TIETOSUOJA-ASETUKSEN SIETÄMÄTÖN KEVEYS

Olen tänä vuonna tavannut EU:n tietosuoja-asetuksen tiimoilta asiakkaan jos toisenkin. Keskustelut ovat pääsääntöisesti olleet varsin rakentavia ja kauppaakin on syntynyt ihan mukavasti. Yksi asia on kuitenkin jäänyt hieman pohdituttamaan. Varsin usein asiakas on nimittäin esittänyt toiveen, tai oikeammin vaateen, että jos ja kun tähän on nyt kerran pakko lähteä, niin tehdään sitten vain ne asiat, jotka minimissään täytyy tehdä. Eli mennään ihan rimaa hipoen yli ja that’s it! Ajattelin itse hyödyntää samaa mallia viime kesänä hankkiessani lääkärintodistusta ajokorttia varten. Pyysin lääkäriä tekemään vain ne lääketieteelliset toimet, jotka kortin voimassapitämiseksi aivan minimissään vaaditaan. Hän katsoi minua hieman säälivästi ja antoi kaksi vaihtoehtoa. Joko tarkistus tehdään tai sitä ei tehdä. Ja that’s it! Sama pätee EU:n tietosuoja-asetukseen. Sen vaatimukset joko täytetään tai sitten ei.

Jostain syystä vaatimusten täyttäminen koetaan varsin byrokraattisena. Ainakin mikäli alkusyksystä pitämäni koulutuksen pienimuotoisesta gallupista voi vetää johtopäätöksiä. Pyysin osallistujia nostamaan käden ylös, mikäli tietosuoja-asetuksen, eli tuttavallisemmin GDPR:n, vaatimusten täyttäminen tuntuu heistä turhalta EU-hömpötykseltä. Yli puolet käsistä nousi. Seuraavaksi pyysin nostamaan käden ylös, mikäli omien henkilötietojen päätyminen vääriin käsiin tuntuu hyvältä tai tosi hyvältä jutulta. Yllättäen yhtään kättä ei noussut. Sinällään hieman surkea, mutta varsin odotettu tulos. Miksi siis toimenpiteet, joilla jokaisen toivoma henkilötietojen suojaaminen pyritään turvaamaan, tuntuvat hankalilta ja byrokraattisilta? Yksi syy voi olla se, että asiaan liittyvää tietoa tulee tällä hetkellä joka myyntituutista, ja konkretian löytäminen tästä infomerestä saattaa olla varsin tuskallista. Eli lienee syytä avata asiaa hieman tarkemmin.

EU:n yleinen tietosuoja-asetus on laadittu ennen kaikkea siksi, että yksilön oikeudet omiin tietoihinsa voidaan taata tässä alati digitalisoituvassa maailmassa. Toisaalta asetuksella halutaan myös varmistaa, että jokaisella palvelua tuottavalla taholla on samat toimintaedellytykset ja velvollisuudet kaikissa EU-maissa. Jotta nämä tavoitteet saadaan toteutettua, on laadittu yhteensä 99 artiklaa käsittävä pakottavaa lainsäädäntöä oleva asetus. Kohtalaisen paljon vaikeaselkoista tekstiä omaksuttavaksi. Ja jos päällimmäiseksi mieleen ovat jääneet myyntikirjeissä toistuvasti mainitut kovat sanktiot, on täysin ymmärrettävää, että asia saattaa hieman ahdistaa.

Onneksi tieto ei aina lisää tuskaa. Yksinkertaistettuna asetuksessa on kyse henkilötietojen käsittelyyn liittyvien riskien tunnistamisesta, niiden vaikuttavuuden analysoinnista ja ennen kaikkea riskien minimoimisesta. Ja siitä, että tämä kaikki voidaan myös tarvittaessa valvovalle viranomaiselle osoittaa, eli osoitusvelvoitteen täyttämisestä. Aloitetaan asetusvyyhdin purkaminen organisaation toiminnan luonteesta. Onko henkilötietojen käsittely organisaation ydintoimintaa? Entä onko käsiteltäviä tietoja paljon ja ovatko ne arkaluonteisia? Jos vastaus on kyllä, organisaation saattaa olla tarve nimetä tietosuojavastaava. Kyseessä on sisäinen tai ulkoinen nimetty taho, jonka vastuulla on huolehtia henkilötietojen käsittelyn lainmukaisuudesta.

Henkilöstöhallinnollisten toimien tultua näin täytetyiksi, pääsemmekin pohtimaan itse henkilötietojen käsittelyä. Tyypillisesti suurimmat käsittelyyn kohdistuvat riskit liittyvät tietojen säilyttämiseen, käsittelyoikeuksiin ja tiedon jakeluun. Siksi niistä kannattaakin aloittaa. Tehdään tämä kuvaamalla mitä henkilötietoja sisältäviä tietovarantoja organisaatiolla on, minkälaista tietoa niissä säilytetään ja kuinka pitkään. Sitten analysoidaan ketkä tietoja käsittelevät, miksi ja millaisilla oikeuksilla ja järjestelmillä sekä se, kenelle tietoja mahdollisesti luovutetaan ja miksi. Rinnalla arvioidaan näihin toimintoihin liittyviä uhkia ja riskejä ja pohditaan näiden vaikuttavuutta. Käsittelyprosessien tultua selvitetyiksi, arvioidaan tietoturvallisuuden ja siihen liittyvän dokumentaation tasoa sekä henkilöstön tietoturvatietoisuutta viestintää unohtamatta. Lopuksi käydään vielä henkilötietojen käsittelyyn liittyvät sopimukset lävitse ja lisätään tarvittaessa näihin henkilötietojen käsittelysäännöt. Kaikki havainnot kirjataan ylös ja niiden pohjalta laaditaan kehityssuunnitelma tarvittavista toimenpiteistä ja sovitaan niiden toteuttamisesta. Ja voilà, osoitusvelvollisuus onkin täytetty!

Totuuden nimissä on kuitenkin todettava, että valitettavasti tämä ei kuitenkaan vielä aivan riitä. GDPR tuli nimittäin jäädäkseen. Ja se edellyttää, että kaikki henkilötietoihin kohdistuvat poikkeamat ja niiden käsittelyyn mahdollisesti kohdistuvat merkittävät muutokset, kuten esim. tietojärjestelmämuutokset, tulee kuvata ja viestiä rekisteröidyille ja tarvittaessa myös valvovalle viranomaiselle. Eli kyseessä on siis jatkuva prosessi. Onneksi haasteen selättämiseen löytyy oiva lääke. Tietosuojavaltuutetun toimiston osoitusvelvoitteen täyttämiseen suosittelema vuotuinen tietotilinpäätös. Se on vapaamuotoinen dokumentti, joka kerää yhteen kaiken edellä kuvatun ja lisäksi paljon muuta. Kokemuksesta voin sanoa, että tietotilinpäätös ei ole pelkästään osoitusvelvollisuuteen liittyvä asia. Sen avulla organisaatio voi myös arvottaa tietoturvallisuuttaan yleisesti ja rakentaa turvallisuusidentiteettiään. Eli toisin sanoen synnyttää tietoturvallisuuskulttuuria. Ja kulttuuri on tunnetusti asia, joka ei pelkästään kuulosta hienolta. Se on sitä.

Kirjoittaja Matti Timonen on toimii hallinnolliseen tietoturvaan keskittyneessä Fordione Oy:ssä konsulttina ja hallituksen puheenjohtajana. Hän on myös yksi yrityksen perustajista.