Info:
Ei ilmoitettuja infoja
Koulutus:
Uusia tulossa kesän 2018 aikana

Aleksi Pulkkanen

Tietosuojamalli.fi-perustaja. Tehdään tietosuojatyöstä vähän helpompaa.
29/11/2017
4
minuuttia luettavaa

Kuinka organisaationne aloittaa matkan kohti GDPR-vaatimustenmukaisuutta - ja sen osoittamista?

Maailmassa kehitetään jatkuvasti lisää tietointensiivistä teknologiaa, tekoälyyn perustuvia palveluita tai käyttäjän käyttäytymiseen reagoivia sovelluksia. IoT:n myötä kohta melkein laite kuin laite välittää tietojaan internetiin. Tämän kehityksen myötä erilaiset IT-palvelut alkavat olla yhä läpitukevampia kaikessa elämässämme, mikä on toki monin puolin positiivinen asia. 

Kuten tällä sivustolla kävijöille on tuttua, Euroopan Unionssa astuu voimaan toukokuun 25. päivänä 2018 uusi unioninlaajuinen tietosuoja-asetus GDPR. Viranomaisten sanoin tietosuoja-asetuksessa on kyse "osoitusvelvollisuuteen perustuvasta tietosuojakehyksestä Euroopassa". Teknologisen kehityksen edetessä vauhdilla halutaan samalla pitää huolta siitä, ettei yksityisyyden suojasta tingitä kehityksen tarjotessa mahdollisuuksia yhä laajemmin.

Viranomaisten sanoin tietosuoja-asetuksessa on kyse "osoitusvelvollisuuteen perustuvasta tietosuojakehyksestä Euroopassa".

Yksittäisen organisaation näkökulmasta osoitusvelvollisuus-sana pitää sisällään ehkä koko asetuksen merkittävimmän muutoksen aiempaan. Jatkossa ei enää riitä sen sanominen, että "meillä lakeja ja asetuksia kyllä noudatetaan". Jatkossa se pitää pystyä omalla dokumentaatiolla osoittamaan. Dokumentaatiolla ei tässä yhteydessä myöskään tarkoiteta ainoastaan pikaisesti happanevia tiedostoja, mutta palataan tähän seuraavissa kirjoituksissa...

Aiemmin tällaista velvollisuutta ei ole ollut, jonka takia nykytila tietosuojan suhteen suomalaisissa organisaatioissa on hyvin vaihtelevalla tasolla, vaikka lakeja on löytynyt aiemminkin.

Osoitusvelvollisuus & case tietojen minimointi

Tietosuoja-asetuksen ensimmäinen varsinainen artikla listaa kuusi yleistä periaatetta oikeaoppiselle henkilötietojen käsittelylle. Yksi periaatteista on tietojen minimointi.

Tietojen minimoinnin ideana on pienentää rekisteröityjen riskejä patistamalla organisaatiot suorittamaan henkilötietojen käsittely vain tarkoituksen vaatimalla laajuudella. Tähän voi nähdä liittyvän ainakin kolme näkökulmaa:

  • Henkilötietojen määrän minimointi = Kerätään vaan ne henkilötiedot, joita käsittelyn tarkoitukset vaativat
  • Pääsyn minimointi = Annetaan tietoihin pääsy vain niille ihmisille, jotka sitä todella tarvitsevat
  • Säilytysajan minimointi = Säilytetään tietoja vain sen aikaa, kuin käsittelytarkoitus vaatii

Nämä ovat kaikki hyvin ymmärrettäviä näkökulmia ja varmasti meistä jokainen haluaisi, että omia tietoja käsitellään tällaisten periaatteiden mukaisesti. Mutta miten ihmeessä osoittaa, että näin arjessa toimitaan?

Kuinka osoittaa tietojen minimoinnin toteutuminen?

Henkilötieto on nykypäivän uutta pääomaa, ja tietosuoja-asetus kertoo meille, kuinka käsitellä sitä oikein. Mutta mistä kaikesta meillä pitää olla tietoa, jotta voimme näin toimia?

Henkilötieto on nykypäivän uutta pääomaa, ja tietosuoja-asetus kertoo meille, kuinka käsitellä sitä oikein.

Jotta organisaatio voisi osoittaa, että tietojen minimointi toteutuu, tarvitaan uudenlaisia toimintatapoja ja esimerkiksi kattavaa ymmärrystä oman henkilötietojen käsittelyn nykytilasta. Pyrin listaamaan muutamia asioita, jotka ovat osa henkilötietojen käsittelyn nykytilan kuvaamista:

  • Missä tietojärjestelmissä meillä on henkilötietoja?
  • Mitä henkilötietoryhmiä missäkin järjestelmässä on?
  • Mitkä kumppanit ylläpitävät tietojärjestelmiä? Ketkä heiltä pääsevät tietoihin?
  • Missä eri tilanteissa henkilötietoja käsitellään ja mihin tarkoituksiin?
  • Mitä henkilötietoja meillä on tietojärjestelmien ulkopuolella? Tarvitaanko näitä jatkossakin?
  • Millä rooleilla meidän henkilöt pääsevät mihinkin tietoihin käsiksi?

Esimerkiksi tämän tyylisten asioiden voidaan melko suoraan nähdä liittyvän tietojen minimointiin. Jo näistä kysymyksistä huomaa, että vaadittava tietämys ja sitä kautta "osoitettavien asioiden kirjo" on aika monipuolinen. Etenkin kun henkilötietoja käsitellään joka puolella organisaatiota (myynti, asiakaspalvelu, HR, markkinointi, talous, jne.) eri tarkoitusperin ja järjestelmin. Dokumentaation luominen vaatii fiksuja käytäntöjä ja väkisinkin paljon yhteispeliä eri ihmisten välillä.

Nämä asiat eivät ole missään nimessä hankalia, mutta niistä ei aiemmin ole totuttu pitämään aktiivisesti kirjaa. Etenkään tietosuoja-asioita ei ole nähty yhtenä kokonaisuutena. Nyt on hyvä aika tehdä se. Jos tietosuojadokumentaatiota jatkossa lähestyy tavalla, jossa välttämättömimmät selostedokumentit runoillaan kasaan sitten "kun on pakko", ja arkistoidaan pölyttymään verkkolevyn kulmalle, ollaan huonolla tiellä. Etenkin kun muistetaan, että samaan tyyliin pitäisi osoittaa esimerkiksi käsittelyn turvallisuuden varmistaminen ja monta muuta asiaa...

Jos tietosuojadokumentaatiota lähestyy tavalla, jossa välttämättömimmät selostedokumentit runoillaan kasaan sitten "kun on pakko", ollaan huonolla tiellä.

Hyvä tietosuoja vaatii selkeästi vastuutettuja prosesseja, joita ylläpidetään ja arvioidaan aktiivisesti.

Ala keräämään ymmärrystä ja tietoja, jotka auttavat teitä tulevaisuudessa

Meiltä kysytään usein, mikä olisi se "lyhyin oppimäärä" tietosuoja-asiaa, jolla saisi nyt tämän kiusankappaleen hoidettua kuntoon. Ymmärrän hyvin tämän lähestymisen, koska kiirettä piisaa jo muutenkin ja tietosuoja-asetus tuo lisää puuhaa kaiken muun päälle.

Lupausta tällaisesta pikaratkaisusta on kuitenkin hyvin vaikeaa antaa, koska voi tulla tehneeksi pahan luokan karhunpalveluksen organisaatiolle. Yleistä tietosuoja-asetusta valmisteltiin vuositolkulla valtavan lobbausmäärän keskellä. Lopputuloksena 25.5.2018 aletaan soveltaa asetusta, joka vahvistaa merkittävästi yksilönvapauksia ja -oikeuksia. Voisi pitää aika todennäköisenä, että myös asetuksen noudattamiseen ohjaamisessa halutaan olla aktiivisia.

Kannattaa siis lähteä tekemään tietosuojaan liittyviä asioita kerralla niin, että tietoa ja ymmärrystä syntyy oikeille ihmisille ja oikeassa muodossa, jotta niitä voidaan hyödyntää jatkossakin. Tietosuojatyössä alkuun pääseminen vaatii:

  • ymmärrystä tietosuojan perusteista
  • oikeat työkalut (esim. Tietosuojamalli tai muu vastaava, excel ja word räjähtävät tässä asiassa käsiin)
  • yhteistyötä yrityksen eri yksiköiden välillä

Tietosuoja-asetus on iso oppimis- ja muutoshanke, jossa sen päätekijöitä ei saa jättää yksin. Tätä korostaa myös Tietosuojavaltuutetun juuri kokoama "Tietosuojan Aulangon julistus", vaikka tämä on syntynyt sote-alan toimijoiden parista, joilla tietosuoja on jo aiemminkin ollut isompi osa toimintaa kuin monilla muilla organisaatioilla.

Kauppakamarin tietosuojavalmennus pyrkii tuomaan esille alueellisesti kauppakamarien organisaatioille eri tavoin tarjoamaa tukea tässä teemassa. Pidämme mm. ilmaisia webinareja ja infotilaisuuksia, järjestämme koulutuksia, asiantuntijat tarjoavat henkilökohtaista neuvontaa ja tarjoamme valmennukseen liittyneille pidennetyn kokeilujakson Tietosuojamalli-työkalusta. Haluamme olla tukenasi tämän muutoksen varrella.

Mukaan valmennukseen voit liittyä ilmaiseksi, tervetuloa!

Keskustelua kirjoituksesta