1. yle.fi
  2. Uutiset
  3. tietoturva

Oikeustieteen opiskelijoiden nimet lipsahtivat tenttitulosten sekaan – "Opettajalle tuli yllätyksenä, että salasanasuojaus ei toimi"

Opiskelijoiden vaatimukset anonymiteetista ovat kasvaneet viime vuosina, kertoo tietosuojavaltuutettu Anu Talus.

tietoturva
Itä-Suomen yliopisto
Itä-Suomen yliopistossa sattui maaliskuussa opiskelijoita hämmentänyt tietosuojavahinko. Tietosuojavaltuutetun toimiston mukaan tyypillisimpiä ovat tapaukset, joissa nimet ovat yhdistettävissä opiskelijanumeroihin esimerkiksi seminaarissa tai opinnäytetyössä.Sami Takkinen / Yle

Itä-Suomen yliopistossa sattui maaliskuussa opiskelijoiden tietosuojan vaarantanut tapaus.

Oikeustieteen erään opintojakson tenttitulosliuskalla olivat sekä opiskelijoiden nimet että opiskelijanumerot. Yleisen käytännön mukaan opiskelijanumeron ja nimen yhdistelmää suojataan tarkoin.

Tapaus kävi ilmi, kun yksi opiskelijoista hämmästeli nimien näkymistä opiskelijoiden yhteisessä Whatsapp-ryhmässä.

Opettaja oli vienyt tiedot oppimisalustalle Excel-tiedostona siten, että henkilöiden nimet sisältävä sarake oli piilotettu salasanan taakse.

Itä-Suomen yliopiston oikeustieteiden laitoksen johtaja Matti Turtiasen mukaan salasanasuojauksen toimivuus oli tarkistettu erikseen Excelissä.

– Opettajalle tuli kuitenkin yllätyksenä, että salasanasuojaus ei toimi, jos tiedosto avataan Google-sovellusten avulla.

Tiedosto poistettiin heti, kun tieto nimen ja opiskelijanumeron yhdistelmän ilmenemisestä saatiin opiskelijalta. Turtiaisen mukaan tenttitulos ei tullut missään vaiheessa kaikkien saatavilla.

– Vain muutama opiskelija ehti avata tiedoston ennen sen poistamista ja Excel -tiedosto toimi oikein. Kyse ei myöskään ole salassa pidettävistä tiedoista. Riski opiskelijoiden yksityisyyden suojan vaarantumiselle on vähäinen.

Yliopisto on raportoinut tapauksesta tietosuojavaltuutetun toimistoon ja tenttiin osallistuneille.

Tapauksia ilmenee harvakseltaan, mutta tasaiseen tahtiin

Opiskelijoiden nimet ja opiskelijanumerot on tavattu pitää erillään toisistaan, kertoo tietosuojavaltuutettu Anu Talus.

– Tämä on tietosuojavaltuutetun antama linjaus. Sen noudattamisessa on hajontaa. Joissain tapauksissa siitä ei ole huolehdittu sillä tarkkuudella, mitä voisi toivoa.

Tietosuojavaltuutetun pöydälle tulee tutkittavaksi vuosittain muutamia korkeakoulujen tietoturvaan liittyviä tapauksia.

– Näitä on tullut vireille viime vuosina aika tasaiseen tahtiin, mutta määrät ovat melko pieniä.

Kuvassa on tietosuojavaltuutettu Anu Talus 2. marraskuuta 2020.
Anu Taluksen mukaan ihmisten ymmärrys tietosuojasta ja oikeuksista on kasvanut rajusti muutaman viime vuoden aikana.Silja Viitala / Yle

Lukujen valossa suomalaisten korkeakoulujen tietoturva vaikuttaa olevan hyvällä tolalla.

Tietosuojavaltuutetulle on tullut tänä vuonna tutkittavaksi 20 yliopistojen ja ammattikorkeakoulujen tietoturvaan liittyvää juttua. Viime vuonna tapauksia oli 76 kappaletta. Suurin osa on tietosuojavastaavien yhteydenottoja, loput ovat kanteluita. Kaikkiaan tietosuojavaltuutetun toimisto käsitteli noin 11 000 tapausta.

Tietosuojavaltuutettu on tarkistanut korkeakoulujen opintotietojen käytännesäännöt viimeksi vuonna 2017. Tuolloin ne todettiin "varsin kattaviksi".

Samana vuonna perustettiin Itä-Suomen yliopistoon tietosuojavastaavan tehtävä. Sen jälkeen yliopistossa on järjestetty tietosuoja- ja tietoturvakoulutuksia sekä yhdistettyjä koulutuksia säännöllisesti ja erikseen yksiköiden pyynnöstä.

Itä-Suomen yliopiston henkilöstöstä tietoturvakoulutuksen on suorittanut noin 70 prosenttia.

– Koulutuksen ja ohjauksen näkökulmasta tietoturvaosaamisen pitäisi olla riittävää, tietosuojavastaava Helena Eronen arvioi.

Ihmiset entistä tarkempia yksityisyydestään

Helena Eronen on huomannut, että opiskelijoiden tietoisuus tietosuoja-asioista on kasvanut.

– Muistan ajan, jolloin tenttitulokset olivat nimineen ja opiskelijanumeroineen avoimesti yksikön käytävillä ilmoitustauluilla, Eronen muistelee.

Erosen mukaan henkilötietojen käsittelyohjeet ovat tarkentuneet tasaiseen tahtiin viime vuosikymmeninä.

– Suoria henkilötunnisteita tulee käsitellä vain silloin, kun se on käyttötarkoituksen kannalta välttämätöntä.

Muutos on huomattu myös tietosuojavaltuutetun toimistossa. Vaatimukset ovat kasvaneet ja ihmiset tuntevat oikeutensa tietoturva-asioissa.

– Ymmärrys on lisääntynyt selvästi viimeisen 3–4 vuoden aikana, Anu Talus vahvistaa.

Koronavuosi ja etäopetukseen siirtyminen ovat aiheuttaneet sen, että tietoturvaohjeistuksia on jouduttu tarkentamaan.

– Olemme antaneet opiskelijoille ja henkilökunnalle päivitetyt ohjeet muun muassa kameran käytöstä etäopetuksessa ja etätenttien valvonnassa, Helena Eronen sanoo.

Tietosuojavaltuutetun toimistossa on parhaillaan käynnissä tietosuojakäytäntöjä uudistava työ.

– Tavoitteena on luoda korkeakouluille yhteiset pelisäännöt henkilötietojen käsittelylle. Pidän erittäin suositeltavana käytännesääntöjen laatimista myös yleisemmin, Talus sanoo.

Lue seuraavaksi