Kohti parempaa datanhallinnan infrastruktuuria

19.10.2022
Hyllykössä on eri värisiä kansioita.

Eroavat käytännöt ja puutteellinen infrastruktuuri liittyen tietosuojaan, datanhallintaan ja rekisterinpitäjyyksiin työllistävät asiantuntijoita.

Tutkimusaineistojen siirrettävyys ja yhteentoimivuus organisaatioiden, kuten korkeakoulujen ja tutkimuslaitosten välillä on osoittautunut haasteelliseksi juridiseen yhteentoimivuuteen liittyvien puutteiden takia. Tilanne saattaa aiheuttaa ongelmia saatavuudelle ja käytettävyydelle esimerkiksi silloin, kun tutkija vaihtaa organisaatiosta toiseen tai kun aineistoja siirretään kolmannen osapuolen tarjoamaan palveluun, kuten data-arkistoon tai suuremman laskentatehon mahdollistavaan järjestelmään. Siirroille ei ole vakiintuneita käytänteitä, vaan ne riippuvat sekä luovuttavan että vastaanottavan tahon juridisista tulkinnoista. 

Siirtojen kömpelyyden ja työläyden lisäksi tilanteessa piilee suora riski tutkimusorganisaatioille. Esimerkiksi henkilötietojen rekisterinpitäjän on kyettävä osoittamaan toimivansa tietosuojalainsäädännön mukaisesti myös silloin, kun henkilötietoja käsittelee ulkopuolinen palveluntarjoaja.

Erot tulkinnoissa ja käytännöissä aiheuttavat ylimääräistä työtä

Kun organisaatioiden välisissä käytännöissä ja tulkinnoissa on eroja, kysymykset esimerkiksi aineistojen omistajuudesta, rekisterinpitäjyydestä sekä tietosuojasta aiheuttavat huolta sekä organisaatioille että tutkijoille. Ongelma on tunnistettu avoimen tieteen toimijoiden keskuudessa. Avoimen tieteen ja tutkimuksen kansallisessa ohjausryhmässä toukokuussa ratkaisuiksi ehdotettiin asian edistämistä fasilitoivan tahon perustamista, linjausta tai lisäselvityksen tekemistä rekisterinpitäjyyteen liittyen. Edustusta työn edistämiseen on kaivattu niin ammattiliitoista, kuin lakimies- ja rehtoritasolta. 

Jyväskylän yliopiston informaatikko Juuso Marttila on toiminut asetelman esittelijänä niin AVOTT-ohjausryhmän kokouksessa kuin UNIFIlle. ”Tutkimusorganisaatioiden vaihtelevat tulkinnat sekä ennen kaikkea tutkijan työhön sisäänrakennettu liikkuvuus aiheuttavat jatkuvasti tilanteita, joissa edes tutkijoita neuvovat tukipalvelut eivät tiedä vastauksia ja joiden ratkaisu vaatii viikkojen työtä eri organisaatioiden lakimiehiltä. Yksittäistapauksina jatkuvasti hoidettu tilanne on kestämätön, ei vastaa nykyaikaisen tieteenteon vaatimuksia ja on keskeinen uhka FAIR-periaatteiden toteutumiselle. Asiassa kaivataan ehdottomasti yhteisen tahtotilan lisäksi yhteistä linjaa, miten näitä asioita tutkimuksen kentällä tulkitaan, sekä yhteentoimivia prosesseja käytännön asioiden hoitamiseen”, Marttila kommentoi.

Tutkija vai organisaatio rekisterinpitäjänä?

Tieteen tietotekniikan keskus CSC käynnisti keväällä 2022 sisäisen kehitysprojektin organisaatioiden tutkimussisältöjen, kuten tutkimusdatan, hallinnan tukemiseksi CSC:n tutkimuksen palveluissa. CSC tarjoaa opetus- ja kulttuuriministeriön rahoituksella tutkimukselle palveluja datanhallintaan ja tieteelliseen laskentaan. Käsiteltävien sisältöjen oikeudellinen hallinta on aina käyttäjällä tai tämän taustaorganisaatiolla. Kyseisten palveluiden käyttö perustuu tällä hetkellä henkilökohtaisiin käyttäjäprofiileihin ja käyttöoikeuksiin. Aineistojen pitkäjänteinen julkistaminen ja säilyttäminen sekä henkilötietojen hallinta edellyttävät kuitenkin yhä useammin organisaatiotason osallisuutta. 

Projektissa on muun muassa kartoitettu henkilötietoja sisältävän tutkimusdatan käsittelyn käyttötapauksia. EU:n tietosuoja-asetuksen perusteella henkilötietojen rekisterinpitäjän ja käsittelijän välillä täytyy olla sopimus tietojen käsittelystä. CSC:ssä kehitetään sopimisen prosessia tilanteisiin, joissa rekisterinpitäjä on organisaatio, mutta käytännön työstä vastaa tutkija. 

Tiedonkeruu työpajojen ja kyselyiden muodossa on vahvistanut käsitystä, että tutkimusdatan organisaatiotason hallintaa on aihetta kehittää CSC:n lisäksi myös tutkimusorganisaatioissa itsessään. Yhä useammin organisaatio varaa itselleen tutkimussisältöihin liittyviä oikeuksia ja vastuita esimerkiksi työsopimuksissa. Näitä linjauksia kuitenkin toimeenpannaan vaihtelevasti. “Jos on linjattu, että organisaatio on rekisterinpitäjä tutkimusdatan sisältämille henkilötiedoille, mutta tutkijat käytännössä hallitsevat aineistoja ja esimerkiksi päättävät itsenäisesti niiden säilytysratkaisuista, tutkijoita tulisi järjestelmällisesti ohjeistaa rekisterinpitäjän vastuista. Organisaatioilla tulisi myös olla jonkinlainen kokonaiskäsitys niistä henkilörekistereistä, joiden rekisterinpitäjinä ne toimivat.” CSC:n tutkimusdatanhallinnan palveluista vastaava asiakasratkaisupäällikkö Heidi Laine pohtii. 

Ei hallintaa tutkimuksen vapauden kustannuksella 

CSC:n tavoitteena onkin kehittää ja lisätä raportointia organisaatioille niihin affiliotuneiden käyttäjien tutkimussisällöistä CSC:n järjestelmissä. Vahvistuva organisaatiotason hallinta ei saisi kuitenkaan tapahtua tutkimuksen vapauden kustannuksella. ”Näen organisaatioiden ylivarovaisuuden pienenä mahdollisena riskinä. Henkilötietoja, jopa arkaluonteisia sellaisia, voi hallita ja jakaa avoimen tieteen hengessä, kunhan se tapahtuu tarkoitukseen sopivassa, riittävän tietoturvallisessa käsittely-ympäristössä.”, Laine muistuttaa.

Juttua varten on haastateltu CSC:n asiakasratkaisupäällikkö Heidi Lainetta sekä saatu kommentit Jyväskylän yliopiston informaatikko Juuso Marttilalta.

Haastattelu & loput tekstistä: Jonni Karlsson 

Kuva: Maarten van den Heuvel Unsplash

Sinua saattaisi kiinnostaa myös