenticator sopii hyvin
Microsoftin sekä useimpien muidenkin
verkkopalvelujen kaksivaiheiseen
varmistukseen.
▪ Kaksi kirjautumisen varmistustapaa:
1) Vaihtuva kertakäyttökoodi
2) Hyväksy kirjautuminen –kysymys
▪ Huom. Ota palvelukohtainen palautuskoodi
talteen, kun kytket varmistuksen päälle.
▪ Android-versio Google Playssä:
https://play.google.com/store/apps/detail
s?id=com.azure.authenticator
▪ iOS-versio AppStoressa:
https://apps.apple.com/us/app/microsoft
-authenticator/id983156458
Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023)
Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a
39

40. 40
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!