3. heinäkuuta 2017

Tietoarkisto haluaa olla jatkossakin DSA-sertifikaatin arvoinen

Tietoarkistolle on tärkeää avata tutkimusaineistot vastuullisesti ja luotettavasti, ja luonnollisesti haluamme kertoa luotettavuudestamme myös muille. Yksi hyvä luotettavuuden mittari on kansainvälinen Data Seal of Approval (DSA) -sertifikaatti. Sen saaminen edellyttää, että organisaatio säilyttää sähköisiä aineistoja luotettavasti ja mahdollistaa aineistojen jatkokäytön. Tällä hetkellä Tietoarkistolla on voimassa vuosille 2014–2017 myönnetty DSA-sertifikaatti. Koska nykyisen sertifikaatin voimassaolo päättyy vuoden vaihteessa, sen päivittäminen on juuri nyt ajankohtaista. Seuraavaksi kerron yleisesti DSA-sertifikaatista ja sen hakemisesta.

Mikä ihmeen DSA-sertifikaatti?

Kansainvälisen sertifikaatin takana ovat ICSU World Data System (WDS) ja Data Seal Of Approval, jotka yhdessä myöntävät Data Seal of Approval (DSA) -sertifikaatteja. Sertifiointi on suunnattu sähköisten aineistojen säilyttäjille, ja sen avulla pyritään osoittamaan kuinka luotettava tietoja säilyttävä organisaatio on. Luotettavuutta arvioidaan sähköisten aineistojen säilyttämisen kaikissa vaiheissa aina aineistojen vastaanottamisesta niiden pitkäaikaissäilyttämiseen sekä edelleen jakamiseen.

Sertifikaatin vaatimukset perustuvat viiteen kriteeriin. Kriteerien mukaan säilytettävien aineistojen tulee olla löydettävissä verkosta, niiden tulee olla saatavilla selkein käyttöehdoin, aineistojen tulee olla tallennettuina jatkokäytön mahdollistavissa tiedostoformaateissa, aineistojen tulee olla luotettavia ja aineistojen tulee olla yksilöitävissä niin, että niihin voidaan viitata yksiselitteisesti ja pysyvästi. DSA-sertifikaatti on myönnetty vuosiksi 2014–2017 Tietoarkiston lisäksi liki 60 toimijalle ympäri maailmaa.

Sertifikaatin hakeminen

Jotta Tietoarkistolle myönnetty sertifikaatti pysyisi voimassa ilman katkoja, työ sertifikaatin uusimiseksi on aloitettu hyvissä ajoin.

Uuden sertifikaatin hakeminen edellyttää, että hakija täyttää edelleen vaaditut organisatoriset lähtökohdat. Lisäksi hakijan on raportoitava tarkasti organisaation nykyisen toiminnan tilanne. Raportointi perustuu 16 kohdan ohjeistukseen, jonka mukaisesti aineistojen luotettava säilyttäminen on todennettava niin käytäntöjen, tekniikan kuin etiikankin näkökulmasta. Sertifikaatin hakijan täytyy voida osoittaa, että sen toiminnan taso vastaa sertifikaatin vaatimaa tasoa.

Kokosin yhdessä kollegoideni kanssa Tietoarkiston toimintaperiaatteista ja -käytänteistä ohjeistuksen mukaisen raportin, jota varten haastattelin arkiston työntekijöitä eri asiantuntemuksen aloilta ja kävin läpi lukuisia asiakirjoja vuosien varrelta. Sen lisäksi, että toiminnan raportointi on sertifikaatin hakemisen edellytys, raportin kokoaminen on ollut hyödyllistä organisaation itsearvioinnin näkökulmasta. Yhteen dokumenttiin on nyt koottu kattava kokonaiskuva Tietoarkiston toiminnasta vahvuuksineen ja kehityskohtineen.

Tavoitteena sertifioinnin uusiminen vuosille 2017–2019

Raportti sertifikaatin hakemiseksi on toimitettu arvioijille ja odotamme Tietoarkistossa parhaillaan tietoa siitä, myönnetäänkö sertifikaatti meille vuosiksi 2017–2019. Sertifioinnin kriteerit ovat muuttuneet hieman aiemmasta, joten emme oletusarvoisesti pysty toteamaan, että sertifikaatti myönnetään sen perusteella, että se on myönnetty aiemminkin.

Visiomme mukaisesti toteutamme kuitenkin edelleen tehtäväämme luotettavana ja tunnettuna avoimen tieteen ja pitkäaikaissaatavuuden asiantuntijana, johon kuuluu oleellisesti toiminta, joka vastaa DSA-sertifioinnin mukaisia kriteerejä sähköisten aineistojen luotettavana pitkäaikaissäilyttäjänä.

Sertifiointi visuaalisesti esitettynä

Tietoarkisto järjesti keväällä työntekijöillensä koulutuspäivän, jonka aikana pääsimme oppimaan luovuudesta ja visuaalisten muistiinpanojen tekemisestä. Kokeilin oppimani perusteella yksinkertaistaa tässä blogitekstissä kirjoittamaani kokonaisuutta visuaalisiksi muistiinpanoiksi. Oleelliseksi osaksi muistiinpanojani olen nostanut ensinnäkin sen, että Tietoarkisto hakee sertifiointia ja toimittaa asianmukaisen sähköisen raportoinnin toiminnastaan sertifioinnista vastaavalle taholle. Toisena pääkohtana muistiinpanoissa on sertifiointimerkinnän saaminen. Jos toimittamamme raportti vakuuttaa arvioijat, Tietoarkiston toiminta saa julkisen ja kansainvälisesti tunnistetun luotettavuuden sinetin.

Sisällön lisäksi visuaalisten muistiinpanojen tekemisessä ovat tärkeitä pienet visuaaliset yksityiskohdat, kuten hahmojen juurruttaminen paikkaan. Tämän vuoksi Aineistonhallinnan käsikirjastakin tuttu Tietoarkiston Hemmo seisoo muistiinpanoissani kesäisissä tunnelmissa varpaat vihreänä kasvavassa nurmessa. Samaa rentoutumismetodia suosittelen kaikille blogitekstiäni kesällä lukeville henkilöille – kokekaa Hemmon tavoin vihreä kesänurmi sitä paljain varpain tunnustelemalla. Tuloksena nurmikon tunnustelusta paljain varpain ei myönnetä sertifikaatteja, mutta ripaus kesätunnelmaa siitä tarttuu varmasti matkaan.

Lisätietoa:
» Data Seal of Approval
» Tietoarkiston nykyinen DSA-sertifikaatti vuosille 2014–2017

Eliisa Haanpää
tutkimusamanuenssi
etunimi.sukunimi [at] uta.fi

16. kesäkuuta 2017

Suostumuksen edellytykset tietosuoja-asetuksen mukaan

Ihmisiin kohdistuvissa tieteellisissä tutkimuksissa käsitellään useimmiten tutkittavien henkilötietoja. Nykyinen henkilötietolaki (523/1999) perustuu EU:n direktiiviin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (95/46/EY). Aiemmat säädökset korvaavaa uutta tietosuoja-asetusta (2016/679) aletaan soveltamaan 25.5.2018 alkaen. Henkilötietoja käsittelevien rekisterinpitäjien, esimerkiksi tutkimusryhmän tai tutkimusorganisaation, on saatettava toimintansa vastaamaan asetuksen vaatimuksia viimeistään tähän mennessä.

Tutkittavien suostumukseen perustuvan tieteellisen tutkimuksen osalta tämä tarkoittaa sitä, että jos tällä hetkellä käynnissä olevaa tutkimusta varten hankitut suostumukset eivät täytä tietosuoja-asetuksen vaatimuksia, ja tutkittavien henkilötietoja on tarpeellista käsitellä tunnisteellisina 25.5.2018 jälkeen, on tutkittavilta pyydettävä uusi suostumus ennen asetuksen ensimmäistä soveltamispäivää. Jos tutkittavien henkilötiedot on kuitenkin ennen tätä tarkoitus tuhota tai muuttaa pysyvästi tunnistamattomaan muotoon, ei tutkijoiden tarvitse ryhtyä lisätoimenpiteisiin. Jos suostumuksia ei ole vielä pyydetty tutkittavilta, tulisi ne jo nyt pyytää tietosuoja-asetuksen edellyttämällä tavalla.

Tietosuoja-asetuksen mukainen suostumus ei eroa ratkaisevasti nykyisen henkilötietolain mukaisesta suostumuksesta ja tietosuojatyöryhmän (Article 29 Working Party) suostumusta koskevasta lausuntokäytännöstä. Aiempaa lausuntokäytäntöä on nyt siirretty suoraan osaksi asetusta ja tietosuoja-asetus asettaa suhteellisen korkeat vaatimukset pätevälle suostumukselle. Seuraavassa käydään läpi asetuksen keskeisimpiä vaatimuksia suostumukselle:

  1. Osoitusvelvollisuus. Rekisterinpitäjän on pystyttävä osoittamaan, että tutkittavilta hankittu suostumus täyttää tietosuoja-asetuksen vaatimukset. Rekisterinpitäjän osoitusvelvollisuuden täyttämiseksi on tärkeää dokumentoida selkeästi esimerkiksi:
    • kuka on antanut suostumuksen,
    • miten tutkittavaa on informoitu suostumuksen antamisen yhteydessä (tutkittavalle annettu kirjallinen informaatio sekä tieto suullisesti annetusta informaatiosta) ja
    • milloin suostumus on annettu (esim. päiväys suostumuslomakkeessa tai sähköinen aikaleima).
  2. Erottuvuus ja selkeys. Kun suostumus annetaan kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumusta koskeva pyyntö on esitettävä selkeästi erillään muista asioista. Jos esimerkiksi tutkittava osallistuu tutkimuksen yhteydessä työpaja- tai koulutustoimintaan – ja tätä toimintaa varten olisi tarpeellista sopia erillisistä ehdoista – on suostumuksen henkilötietojen käsittelyyn tieteellisessä tutkimuksessa oltava selkeästi erillään työpaja- tai koulutustoimintaa koskevista ehdoista. Suostumus henkilötietojen käsittelyyn on lisäksi pyydettävä helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.
  3. Suostumuksen aktiivinen ilmaiseminen. Tietosuojadirektiiviin verrattuna suostumus edellyttää entistä selkeämmin tutkittavan aktiivista toimintaa. Suostumus pitää antaa suostumusta ilmaisevalla lausumalla tai toteuttamalla selkeästi suostumusta ilmaisevan toimi. Suostumusta ilmaiseva lausuma on esimerkiksi suostumuslomakkeen täyttäminen ja allekirjoittaminen. Suostumusta selkeästi ilmaiseva toimena voidaan pitää kyselylomakkeen täyttämistä ja palauttamista tutkijoille. Vaikenemiseen perustuva suostumus, valmiiksi rastitettu ruutu verkkosivulla tai jonkin toimenpiteen tekemättä jättäminen sen sijaan eivät päde suostumukseksi.
  4. Tiedollisuus, vapaaehtoisuus ja yksilöitävyys. Tiedollisuus edellyttää tietoa esimerkiksi rekisterinpitäjästä (tarkista tähän liittyen organisaatiosi toimintakäytännöt) ja henkilötietojen käsittelyn tarkoituksesta. Lisäksi on huomioitava asetuksen yksityiskohtaisemmat informointisäännökset. Suostumusta ei katsota vapaaehtoiseksi, jos tutkittavalla ei ole mahdollista antaa suostumusta eri henkilötietojen käsittelytoimille, vaikka tämä olisi yksittäistapauksessa mahdollista. Vapaaehtoisuus edellyttää myös tosiasiallista valinnanvapautta ilman pelkoa haitallisista vaikutuksista. Tämä voi olla kyseenalaista, kun rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Erityisten tietoryhmien (aiemmin henkilötietolain arkaluonteiset tiedot) käsittely edellyttää lisäksi suostumuksen nimenomaisuutta. Tämä on katsottu yleensä edellyttävän rekisteröidyn antamaa täsmällistä ilmaisua joko kirjallisesti tai suullisesti.
  5. Suostumuksen peruuttaminen. Tutkittavalla tulee olla mahdollisuus peruuttaa suostumuksensa milloin vain. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antamisen. Asetuksen mukaan tutkittavalle on kerrottava, että suostumuksen peruuttaminen ei vaikuta ennen suostumuksen peruuttamista tapahtuneen henkilötietojen käsittelyn lainmukaisuuteen. Suostumuksen peruuttamisen mahdollistamiseksi on oleellista, että tutkittavilla on aina käytössään tutkimuksesta vastaavan tahon ajantasaiset yhteystiedot. Suostumuksen peruttaminen ei välttämättä edellytä vastaavaa menettelyä kuin suostumuksen antaminen – olennaista on peruuttamisen helppous.
  6. Suostumuksen kattavuus. Suostumuksen pitää kattaa kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus täytyy antaa kaikkia käsittelytarkoituksia varten. Jos esimerkiksi taiteellisen tutkimuksen yhteydessä on erotettavissa käsittelytarkoitus, joka ei liity suoraan tieteelliseen tutkimukseen, pitää myös tämä tarkoitus ilmoittaa yksilöidysti ja nimenomaisesti suostumusta pyydettäessä.
  7. Tieteellinen jatkotutkimus. Tietosuoja-asetuksen johdanto-osassa todetaan, että silloin kun tieteellisen tutkimuksen tunnustettuja eettisiä standardeja noudatetaan, suostumuksen antaminen on mahdollista tietyille tieteellisen tutkimuksen aloille. Tämä on sektorikohtainen poikkeus siihen pääsääntöön, että suostumus on annettava tarkkarajaisesti ennalta yksilöityä käyttötarkoitusta varten. Tutkittavalle täytyy kuitenkin aina varata mahdollisuus antaa suostumus pelkästään tietyille tutkimusaloille tai tutkimushankkeiden osille, jos tämä vain on mahdollista.

Asetuksen kohdasta ei ole vielä tulkintakäytäntöä. Euroopan unionin neuvoa antavan tietosuojatyöryhmän on tarkoitus julkaista syksyllä 2017 lausunto tietosuoja-asetuksen mukaisen suostumuksen tulkinnasta.

Henkilötietojen käsittely on mahdollista tutkittavan suostumuksen lisäksi myös muilla tietosuoja-asetuksen 6 artiklan mukaisilla perusteilla. Näitä ovat muun muassa yleistä etua koskevan tehtävän toteuttaminen sekä tilanteet, joissa henkilötietojen käsittely on eräissä tapauksissa tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen turvaamiseksi. Lisäksi erillisiä suostumukseen liittyviä säännöksiä on esimerkiksi EU:n kliinisiä lääketutkimuksia koskevassa asetuksessa (536/2014).

Suostumuksen edellytyksiä koskevien säännösten rikkomisesta voidaan määrätä hallinnollinen sakko. Tietosuoja-asetuksen artiklan 83 kohdan 5 mukainen hallinnollinen sakko on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Lisätietoja
» Tietosuoja ja tutkittavan suostumus osallistua tutkimukseen
Seminaari Helsingissä 1.11.2017
» Tietosuoja-asetus
» Article 29 Working Party, Opinion 15/2011 on the definition of consent, WP187
» Information Commissioner's Office: GDPR Consent Guide (draft)

Antti Ketola
lakimies, F.E.C.
etunimi.sukunimi [at] uta.fi