Skip to content

Uuden tekoälypalvelun käyttöönotto Oulun yliopistolla

Kirjoittaja: Jesse Korhonen | Julkaistu: 12.6.2026
Avainsanat: , , , , , , , ,

Tällä sivulla kuvataan, miten uusi tekoälypalvelu arvioidaan ennen käyttöönottoa Oulun yliopistossa.

Ohje koskee tilanteita, joissa harkitaan muun kuin yliopiston valmiiksi tarjoaman tai hyväksymän tekoälypalvelun käyttöä opetuksessa, tutkimuksessa tai työssä. Arvioinnin tavoitteena on varmistaa, että käyttöönotossa huomioidaan tietosuoja, tietoturva, sopimukset, hallinta, tekninen toteutus ja mahdolliset riskit. Oulun yliopiston henkilötietojen käsittelyä ohjataan yliopiston tietosuojasivuilla ja ICT-palvelut tukevat käyttöönoton teknistä arviointia.

Ohje on tarkoitettu erityisesti palvelua ehdottaville yksiköille, ICT-palveluille, käyttöönottoa valmisteleville asiantuntijoille sekä tutkimusympäristöjen vastuuhenkilöille.

Tärkeimmät ohjeet lyhyesti

  1. Selvitä, onko palvelu jo arvioitu
  2. Kuvaa käyttötarkoitus, käyttäjät ja käsiteltävä data
  3. Tee tarvittaessa tietosuojan ennakkoarviointi
  4. Ota yhteys ICT-palveluihin ennen uuden palvelun käyttöönottoa
  5. Älä ota palvelua käyttöön ennen arvioinnin valmistumista ja palvelun hyväksyntää

Milloin uuden tekoälypalvelun arviointi tarvitaan?

Tätä ohjetta sovelletaan, kun organisaatiossa harkitaan uuden tekoälypalvelun käyttöönottoa eikä palvelua ole vielä hyväksytty yliopiston käyttöön. ICT-palveluiden ylläpitämästä tekoälytyökalujen listasta voit tarkistaa, mitä palveluita on jo arvioitu ja millä ehdoilla niitä saa käyttää.

Tätä ohjetta sovelletaan erityisesti silloin, kun:

  • palvelu käsittelee yliopiston dataa
  • palvelussa käsitellään henkilötietoja, tutkimusdataa tai muuta luottamuksellista aineistoa
  • palvelussa on agenttiominaisuuksia tai automaattisia toimintoja
  • palvelu toimii pilvipalveluna tai paikallisesti päätelaitteella
  • palvelua suunnitellaan kokeiluun, pilottiin tai laajempaan käyttöön

Vaihe 1: Työkalun esittely ja käyttötarkoitus

Arviointi alkaa palvelun perustietojen ja käyttötarkoituksen kuvaamisella. Tässä vaiheessa määritellään, mikä työkalu on, mihin sitä halutaan käyttää, ketkä sitä käyttäisivät, mitä hyötyä siitä odotetaan ja onko kyse pilotista, rajatusta kokeilusta vai laajemmasta käyttöönotosta.

  • Mikä ongelma työkalulla ratkaistaan?
  • Onko yliopistolla jo vastaava hyväksytty palvelu?
  • Onko käyttö jatkuvaa vai tilapäistä?

Vaihe 2: Työkalun luokittelu

Seuraavaksi työkalu luokitellaan käyttötarkoituksen, käyttöympäristön ja datan riskitason perusteella. Luokittelu ohjaa sitä, kuinka laaja arviointi ja hyväksyntä käyttöönotossa tarvitaan.

Näkökulma Esimerkkejä
Käyttötarkoitus Sisältöä tuottava työkalu, agenttipohjainen työkalu, analyysi- tai avustustyökalu
Käyttöympäristö SaaS-palvelu, on-prem-palvelu, päätelaitteella ajettava palvelu
Datan riskitaso Julkinen tai matalan riskin data, työpaikan sisäinen data, henkilötiedot, tutkimusdata, salassa pidettävä tai muuten erittäin suojattava data

 

Vaihe 3: Mitä käyttöönotosta pitää selvittää

Luokittelun jälkeen selvitetään käyttöönoton kannalta olennaiset vaatimukset ja edellytykset:

  • Tietosuoja: käsitelläänkö henkilötietoja, mitä henkilötietoryhmiä käsitellään, mikä on käsittelyn tarkoitus ja tarvitaanko tietosuojan ennakkoarviointi tai DPIA. Oulun yliopiston henkilötietojen käsittelyn periaatteet ja rekisteröityjen oikeudet on kuvattu yliopiston tietosuojasivuilla.
  • Tietoturva: missä data sijaitsee, siirtyykö data EU/ETA-alueen ulkopuolelle, miten pääsynhallinta toteutetaan, mitä integraatioita palvelu käyttää ja voiko se lukea tiedostoja, sähköposteja tai muita järjestelmiä
  • Sopimukset ja datan hallinta: käytetäänkö syötettyä dataa mallin koulutukseen, millaiset käyttöehdot palvelussa on, onko palvelulle olemassa sopimus ja kuka vastaa palvelusta ja sen hallinnasta
  • Tekninen toteutus: missä ympäristössä palvelu toimii, kuka hallinnoi ympäristöä, vaatiiko käyttöönotto integraatioita tai lisäoikeuksia, onko ratkaisu mahdollista eristää tai rajata
  • Lisensointi ja hankinta: onko kyse maksullisesta palvelusta, kuuluuko hankinta yliopiston prosessiin, ja kuka voi tehdä hankinnan. Lisenssien hankinnassa on noudatettava yliopiston hankinta- ja hyväksyntäprosesseja, tarkemmat ohjeet löytyvät osoitteesta https://oulu.ims.fi/Yksiköt eivät voi hankkia palveluiden lisenssejä itsenäisesti ilman ICT-palveluiden ennakkotarkistusta.   

Vaihe 4: Mitä riskejä käyttöönotossa arvioidaan

Riskikartoituksessa arvioidaan käyttöönottoon liittyvät keskeiset riskit ja niiden hallintatarve. Mitä enemmän työkalu toimii itsenäisesti, käsittelee luottamuksellista dataa tai käyttää ulkoisia palveluita, sitä enemmän käyttöönotto vaatii ennakkoselvityksiä ja hallintatoimia.

  • Tietosuojariskit: henkilötietojen tai arkaluonteisten tietojen päätyminen väärään palveluun
  • Tietoturvariskit: liian laajat käyttöoikeudet, heikko pääsynhallinta, integraatioriskit
  • Sopimus- ja hallintariskit: epäselvät käyttöehdot, datan käyttö mallin koulutukseen, puuttuva sopimus
  • Toiminnalliset riskit: virheellinen sisältö, hallusinaatiot, väärä käyttö päätöksenteon tukena
  • Agenttityökalujen erityisriskit: automaattiset toiminnot, tiedostojen luku, API-kutsut, laajenevat oikeudet
  • Ympäristöriskit: erot SaaS-palvelun, on-prem-ratkaisun ja päätelaitteen/tutkimuslaitteen välillä

Vaihe 5: Päätös käyttöönoton polusta

Arvioinnin perusteella valitaan käyttöönoton polku: kevyt, normaali tai laaja. Polku määrittää, kuinka laaja arviointi, hyväksyntä ja seuranta tarvitaan.

Kevyt arviointi

Sopii rajattuun käyttöön hallitussa ympäristössä, kun henkilötietoja ei käsitellä eikä agenttiominaisuuksia ole.

  • yksi aineisto tai yksi käyttötapaus
  • ei henkilötietoja
  • ei agenttiominaisuuksia
  • rajattu käyttö ja vähäiset riskit

Tuloksena voi olla kevyt arviointi, rajattu pilotti ja seuranta. Arviointia voidaan tarvittaessa myöhemmin laajentaa.

Perustason arviointi

Sopii tilanteisiin, joissa käyttäjiä on enemmän, mukana on sisäistä työdataa ja palvelu toimii SaaS-ympäristössä.

  • laajempi käyttäjäjoukko
  • sisäinen työdata
  • perustason tietosuoja- ja tietoturvaselvitykset tarpeen

Tuloksena voi olla normaali arviointi, ICT-palveluiden käsittely sekä sopimus- ja lisenssiselvitykset. Tarvittaessa voidaan tehdä myös DPIA ja rajata käyttötarkoitusta.

Laaja arviointi

Tarvitaan, kun palvelu käsittelee henkilötietoja tai muuta suojattavaa dataa, toimii agenttipohjaisesti, sisältää integraatioita tai käyttö on laajaa ja pysyvää.

  • henkilötietoja tai muuta suojattavaa dataa
  • agenttipohjainen toiminta
  • integraatioita muihin järjestelmiin
  • laaja tai pysyvä käyttö

Tuloksena voi olla laajempi tietosuoja- ja tietoturva-arviointi, tarvittaessa DPIA sekä tarkemmat hyväksynnät, rajaukset ja valvonta.

Esimerkkejä työkalujen arvioinneista

Esimerkki 1: Agenttipohjainen SaaS-työkalu

Palvelu, joka toimii ulkoisessa pilvipalvelussa agenttipohjaisesti ja voi lukea tiedostoja tai kutsua rajapintoja, vaatii yleensä laajan arvioinnin.

Esimerkki 2: On-prem-palvelu hallitussa ympäristössä

Palvelu, joka toimii hallitussa on-prem-ympäristössä ja jonka käyttö on rajattu, voi edellyttää kevyttä tai normaalia arviointia käyttötapauksen mukaan.

Esimerkki 3: Tutkimuslaitteella ajettava paikallinen työkalu

Palvelu, jota käytetään paikallisesti tutkimuslaitteella ilman henkilötietoja tai agenttiominaisuuksia, voi edellyttää kevyttä arviointia.

Esimerkki 4: Henkilötietoja käsittelevä tekoälyratkaisu

Palvelu, joka käsittelee henkilötietoja tai tukee päätöksentekoa, edellyttää yleensä laajaa arviointia ja voi vaatia myös DPIA:n.

Roolit ja vastuut

  • Palvelua ehdottava yksikkö kuvaa käyttötarkoituksen, tarpeen ja suunnitellun käyttötavan.
  • ICT-palvelut arvioivat teknistä soveltuvuutta, hallintaa ja käyttöönoton toteutettavuutta.
  • Tietosuojavastaava arvioi henkilötietojen käsittelyyn liittyvät tarpeet. Oulun yliopiston tietosuojavastaavan tavoitat osoitteesta dpo@oulu.fi.
  • Hankinta ja hallinto osallistuvat lisenssi- ja sopimusasioihin tarpeen mukaan.

Mitä tietoja arviointia varten tarvitaan

  1. työkalun nimi
  2. toimittaja
  3. käyttötarkoitus
  4. käyttäjäryhmä
  5. käyttöympäristö
  6. käsiteltävän datan tyyppi
  7. tieto agenttiominaisuuksista
  8. mahdolliset integraatiot
  9. tieto siitä, onko kyse pilotista vai tuotantokäytöstä

Näin viet asian eteenpäin

  • Kun harkitset uuden tekoälypalvelun käyttöönottoa, täytä ensin tietosuojan ennakkoarviointilomake yhdessä yksikkösi tietosuojatukihenkilön kanssa (Tietosuojatukihenkilöt (Patio))
  • Tietosuojavastaavan tavoitat tarvittaessa osoitteesta dpo@oulu.fi
  • Ota ennakkoarvioinnin jälkeen yhteys ICT-palveluihin ict@oulu.fi ja liitä mukaan arviointia varten tarvittavat tiedot.
  • Uutta tai hyväksymätöntä ratkaisua ei tule ottaa käyttöön ennen kuin tarvittava arviointi on tehty.
  • Jos käyttöönotto edellyttää lisenssin, asia tulee selvittää osana arviointia, eikä palvelua tule hankkia suoraan yksikön omana ratkaisuna ilman ICT-palveluiden ennakkotarkistusta.

« Takaisin

Tämä artikkeli julkaistiin kategorioissa English version available, Kaikki ohjeet, Oamk , Oamkin henkilöstölle, Oulun yliopiston henkilöstölle, Saavutettava artikkeli, UniOulu ja tageilla , , , , , , , , . Lisää permalink suosikkeihisi.