Toggle Side Panel
Close search
Takaisin alkuun

Education Leadership Summit 2026

0% suoritettu
0/0 vaihetta
  1. Käsitteet ja tilannekuva: Mistä puhumme ja miksi se on tärkeää?
    5 Kappaleet
  2. Todelliset esteet ja hidasteet koulutusviennissä
    6 Kappaleet
  3. Ratkaisuaihiot ja yhteistyömallit: Mitä nousi esiin?
    7 Kappaleet
  4. Yhteinen tavoite ja yhdessä saavutettava vaikutus: Työpajan päätelmät
    6 Kappaleet
  5. Kiteytys toimintasuunnitelmaksi: Eteneminen 90 päivää – 12 kuukautta
    6 Kappaleet
Luku Edistyminen
0% suoritettu
Photorealistic scene merging a modern Nordic classroom and an adjacent planning room where a diverse group of teachers, edtech designers and local school officials sit around a table strewn with open laptops, printed contracts and checklists, a fountain pen, a small locked external hard drive and a padlock atop a stack of documents; a parent signs consent on a tablet while a child uses a tablet showing anonymized pixelated avatars; through a glass partition a climate-controlled server rack and cloud equipment with network cables is visible alongside a world map with pinned locations, a turned-off CCTV camera and a small blindfolded justice scale statue on a shelf; a teacher points to a paper mockup of a privacy-by-design flow and a whiteboard sketch of modular system components as focused, collaborative expressions and soft natural daylight, cinematic depth of field and intricate textures underscore the tensions of regulation, data protection and ethics in exporting education.

Kun suomalaisia koulutusratkaisuja viedään uusiin maihin ja uusiin oppimisympäristöihin, sääntely, tietosuoja ja etiikka eivät ole “juridiikkaa lopussa”, vaan osa tuotteen ja palvelun ydinsuunnittelua. Mitä aiemmin ne huomioidaan, sitä vähemmän syntyy viivettä, uudelleentyötä ja mainehaittaa.

Tässä teemassa kootaan keskeiset riskit ja velvoitteet sekä käytännön tapa huomioida ne jo ratkaisun suunnittelussa.

1) Miksi tämä hidastaa koulutusvientiä?

Tyypilliset hidasteet liittyvät siihen, että:

  • Lainsäädäntö vaihtelee maittain (koulutus, digipalvelut, maksaminen, lasten suoja, tietojen siirto).
  • Tietosuoja- ja sopimusvastuut ovat epäselviä, erityisesti kun mukana on useita toimijoita (koulu, viranomainen, teknologiatoimittaja, alihankkijat).
  • Alaikäisten data nostaa vaatimustasoa (suostumus, minimointi, turvallisuus, markkinointirajoitukset).
  • Eettiset riskit (esim. vinoumat, valvonta, oppijoiden profilointi) voivat kaataa hankkeen, vaikka se olisi juridisesti “mahdollinen”.
  • Todisteet vaikuttavuudesta edellyttävät usein seurantadataa, mutta dataa ei ole suunniteltu kerättäväksi tietosuojan ja etiikan ehdoilla.

2) Keskeiset riskit ja velvoitteet (mitä pitää huomioida)

Alla oleva lista toimii käytännön “tarkistuslistana” jo ennen pilotointia.

2.1 Tietosuoja (henkilötiedot ja oppijadata)

Ydinperiaatteet, jotka tulee pystyä perustelemaan:

  • Tarkoitussidonnaisuus: miksi tietoa kerätään ja mihin sitä käytetään.
  • Tietojen minimointi: kerätään vain se, mikä on välttämätöntä.
  • Läpinäkyvyys: selkeä tieto siitä, mitä tapahtuu (oppijalle ja huoltajalle).
  • Oikeellisuus ja säilytysajan rajaaminen: data ei saa jäädä “roikkumaan”.
  • Turvallisuus: tekniset ja organisatoriset suojaukset.
  • Vastuun osoitettavuus: pitää olla dokumentit ja päätökset.

Tyypillisiä riskikohtia koulutusratkaisuissa:

  • Oppimisalustan lokitiedot (mitä käyttäjä teki, milloin, missä).
  • Arviointitiedot ja oppimisanalytiikka (profilointi).
  • Videot, kuvat ja ääni, etäopetuksen tallenteet.
  • Erityiset henkilötietoryhmät (esim. terveyteen, oppimisvaikeuksiin tai erityiseen tukeen viittaavat tiedot).
  • Tiedon siirto maasta toiseen (pilvipalvelut ja alihankkijat).

Suunnittelun tavoite: vaikuttavuuden mittaaminen ilman tarpeetonta henkilötietojen keruuta (esim. aggregointi, pseudonymisointi, paikallinen säilytys).

2.2 Alaikäiset ja suostumus (lasten suoja)

Alaikäisten kohdalla korostuvat:

  • Selkokielinen informointi (myös lapselle, ei vain huoltajalle).
  • Suostumuksen hallinta: kuka antaa suostumuksen, missä iässä ja miten se todennetaan (maa- ja aluekohtaiset käytännöt).
  • Markkinointirajoitukset: lasten käyttäytymisen profilointi mainontaa varten on monissa ympäristöissä erittäin ongelmallista.
  • Turvallinen oletusasetelma: oletuksena vähiten dataa ja eniten suojaa.

Suunnittelun tavoite: ratkaisu toimii turvallisesti myös silloin, kun suostumuksia ei saada kattavasti (esim. vaihtoehtoinen kirjautuminen, anonymisoitu käyttö, erilliset roolit).

2.3 Paikallinen koulutus- ja digisääntely

Koulutusratkaisu voi koskettaa useita sääntelyalueita:

  • Koulutuslainsäädäntö ja opetussuunnitelmat: kuka saa opettaa, millä ehdoilla, miten arviointi tehdään.
  • Julkiset hankinnat: kilpailutus, läpinäkyvyys, paikalliset vaatimukset.
  • Digipalvelujen vaatimukset: saavutettavuus, kuluttajansuoja, sisällön moderointi.
  • Tietojen sijainti ja valtion vaatimukset: joissain maissa data pitää säilyttää paikallisesti tai viranomaisten hyväksymissä ympäristöissä.

Suunnittelun tavoite: modulaarinen palvelu, jossa voidaan vaihdella esim. datan sijaintia, kirjautumismenetelmää ja raportointia paikallisten vaatimusten mukaan.

2.4 Sopimukset ja vastuut (kuka on vastuussa mistä)

Koulutusviennissä roolit menevät helposti sekaisin:

  • Kuka on rekisterinpitäjä (päättää tarkoitukset ja keinot)?
  • Kuka on käsittelijä (käsittelee toisen lukuun)?
  • Onko mukana yhteisrekisterinpitäjiä (yhteinen päätöksenteko)?
  • Mitä tekevät alihankkijat (hosting, analytiikka, tunnistautuminen)?

Vastuut pitää tehdä näkyväksi:

  • sopimuksissa (DPA / tietojenkäsittelysopimus),
  • palvelukuvauksessa,
  • käytännön prosesseissa (tukipyynnöt, tietoturvaloukkaukset, tarkastusoikeudet).

Suunnittelun tavoite: “yksi selkeä omistaja per asia” + dokumentoitu ketju (kuka vastaa, kuka tekee, kuka hyväksyy).

2.5 Eettiset reunaehdot (luottamus ja hyväksyttävyys)

Eettiset riskit nousevat erityisesti, kun käytetään:

  • oppimisanalytiikkaa,
  • tekoälyä (sisällöntuotanto, arviointi, suositukset),
  • valvontaa tai proctoring-ratkaisuja,
  • automaattista päätöksentekoa (esim. pääsy tukeen, arvioinnin ehdotukset).

Keskeiset eettiset kysymykset:

  • Hyöty vs. haitta: kenelle ratkaisu tuottaa hyötyä ja ketä se voi vahingoittaa?
  • Oikeudenmukaisuus: kohteleeko järjestelmä eri ryhmiä tasapuolisesti?
  • Autonomia: ymmärtääkö oppija, mitä järjestelmä tekee ja voiko hän vaikuttaa?
  • Läpinäkyvyys: voiko opettaja perustella päätökset ja suositukset?
  • Vallan epäsymmetria: oppija on heikommassa asemassa, joten suostumus ei aina ole “aidosti vapaaehtoinen”.

Suunnittelun tavoite: ratkaisu on hyväksyttävä myös silloin, kun se arvioidaan koulun, huoltajien, median ja viranomaisten näkökulmasta.

3) Miten huomioida velvoitteet jo ratkaisun suunnittelussa (käytännön malli)

3.1 “Privacy & ethics by design” – Perusperiaatteet tuotteelle

Suunnittele oletuksena näin:

  • Minimoi data (kerää vähemmän, ei enemmän).
  • Erota tunnisteet oppimisdatasta (pseudonymisointi).
  • Pidä lokit ja analytiikka hallittavana (rajatut säilytysajat, pääsynhallinta).
  • Rakenna roolipohjaiset käyttöoikeudet (oppija–opettaja–ylläpito–asiakas).
  • Tee suostumuksesta hallittava ominaisuus (ei manuaalinen sähköpostiketju).
  • Varaa “offline/low-data” -vaihtoehto (toimii myös ilman yksilötason seurantaa).
  • Dokumentoi päätökset (miksi kerätään, miksi tämä data on välttämätöntä).

3.2 Ennakkoarvioinnit ja dokumentit (mitä kannattaa tehdä ennen pilottia)

Valmistele kevyt mutta kattava paketti:

  • Tietosuojakuvaus: mitä dataa, mihin tarkoitukseen, säilytysajat, vastaanottajat.
  • Roolitus: rekisterinpitäjä/käsittelijä ja alihankkijat.
  • Riskienarviointi (esim. DPIA-tyyppinen arviointi tarvittaessa): riskit, lievennykset, jäännösriskit.
  • Tietoturvan perusvaatimukset: salaus, lokitus, varmistukset, haavoittuvuuksien hallinta.
  • Toimintamalli poikkeamiin: tietoturvaloukkaus, väärinkäyttö, häirintä, sisältöraportointi.
  • Eettinen arviointi: miten vältetään haitalliset käytännöt (profilointi, leimaaminen, syrjintä).

Tavoite ei ole paperi “paperin vuoksi”, vaan nopeuttaa hyväksyntää ja helpottaa asiakkaan päätöksentekoa.

3.3 Datan elinkaari (näin pidät kokonaisuuden hallussa)

Määrittele ja toteuta jokaiselle tietotyypille:

  1. Keruu: mitä kerätään ja miten informoidaan.
  2. Käyttö: kuka käyttää ja mihin tarkoitukseen.
  3. Jakaminen: kenelle dataa siirretään (myös analytiikkatyökalut).
  4. Säilytys: missä ja kuinka kauan.
  5. Poisto/arkistointi: miten poistetaan ja miten se todennetaan.
  6. Luovutuspyynnöt ja oikeudet: miten toteutetaan tarkastus, oikaisu, poisto (soveltuvin osin).

4) Tyypilliset kompastuskivet ja miten ne vältetään

  • “Kerätään varmuuden vuoksi”
    → Päätä etukäteen vaikuttavuusmittarit ja tarvitsemasi data. Jos et tarvitse yksilötason dataa, älä kerää sitä.

  • Epäselvä suostumus alaikäisten kohdalla
    → Rakenna suostumuksen hallinta osaksi tuotetta: roolit, huoltajan näkymä, peruutus, loki.

  • Alihankkijoiden analytiikka “huomaamatta”
    → Listaa kaikki työkalut ja SDK:t. Varmista sopimukset ja tiedon siirron perusteet ennen käyttöönottoa.

  • Oppimisanalytiikka tulkitaan valvonnaksi
    → Tee analytiikasta opettajan tukea, ei oppijan kontrollia. Kerro selkeästi, mitä mitataan ja miksi.

  • Pilotointi käynnistyy ennen vastuunjakoa
    → Tee roolitus ja minimisopimukset kuntoon ennen kuin yksikään oppija kirjautuu sisään.

5) Käytännön “minimipaketti” Koulutusvientihankkeelle

Kun valmistaudut uuteen markkinaan tai pilottiin, pyri siihen, että sinulla on:

  • 1 sivun yhteenveto: data, tarkoitus, säilytysajat, roolit, alihankkijat.
  • Tietosuojailmoitukset (oppija + huoltaja + opettaja) selkeällä kielellä.
  • Tietojenkäsittelysopimusmalli (DPA) ja alihankkijaluettelo.
  • Tietoturvan peruskuvaus (miten suojaatte datan).
  • Eettiset periaatteet (mitä ette tee, vaikka voisi).
  • Prosessi oikeuksien ja poikkeamien hoitamiseen (kuka vastaa, vasteajat, kanavat).

Tämä paketti nopeuttaa usein eniten asiakkaan (koulun/viranomaisen) hyväksyntää ja vähentää hankkeen viivästyksiä.

6) Pohdintatehtävä (valmistaa seuraavaan vaiheeseen)

Vastaa lyhyesti:

  1. Mitä henkilötietoja ratkaisusi välttämättä tarvitsee toimiakseen? Mitä dataa keräät vain “mukavuuden vuoksi”?
  2. Missä tilanteissa ratkaisusi käyttäjä on alaikäinen, ja miten suostumus sekä informointi hoidetaan käytännössä?
  3. Mitkä ovat kaksi suurinta eettistä riskiä ratkaisussasi (esim. leimaaminen, valvonnan tunne, vinoumat), ja mitä suunnittelumuutosta teet niiden pienentämiseksi?