19.11.2018 12:37

VÄÄRIN YMMÄRRETTY TIETOSUOJA

EU:n tietosuoja-asetus on ohjannut henkilötietojen käyttöä nyt puolisen vuotta, ja eduskuntakin vahvisti viimein kansallisen tietosuojalain. Hämmennyksen määrä tämän lainsäädännön ympärillä ei ole kuitenkaan vähentynyt, ja aiheen vastuuhenkilöt ovat löytäneet hyvin erilaisia vastauksia, mitä yrityksen pitäisi asialle tehdä. Yleisin lopputulkinta tuntuisi olevan ”meillä on tärkeimmät paperit tehty, joten asiamme ovat varmaankin keskimäärin ihan hyvin kunnossa”.

Keskeisin väärinkäsitys tietosuojasta onkin sen lokerointi hallinnolliseksi tehtäväksi, jossa pääpaino on juridisten dokumenttien, kuten rekisteriselosteen ja käsittelijäsopimusten laatimisessa. Nämä ovat tärkeä osa hyvää tietosuojatyötä, mutta vain askel kohti todellista maalia.

Tietosuojaseloste on vahva dokumentti, ja siinä annetaan lupaus asiakkaalle, kumppanille tai työntekijälle. Selosteen lupaus kertoo tiivistelmän, kuinka yrityksemme henkilötietoja käsittelee ja millaisiin toimiin on sitouduttu näiden tietojen suojaamiseksi.

Valitettavan usein tämä lupaus on jouduttu kuitenkin antamaan arvauksen varassa, koska aiemmin ei ole ollut vastaavanlaista tarvetta tietää, mitä tietoja meillä liikkuu, kuka niitä käsittelee ja missä tarkoituksessa. Syyllisyyden tunteen sijaan tämän keskeneräisyyden tunnistaminen on oivallinen pohja kestävän mallin rakentamiselle, sillä monesti ensimmäinen kokeilukierros opettaa tekijälleen enemmän kuin loputon pohdiskelu asian ympärillä.

Tietosuojan kokonaiskuuva – tietotilinpäätös

Olen verrannut tietosuojaa taloudelliseen kirjanpitoon. Nykymuotoisella kirjanpidolla on jo puolen vuosituhannen perinteet, ja se on tullut luonnolliseksi osaksi yrityksen toimintaa. Tuloslaskelma ja tase kertovat hyvin, missä kunnossa talous on, ja tilinpäätös täydentää kuvan siitä, kuinka asiat on järjestetty.

Tietosuojaselostetta voidaan melko uskottavasti verrata tuloslaskelmaan tai ainakin sen osaan, ja tietosuojan kokonaiskuvan raportointia onkin suositeltu tehtävän tietotilinpäätöksen muodossa. Avainkysymykseksi muodostuukin se, onko yrityksellä riittävä kokonaiskuva selvillä tietosuojastaan, jottei tuloslaskelmaa jouduta arvaamaan koska ei ole tehty ensin kirjanpitoa?

Kun alamme purkaa tietosuojaa pienempiin palasiin, pystymme erottelemaan sieltä asetuksen ydinvaatimukset, jotka pitää olla hoidossa. Näiden tueksi on tärkeä tunnistaa toimintoja, jotka ovat edellytyksenä ydinvaatimusten toteutumiselle. Tärkeimpiä ovat organisaation it-prosessit, tietoturva ja henkilöstön osaamisen kehittäminen. Yksi erittäin keskeinen osa annettavaa tietosuojalupausta on tietojen pitäminen turvassa, ja siihen tarvitaan juuri näitä edellä mainittuja keskeisiä toimintoja.

Yrityksen yleisimmät tietosuojariskit muodostuvat kahdesta pääryhmästä: henkilötietojen käsittelytavat eivät ole asetuksen ohjeiden mukaisia ja tietoja käsitellään väärin, tai sitten tietojen suojaamisessa epäonnistutaan ja tietoja joutuu vääriin käsiin.

Näiden riskien estäminen vaatii juridiikan, tekniikan ja henkilöstön osaamisen onnistunutta yhdistämistä. Olen ilokseni kuullut monen organisaation muodostaneen oman ohjausryhmänsä tietosuojatyölle. Työryhmään on koottu riittävän hyvin nämä eri alueiden osaamiset. Oikein organisoituna ryhmän ei tarvitse kuitenkaan jatkuvasti palaveerata, vaan eri osa-alueet voivatkin hoitaa omia osuuksiaan melko itsenäisesti yhteisen suunnitelman avulla. Kun esimerkiksi rekistereillä ja järjestelmillä on omat nimetyt vastuuhenkilöt, alkavat asiat jäsentyä entistä tehokkaammin.

Haastankin sinut karistamaan ajatukset paperinmakuisesta byrokratiasta ja tavoittelemaan entistä vahvempaa lupausta teille tärkeille ihmisille. Oikeiden toimien lopputuloksena syntyy digitalisaation mahdollisuuksia entistä turvallisemmin hyödyntävä organisaatio, joka on asiakkaittensa luotettu kumppani ja työntekijöittensä arvostama työpaikka.

Ismo Paananen
Tietosuojamalli.fi
Certified Information Privacy Technologist