Aineiston tietoturva

Sisällysluettelo

Tutkimusaineistoa tulee käsitellä ja säilyttää tietoturvallisesti, erityisesti jos se sisältää henkilötietoja, arkaluonteista tietoa tai salassapidettävää tietoa.

Yliopisto määrittää tietoturvalliset ohjelmat ja laitteet sekä tallennuspaikat.

Arkaluontoisten tietojen (muut kuin henkilötiedot) ja salassapidettävien tietojen osalta voi olla tarpeen noudattaa samoja suojatoimenpiteitä kuin erityisten henkilötietojen käsittelyssä, esimerkiksi tietoturvaan liittyvät tiukemmat vaatimukset. 

TIETOTURVALLISET LAITTEET JA OHJELMISTOT

Varmista tietoturvalliset laitteet ja ohjelmistot, kun keräät ja käsittelet tutkimusaineistoasi.

Haastattelut

MyJYU AI Transcription (henkilötiedot, erityiset henkilötiedot rajoituksin)

  • Uusi tietoturvallinen ohjelma haastatteluiden tallentamiseen ja litterointiin.
  • Voit käyttää haastatteluiden tallentamiseen omaa älypuhelintasi ja MyJYU-sovellusta.
    • Varmista aina, että sinulla on käytössäsi MyJYU-sovelluksen viimeisin päivitysversio!
  • Omalla puhelimella ja MyJYU-sovelluksella voi tallentaa myös sellaista haastatteluaineistoa, joka sisältää erityisiä henkilötietoja tai muuta sensitiivistä tietoa, kunhan puhelimesi täyttää seuraavat kriteerit:
    • 1) biometrinen tunnistautuminen on otettu käyttöön;
    • 2) käyttöjärjestelmänä on Android 10 tai uudempi / iOS 17 tai uudempi.
  • Ohjeita MyJYU AI Transcription -ohjelman käyttöön ottamiseen.

Jyväskylän yliopiston Zoom (henkilötiedot, erityiset henkilötiedot rajoituksin)

Jyväskylän yliopiston 365 Teams (henkilötiedot)

  • Jos et käsittele erityisiä henkilötietoja, voit käyttää myös yliopiston M365 Teams-ohjelmaa, Jyväskylän yliopiston Microsoft-tunnuksilla.
  • Huom! Zoomia ja Teamsiä voi käyttää paitsi etähaastatteluissa, niin myös tallentimena lähihaastatteluissa, jos MyJYU AI Transcription tai yliopiston nauhuri eivät ole mahdollisia vaihtoehtoja.

Nauhuri (henkilötiedot, erityiset henkilötiedot rajoituksin)

Litterointi

MyJYU AI Transcription ja Researchvideo(henkilötiedot, erityiset henkilötiedot)

  • MyJYU AI Transcription ja Researchvideo ovat Jyväskylän yliopiston omia, tekoälyä hyödyntäviä, tietoturvallisia työkaluja litterointiin.
  • Voit käyttää niitä myös erityisiä henkilötietoja sisältävän aineiston litterointiin.
  • Jos käytät nauhuria ja aineistossa on erityisiä henkilötietoja, hoida litterointi Researchvideossa.

Jyväskylän yliopiston 365 Teams ja Word (henkilötiedot)

  • Jos aineistosi ei sisällä erityisiä henkilötietoja tai muuta sensitiivistä tietoa, voit käyttää litterointiin myös M365 Teamsin ja Wordin litterointitoimintoja Jyväskylän yliopiston Microsoft-tunnuksilla.

Kyselyt

Huomaa: Kaupallisia kyselyohjelmia - kuten Google Forms, SurveyMonkey - ei tule käyttää.

Webropol (henkilötiedot, erityiset henkilötiedot rajoituksin)

  • JYU:n Webropol-kyselyohjelma on käytännöllinen työkalu kertaluonteisten kyselyjen keruuseen.
  • Jos kyselyssä on arkaluontoisia tietoja (kuten erityisiä henkilötietoja), niin JYUn Webropolia voi käyttää tietyin ehdoin:
    • Kyselylinkki toimitetaan vastaajalle henkilökohtaisesti salatulla sähköpostilla. Tähän voi käyttää JYU-sähköpostisi lähetysasetuksissa olevaa "Salaa"-toimintoa.
    • Vältä kyselyiden nimeämistä niin, että siitä jo heti paljastuu arkaluontoista tietoa, esim. "Kysely masentuneelle".
    • Valitse vastausten keruutavaksi "Nettilinkki - Julkinen linkki".
    • Tarkemmat ohjeet Webropolin tietoturvallisesta käytöstä

REDCap (henkilötiedot, erityiset henkilötiedot)

  • JYU:n REDCap-kyselyohjelma soveltuu hyvin seuranta- ja toistuvien kyselyjen keruuseen.
  • REDCap on tarkoitettu erityisesti erityisten henkilötietojen sekä sensitiivisen ja salassapidettävän datan keräämiseen ja käsittelyyn.
  • REDCapiin tilataan henkilökohtaiset tunnukset HelpJYU-lomakkeella, katso käyttöönotto-ohje. Käyttötarkoitukseksi merkitään "Opiskelu". REDCap-oikeudet ovat tämän jälkeen voimassa opiskeluoikeuden keston ajan.
  • Ohjelmalla on mahdollista rakentaa monipuolisia verkkokyselyjä ja lomakkeita, joita voi hyödyntää kenttätutkimuksessa (esim. strukturoitu haastattelu).
  • HUOM! Tutustu huolellisesti ohjelman käytön tietoturvaperiaatteisiin ja toiminnallisuuksiin, katsomalla Käyttöohjeet - REDCap-ohjelmisto (jyu.fi), kun suunnittelet sensitiivistä tietoa sisältävän kyselyn toteuttamista.
  • REDCap on toiminnallisuuksiltaan monipuolinen ja sen käyttöliittymä on englanninkielinen, joten siihen tutustuminen kannattaa aloittaa noin 3–4 viikkoa ennen kyselyn lähettämistä.

Muut laitteet ja ohjelmistot

  • Jos tarvitset tietoturvallista tapaa, jolla tutkittava voi ottaa sinuun yhteyttä esimerkiksi haastatteluajasta sopiakseen, niin tutkittava voi lähettää sinulle turvasähköpostia mistä tahansa omasta sähköpostiosoitteestaan.
  • Jos esität avoimen haastattelukutsun, voit kerätä yhteydenottoja Webropol-kyselyllä.
    • Valitse "Nettilinkki - Julkinen linkki" ja lisää itse kyselyyn vastauskenttä, johon tutkittava täyttää yhteystietonsa.
    • Nimeä kysely niin, että siitä ei voi vetää johtopäätöksiä, että millainen henkilö kyselyyn vastaa. Toisin sanoen, jos nimeäisit kyselyn: "Kyselytutkimus Alzheimer-potilaille" ja kyselyssä kysyttäisiin tutkittavan nimi ja yhteystiedot, yhdistyisivät tässä otsikon erityiset henkilötiedot kyselyn vastauskentän suoriin tunnisteisiin.
  • Varmista laitteiden tietoturva myös esimerkiksi silloin, jos tarkoituksena on kuvata videota.
  • Voit kysyä esimerkiksi ohjaajaltasi, mitä laitteita yliopisto tarjoaa tai suosittelee.
  • Jos käytät muita kuin tällä sivulla mainittuja ohjelmistoja, ota huomioon ohjelmistojen mahdollinen tekoälyavusteisuus ja ota selvää, suositteleeko JYU sen käyttöä.

MUISTA: Aineiston käsittely tulee tehdä niin, ettei ulkopuolisille paljastu suojattavia tietoja. 

  • Esimerkiksi haastatteluiden litterointeja ei voi mennä tekemään julkiseen tilaan.
  • Aineiston käsittely on hyvä tehdä esimerkiksi yksin kotona erityisesti silloin, jos aineistossa on erityisiä henkilötietoja tai muuta arkaluontoista tai salassapidettävää.

TIETOTURVALLISET TALLENNUSPAIKAT

Yliopiston datapolitiikassa sanotaan, että on tutkijan vastuulla käyttää yliopiston tietoturvallisia tallennusratkaisuja aineiston säilyttämisessä. Erityisesti jos tutkimusaineisto sisältää henkilötietoja (perusmuotoisia, erityisiä) tai salassapidettävää / arkaluonteista materiaalia, käytä Jyväskylän yliopiston tarjoamia tallennuspaikkoja. 

Jos työskentelet tutkimusryhmän kanssa tai valmiin aineiston parissa, hanke tai aineiston luovuttaja saattaa antaa tarkempia ohjeita aineiston tietoturvalliseen käsittelyyn ja tallentamiseen.

Jos käytät jotain muuta tallennuspaikkaa, perustele se aineistonhallintasuunnitelmassasi.

  • Pohditko omaa tai työpaikan konetta aineiston tallennuspaikaksi?
    • Tällöin olet itse vastuussa tietoturvasta.
    • Omalla koneellasi sinulla ei myöskään välttämättä ole käytössä automaattista varmuuskopiointia, mikä on yksi hyvän tallennuspaikan kriteeri.
  • Älä käytä tavallisia muistitikkuja tai suojaamattomia ulkoisia kovalevyjä.

Jyväskylän yliopiston tarjoamat tallennusmahdollisuudet

Jyväskylän yliopiston U-asema (henkilötiedot, erityiset henkilötiedot rajoituksin)

  • U-asema on yliopiston omistama ja varmuuskopioima tallennuspaikka.
  • U-asemaa voi käyttää omalta koneelta yliopiston VPN-yhteydellä. Katso digipalveluiden ohjeet U-aseman etäkäyttöön VPN-yhteydellä.
  • U-asema on henkilökohtainen ja kun opiskeluoikeutesi päättyy, niin pääsy sinne estyy.
  • Erityiset henkilötiedot salattuina tiedostoina.

Jyväskylän yliopiston 365 OneDrive (henkilötiedot)

  • Ainoastaan, jos aineistossasi ei ole erityisiä henkilötietoja tai muuta arkaluontoista / salassapidettävää.
  • Varmista, että olet kirjautunut yliopiston Microsoft-tunnuksilla, etkä esimerkiksi omilla henkilökohtaisilla Microsoft-tunnuksillasi!

Researchvideo (henkilötiedot, erityiset henkilötiedot)

  • Researchvideo on tallennuspaikka etenkin erityisiä henkilötietoja sisältävälle videoaineistolle. 

CollabRoom (henkilötiedot, erityiset henkilötiedot rajoituksin)

  • CollabRoom on Jyväskylän yliopiston henkilökunnan käytössä oleva tietoturvallinen ryhmätyöpalvelu. Palveluun on mahdollista saada pääsy myös opiskelijana.
  • CollabRoom -tunnuksia haetaan HelpJYU -portaalissa (https://help.jyu.fi), Palvelut ja neuvonta > Tutkijalle > Työkalut > CollabRoom.

Nextcloud ja S-asema (henkilötiedot, erityiset henkilötiedot rajoituksin)

  • Tutkimusryhmän osana sinulla voi olla mahdollisuus käyttää tutkimusryhmän kansiota Nextcloud-palvelussa tai verkkolevyillä (S-asema).
  • Nextcloudiin pääsyä voi hakea apurahatutkijan lomakkeella.

Tiedostojen salaaminen

Useissa yliopiston tarjoamissa tallennuspaikoissa erityisten henkilötietojen tai arkaluonteisten / salassapidettävien tietojen säilyttäminen ja käsittely vaatii tiedostojen salaamista.

  • Esimerkiksi U-asema.
  • Periaatteessa, jos työn eteneminen aivan välttämättä vaatisi Jyväskylän yliopiston 365 OneDriven käyttöä esimerkiksi väliaikaisena säilytyspaikkana, voisi myös OneDrivessa säilyttää erityisiä henkilötietoja salattuina tiedostoina.

Tiedostot salataan Cryptomator-ohjelmalla.

  • Katso ohjeet
  • Ohjelma on ladattavissa Cryptomatorin sivuilta.
  • Huomaa riski: Cryptomatoriin luodaan oma salasana. Jos salasana unohtuu, sitä ei voi palauttaa. Tällöin menetät pääsyn aineistoosi. Valitse siis sellainen salasana, jonka varmasti muistat ja/tai talleta salasana turvalliseen paikkaan.

Jyväskylän yliopiston salassapitotaulukko

Yliopiston salassapitotaulukko on Jyväskylän yliopiston henkilöstölle ja apurahatutkijoille suunnattu opas, joka kertoo missä saa säilyttää esimerkiksi julkisia tietoja, luottamuksellisia ja suojattuja tietoja (henkilötiedot), tai salaisia tietoja (erityiset henkilötiedot).

  • Taulukko saattaa olla vaikeaselkoinen, joten kannattaa perehtyä siihen ohjaajasi kanssa.

Varmuuskopiointi

  • Tee säännöllisesti varmuuskopiot aineiston eri versioista – erityisesti ennen merkittäviä aineiston käsittelytoimenpiteitä.
    • U-asema myös varmuuskopioi automaattisesti kaiken sisällön, mutta tee sen lisäksi omat varmuuskopioinnit.
  • Jos aineistossa ei ole erityisiä henkilötietoja, voit myös käyttää Jyväskylän yliopiston 365 OneDriveä varmuuskopiointiin (tai toisin päin).
  • Huomaa, että henkilötietoihin liittyvän koodiavaimen on oltava erillisessä tietoturvatussa paikassa, esimerkiksi lukitussa työpöydän laatikossa.

Mikäli aineisto on arkaluonteista, sen mahdolliset siirrot on tehtävä suojatussa verkossa, esimerkiksi VPN-yhteydellä. Muistitikulla siirtämistä tulee välttää.

TEKOÄLY, HENKILÖTIEDOT JA TIETOSUOJA

Jos pohdit tekoälysovellusten hyödyntämistä tutkimusaineistosi keräämisessä tai käsittelyssä, arvioi ensin millaista aineistoa aiot sovellukseen syöttää:

  • Oletko saanut aineiston tai sen osan luovutuksena jostain muualta? Kohdistuuko aineiston käyttöön sopimuksellisia rajoituksia?
  • Onko sinun mahdollista anonymisoida aineisto ennen tekoälyn käyttöä tai minimoida sovellukseen syötettäviä henkilötietoja?
  • Onko sovelluksen käyttäminen henkilötietojen käsittelyssä linjassa sen kanssa, mitä olet rekisteröidyille henkilötietoja kerätessä kertonut?
    • Esimerkiksi: onko sovelluksen tarjoaja mainittu henkilötietojen käsittelijänä tutkimuksessasi vai ei? Tai johtaako sovelluksen käyttö henkilötietojen siirtoon EU:n ulkopuolelle, vaikka olet kertonut tutkittaville käsittelyn tapahtuvat EU:n sisäpuolella?

       

Tärkeää: Älä toimi tutkittaville tai muille rekisteröidyille antamiesi tietojen vastaisesti!

Perustutkinto- ja väitöskirjavaiheen opiskelijoiden tietosuojaohjeistukset koskien tekoälysovellusten valintaa ja käyttöä riippuvat siitä, että oletko:

  • itse rekisterinpitäjä eli vastuussa henkilötietojen käsittelystä, etkä ole työsuhteessa Jyväskylän yliopistoon
  • työsuhteessa Jyväskylän yliopistoon ja/tai aineiston rekisterinpitäjä on Jyväskylän yliopisto.

Jos olet itsenäinen rekisterinpitäjä etkä ole työsuhteessa yliopistoon:

  • Käytä ensisijaisesti Jyväskylän yliopiston tarjoamia ja yliopiston tunnuksilla käytettäviä tekoälysovelluksia, jotka ovat opiskelijoiden hyödynnettävissä ja joissa on salassapitotaulukon mukaisesti sallittua käsitellä henkilötietoa.
    • Esimerkki tällaisesta sovelluksesta on MyJYU AI Transcription.

Kun ohjelmisto on yliopiston keskitetysti hankkima, niin yliopiston asiantuntijat ovat ottaneet puolestasi selvää sovelluksen suorittamasta henkilötietojen käsittelystä, kuten:

  • Mitä henkilötietoja sovellus kerää käyttäjistään (eli sinusta)?
  • Asettaako sovelluksen tarjoaja käyttöehdoissaan rajoituksia henkilötietojen käsittelylle sovelluksessa (tähän sovellukseen saa/ei saa syöttää henkilötietoja)?
  • Noudattaako sovellus Euroopan Unionin yleistä tietosuoja-asetusta (GDPR)? Missä sovelluksen käyttäjän tai sovellukseen syötettävien henkilötietojen käsittely tapahtuu?
  • Jäävätkö sovellukseen syötetyt henkilötiedot palveluntarjoajan käyttöön pysyvästi? (Jos jäävät, sovellusta ei tule käyttää!)

Jos aineiston rekisterinpitäjä on Jyväskylän yliopisto tai käsittelet aineistoa työsuhteessa yliopistoon:

  • Tarkasta salassapitotaulukosta missä (tekoäly)sovelluksissa voit käsitellä henkilötietoa.
  • Älä syötä sovellukseen mitään henkilötietoja sisältävää aineistoa, ellei sovellusta ole erityisesti luotu käsittelemään henkilötietoja tietosuojalainsäädännön vaatimusten mukaisesti ja ellei sitä tarjota Jyväskylän yliopiston kautta ja yliopiston tunnuksilla käytettäväksi.
    • Esimerkki tällaisesta sovelluksesta on MyJYU AI Transcription.

MUISTILISTA

  • Ota selvää millaisia laitteita ja ohjelmistoja tarvitset aineistosi keräämiseen, tallentamiseen sekä käsittelemiseen.
  • Käytä ensisijaisesti yliopiston tarjoamia laitteita ja ohjelmistoja, joita käytetään esimerkiksi yliopiston käyttäjätunnuksilla tai yliopiston Microsoft-tunnuksilla.
  • Valitse tietoturvalliset laitteet ja ohjelmistot sen mukaan, onko aineistossasi henkilötietoja, erityisiä henkilötietoja tai arkaluonteista / salassapidettävää materiaalia.
    • Varmista lisäksi vaatiiko laitteen / ohjelmiston käyttö jotain erityistoimenpiteitä - esimerkiksi tiedostojen salauksen - jos sillä säilytetään / käsitellään esimerkiksi erityisiä henkilötietoja.
  • Tutustu hyvissä ajoin valitsemiesi laitteiden ja ohjelmistojen käyttöohjeisiin.

Osio liittyy FAIR-periaatteisiin Findable ja Re-usable.