Artikkeleita

Järjestöt heränneet tietoturvaan viime tingassa

”Nyt on toimittava nopeasti”, sanoo väitöskirjatutkija

Huolimatta kahden vuoden siirtymäajasta monet yritykset ja varsinkin järjestöt ovat aikailleet tarttumisessa EU:n uuden tietosuoja-asetuksen (GDPR) vaatimuksiin. Nyt viimeistään on aika, sillä asetus tulee lopullisesti voimaan 25.5.2018.

– Nyt on toimittava tosi nopealla aikataululla, jos asetuksen vaatimiin toimenpiteisiin ei ole aiemmin ryhdytty. Näyttää todella siltä, että niin järjestöissä kuin seuroissakin on herätty vasta nyt, sanoo väitöskirjatutkija Mari Parkkali.

Hän valmistelee parhaillaan väitöskirjaansa Tampereen yliopistossa aiheesta tietosuoja-asetuksen implementointi korkeakouluihin. Urheiluun Parkkalilla on näköalapaikka Suomen Jääkiekkoliiton luottamuselimissä, missä hän toimii alueellisella tasolla seurojen edustajana.

Väitöskirjassaan Mari Parkkali tarkastelee sitä, mitä toimenpiteitä muutos on aiheuttanut oppilaitosten prosesseihin sen jälkeen, kun asetus vuoden 2016 huhtikuussa hyväksyttiin Euroopan unionissa.

– Tutkimissani oppilaitoksissa tietosuoja-asetuksen suhteen ollaan pidemmällä kuin seura- ja järjestötasolla, mutta kyllä oppilaitoksissakin on yllin kyllin tekemistä, Parkkali sanoo.

On tehtävä arvio ja analyysi

Kun tietosuoja-asetusta katsotaan erityisesti järjestöjen ja seurojen kannalta, niin asetuksen tavoite on sama kuin yritysten tai oppilaitostenkin kannalta eli ohjata organisaatiot ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon toiminnan suunnittelussa.

– Siirtymäaikana 25.5. 2018 mennessä yhteisöjen on tehtävä arvio ja analyysi käsittelemistään henkilötiedoista. Järjestöjen ja seurojen on selvitettävä, vastaavatko niiden henkilötietojen käsittely- ja tietosuojakäytänteet kansallisen lainsäädännön ja EU:n tietosuoja-asetuksen uusia vaatimuksia, tutkija Mari Parkkali sanoo.

Tilanne vaatii myös sen, että rekisterinpitäjänä organisaatioiden on varmistettava tietoturvansa riittävyys ja varauduttava myös ongelmatilanteisiin ja jopa kriisiviestintään.

Koulutusta ja apua on tarjolla

Vaatimukset kuulostavat vaikeilta, joillekin jopa ylivoimaisilta, mutta Parkkali kannustaa etenemään asiassa askel kerrallaan. Eikä askeleen tarvitse välttämättä olla loikan mittainen.

Kaikissa järjestöissä, niin kansalaisjärjestöissä, urheilu-, ulkoilu- ja liikuntaseuroissakin kuin muissakin organisaatioissa asioihin perehtyminen on hoidettava huolella. Vastuuhenkilöiden on oltava ajan tasalla, ja heidän on oikeasti ymmärrettävä, mistä on kysymys.

– Paras tapa perehtyä asioihin on osallistua aiheeseen liittyviin koulutuksiin. Näitä järjestävät muun muassa eri lajiliitot ja keskusjärjestöt. Organisaation on nimettävä oma tietosuojavastaavansa, joka sitten toimii yhteyshenkilönä tietosuoja-asioissa.

Apua saa myös tietosuoja-asioissa palvelujaan tarjoavista yrityksistä.

Asenne ratkaisee alussa 

– Tietosuojavastaavan tehtävä on huolehtia siitä, että  yhteisön tietosuoja- ja tietoturva-asiat ovat ja pysyvät ajan tasalla, painottaa Mari Parkkali.

Tietosuojavastaavana voi toimia vaikkapa järjestön toiminnanjohtaja tai joku seuratoiminnasta vastaava henkilö, joka perehtyy perusasioihin.

– Ei aihe niin kamalan vaikea ole, ja siihen voi perehtyä pienissä paloissa. Aloitustilanteessa asenne on kaikkein tärkein, Parkkali sanoo.

Järjestökentän alkuaskeliin kuuluu kartoittaa oman seuran, järjestön tai muun yhteisön jäsenrekisterien tila. Tärkeää on tietää, mitä tietoja on tallennettu ja miksi. On myös selvitettävä, kuka tiedot on tallentanut, kuinka kauan niitä on säilytetty ja kauanko niitä on tarpeen säilyttää. 

– Tämä tietenkin edellyttää, että esimerkiksi urheiluseuran ollessa kyseessä eri joukkueilta kerätään tiedot rekistereistä, joita näillä on. Samat kysymykset mitä, miksi, kuka ja kuinka kauan, esitetään vaikkapa joukkueiden johtajille tai valmentajille tilanteen selvittämiseksi, Parkkali sanoo.

Tarpeeton tieto tuhottava

On myös selvitettävä, mitä järjestelmiä organisaatio käyttää toiminnassaan. Näitä ovat esimerkiksi nettisivut ja muut mahdolliset toimintaa tukevat järjestelmät. Tärkeitä esitettäviä kysymyksiä ovat: ketkä järjestelmiä käyttävät, kuka on pääkäyttäjä ja kuka päivittää tietoja.

– Tästä edetään siihen, että päivitetään ja lisätään tarvittavat rekisteriselosteet eli lisätään niihin tietosuoja-asetuksen mukaiset tarkennukset ja lupakysymykset lomakkeille, Mari Parkkali sanoo.

Rekisteriasioita kuntoon laitettaessa tärkeää on myös se, että kaikki tarpeeton kerätty tieto hävitetään. 

Tätä tehtäessä on muistettava, ettei henkilötietoja sisältäviä dokumentteja voi heittää käsittelemättä muun jätteen sekaan. Ne on tuhottava niin, ettei esimerkiksi identiteettivarkaus ole mahdollinen

GDPR ”talttuu” askel kerrallaan

Uusi tietosuoja-asetus ei ole rakettitiedettä

Kirjanyhdistelmä GDPR herättää paljon kysymyksiä. Kysymyksiin on kuitenkin olemassa vastaukset, joten mörköä tästä Euroopan unionin uudesta tietosuoja-asetuksesta ei kannata luoda. Jos vastauksia ei löydy omin voimin, ongelmien ratkaisuun löytyy kyllä apua monelta taholta.

GDPR (General Data Protection Regulation) koskettaa käytännöllisesti katsoen jokaista yritystä, julkisyhteisöä, kansalaisjärjestöä ja seuraa, jonka toiminnassa käsitellään henkilötietoja. 

Pro Pilvipalvelut on luonut Pro Tietosuoja -palvelun auttaakseen erityisesti pk-yrityksiä, julkishallintoa ja kolmatta sektoria päivittämään tietosuoja-asiat uuden asetuksen mukaisiksi. Yrittäjä Hannu Hirvonen Pro Pilvipalveluista kehottaa ottamaan asiat rauhallisesti.

– Ihan heti ei edes kannata toimia liian tunnollisesti, koska emme edelleenkään tiedä asetuksen tulkintaa, eikä oikeudellisia ennakkopäätöksiä ole. Vielä ei pidä hankkia liian vaikeita, hankalia ja kalliita työkaluja, sillä pala palalta päästään parempaan ja taloudellisesti edullisempaan ratkaisuun.

– Tosiasia on, että viranomaisetkaan eivät vielä tiedä, miten rekisterinpitäjän tulisi toimia täydellisesti ja aukottomasti. On varmaa, etteivät he tukista yritystä tai muuta organisaatiota kohtuuttomasti, jos se on yrittänyt laittaa perusasiat kuntoon omien resurssiensa ja osaamisensa mukaisesti. Tietenkin tarvitaan suunnitelma jatkotyöstä ja koulutuksesta, sanoo Hannu Hirvonen.  

Toukokuun 25. päivänä 2018 voimaan astuvasta tietosuoja-asetuksesta on julkisuuteen  ripoteltu paljon triviaaleja sivuseikkoja tosiasiallisten vaatimusten sijaan. Asetuksen sisintä   ydintä ja sen asettamia vaatimuksia ei keskustelussa ole kovin hyvin onnistuttu avaamaan.

Henkilötietoja käsitteleville organisaatioille ei välttämättä ole syntynyt  realistista kokonaiskäsitystä mitä kaikkea niiden käsittelyltä vaaditaan. Asetuksen edellyttämistä toimista on useimmiten tehty pelkästään juridisia. 

Vaikka asetuksessa onkin paljon lakiteknisiä näkökulmia, niin lopulta on kuitenkin kyse siitä, miten yritys tai muu organisaatio itse pystyy hoitamaan tietoturva- ja tietosuoja-asiansa.

Rekisterinpitäjän osoitusvelvollisuus

Suomalaisyrityksille EU:n yhteinen tietosuoja-asetus ei välttämättä ole niin suuri asia kuin monien muiden unionin maiden yrityksille. Suomessa henkilötietolainsäädäntö on jo tähän saakka ollut vaativaa ja korkeatasoista. Jos asiat on jo hoidettu sen mukaisesti, uuteen tilanteeseen siirtyminen käy sujuvasti. Eri asia sitten on, jos asiat ovat olleet rempallaan.

Uutta ja ihmeellistä on se, että henkilötietoja käsittelevällä taholla, rekisterinpitäjällä, on nyt osoitusvelvollisuus siitä, että asiat on tehty uuden asetuksen mukaisesti. 

Mitä osoitusvelvollisuus sitten tarkoittaa?

Se tarkoittaa sitä, että rekisterinpitäjän on kyettävä osoittamaan esimerkiksi viranomaisille tai omia tietojaan kyselevälle asiakkaalle, että henkilötietojen käsittelyn periaatteita on noudatettu kaikissa käsittelyvaiheissa. 

Asetus edellyttää, että menettely on dokumentoitu. Siitä pitää olla ”mustaa valkoisella”. Dokumentointivelvoite on pysyvä eli tarvitaan jatkuvaa päivitystä ohjelmistojen, työvälineiden, käytäntöjen ja prosessien muuttuessa.

Ja mitä ovat nuo tietojen käsittelyn periaatteet? 

Niitä ovat muun muassa tietojen minimointi, turvallisuus ja täsmällisyys. Organisaatioon kannattaa nimetä tietosuojavastaava, jotta asiat pysyvät järjestyksessä.

Henkilötieto on tunniste

Parasta ehkä vielä muistuttaa mieliin mikä on henkilötieto. Sen ei tarvitse liittyä mihinkään rekisteriin vaan voi olla irrallaankin.

Henkilötietoa on kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto. Tämän tiedon perusteella henkilö voidaan tunnistaa joko suoraan tai epäsuorasti. 

Tunnistukseen johtava henkilötieto voi olla nimi, henkilötunnus, osoite, verkkotunniste tai jokin tai jotkin fyysiset tekijät. Niinikään henkilön tunnistaminen on mahdollista fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella.

Henkilötieto ei suinkaan aina tarvitse olla nimi tai henkilötunnus. Henkilötietoja ovat kaikki sellaiset tiedot, joista yksin tai joita yhdistämällä henkilö voidaan tunnistaa. 

Tietoinventaario tarpeen ensimmäiseksi

Kun henkilötietorekisteriä ryhdytään laittamaan uuden asetuksen mukaiseksi, on aluksi parasta tehdä inventaario, jossa kootaan yhteen tieto siitä, missä kaikkialla organisaatiossa on henkilötietoja ja millaisia tietoja ne ovat. Tästä alkaa tie kohti uuden asetuksen mukaista tilaa.

Kun tietoturva-asioiden kehittämisessä edetään johdonmukaisesti askel askeleelta, lopputuloksena saadaan paitsi kuvaus nykytilanteesta ja tehdyistä toimista kuin myös henkilöstölle annetuista ohjeista. Se sisältää myös riskien analysoinnin.

Pro Pilvipalvelut tarjoaa tähän oman konseptinsa. Tehtävä vaatii joukon yksinkertaisia dokumentoituja toimenpiteitä. 

Oleellista on vahinkojen estäminen

Henkilötietoinventaarion jälkeen on hyvä tehdä selväksi, mikä asetuksessa on oleellisinta.  Toimet on tietenkin tehtävä, koska laki niin vaatii, mutta täytyy siinä olla myös hyötynäkökulma, sillä asetusta ei ole tehty pelkäksi kiusaksi.

Oleellista on se, että tässä yhteydessä tulee tarkistetuksi organisaation kaikkien järjestelmien ajantasaisuus. Ylimääräiset, turhat henkilötiedot voidaan poistaa. Samalla  päivittyvät niin tietosuoja kuin -turvakin sekä olemassa olevat sopimukset.

Lopulta asetuksen ydin on halu estää vahingot, joiden riski kasvaa tietoyhteiskunnassa jatkuvasti. Henkilötietojen joutuminen vääriin käsiin ja sitä kautta käyttöön tai kauppatavaraksi on todellinen riski.

Tämä on todellinen kasvava ongelma ja riski muun muassa identiteettivarkauksien kautta.

Paras olla itse työssä mukana

Asetuskuntoon laittautuminen voi tuntua aluksi vaikealta ja jopa vastenmieliseltä, mutta kaikesta on mahdollista selvitä. 

– Asiantuntevan palveluntarjoajan avulla asetuksen edellyttämät toimet hoituvat kuntoon jo yhdelläkin kerralla. Se vaatii kohtuullisesti työtä ja mietintää, mutta sen jälkeen jatkohoito on helpompaa, yrittäjä Hannu Hirvonen vakuuttaa.

Jos apua tarvitsee, kannattaa sellaiseksi ottaa hyvä alan ammattilainen. Palvelun voi ostaa kokonaisuudessaankin konsultaationa, jolloin asetuksen idea ei välttämättä avaudu organisaatiolle itselleen riittävästi. Ulkopuolisen konsultin käyttö saattaa myös olla ajan mittaan hankalaa ja tulla kalliiksi.

Dokumentaatio voi nimittäin kadota konsultin mukana ja kustannukset karata käsistä. Organisaation on parasta itse olla mukana työssä ja hoitaa sitä myös tulevina vuosina. On tärkeää muistaa, että tietosuojasta ja -turvasta huolehtiminen on päättymätön projekti. ”Kerralla kuntoon” -konseptia ei ole. 

Etulyöntiasema ongelmien tullen

GDPR:n hyötyjä etsittäessä nousevat ensimmäisinä esiin riskeihin varautuminen ja järjestelmien luotettavuus sekä se, että henkilötiedot ja –rekisterit tulevat kuntoon ja ovat ajan tasalla.

– Kannattaa varautua ongelmiin jo ennalta,  ei vasta kiireessä ja kalliilla ongelmien eskaloituessa. Tietojen kyselyt, esittäminen ja tuhoaminen on valmiiksi mietittynä huomattavasti helpompaa ja halvempaa, sanoo Hannu Hirvonen.

Varautumiseen kuuluu esimerkiksi suhtautuminen kiusantekijöihin tai häiriköihin, joita uusi asetus saattaa houkuttaa kokeilemaan yrityksen ”kuntoa”. Silloin kun henkilöstö on koulutettu, tietää mistä on kysymys ja osaa toimia, niin ongelmat ratkaistaan helposti. 

Hyvin hoidettuna tietosuoja-asetuksen vaatimusten täyttäminen on kilpailuetu ja poistaa imagoriskin, joka voi toteutua hoitamattomana. Samalla sopimukset päivittyvät ajan tasalle, ja asiat käydään läpi yhteistyökumppaneiden ja palveluntarjoajien kanssa.

Ei pidä unohtaa myöskään vakuutusturvaa. Se on parasta laittaa ajan tasalle ja kilpailuttaa tarvittaessa vaikka vakuutusmeklarilla.

Miten hoidetaan koulutus?

Koulutuksen voi ostaa ulkopuoliselta palveluntarjoajalta, mutta pitemmän päälle on hyvä, että tietoa ja taitoa on myös itsellä. Pro Pilvipalvelut ei tarjoa ensivaiheessa koulutuspalveluja vaan pilvipalvelun, joka antaa hyvät eväät starttiin ja opastaa selvittämään myös koulutusasioita.

Koulutusta suunniteltaessa on hyvä muistaa, että asetus ja sen tulkinta on vielä voimaan tullessaankin keskeneräinen, ja uutta tietoa asiasta kertyy jatkuvasti. 

Pro Pilvipalvelujen viesti on, että ensin opitaan perusasiat, ja myöhemmin tietoutta syvennetään. Yrityksen kannattaa rakentaa itse tai ulkopuolisella avulla hyvä koulutusohjelma, jota voi sitten hallinnoida koulutusrekisterin avulla.

Pienestäkin poikkeamasta ilmoitettava

Yksi asetuksen tärkeistä kulmakivistä on poikkeamisilmoitus. Sen tekemiseen kannattaa varautua etukäteen ja laatia ohjeistus kuinka se tehdään. Tietosuojasta ja -turvasta vastaava henkilö on tässä avainasemassa.

Pienetkin asiat ovat tärkeitä, mutta vieläkin tärkeämpää on niistä henkilöstölle tiedottaminen. Poikkeamisilmoitusten määrä vähenee jatkossa, kun henkilöstö oppii  ratkomaan ongelmia ja poistamaan huonoja käytänteitä. 

– Erittäin tärkeää on reagoida jokaiseen poikkeamailmoitukseen ja antaa niistä nopea palaute. Muuten on vaara, että koko ”humppa” kokee inflaation, eikä havaituistakaan poikkeamisista enää ilmoiteta, Hirvonen painottaa.

Rahaa ei kannata tuhlata

Tietoturva on yksi olennainen osa tietosuojaa.  Molempien hoitaminen yhtenä kokonaisuutena onnistuu, kun lähtötaso on selvillä. Tiedetään henkilötietoja ja -rekistereitä sisältävät järjestelmät, käytettävät ohjelmat ja palvelut ja näiden käyttäjät.

Kun tämä tiedetään, on helppo miettiä tietojen fyysistä turvallisuutta ja teknisiä ratkaisuja, turvallisia tietojen käsittelijöitä ja turvallisia toimintatapoja.

Miten sitten välttää tarpeettomat kustannukset, on totta kai tärkeä kysymys. 

Rahaa voi tietenkin tuhlata monella tavalla (ja paljon) tulevina vuosina, jos organisaatiossa ei seisahdeta hetkeksi miettimään ja suunnittelemaan fiksua etenemistä asiassa. 

– Suosittelen käyttämään etenkin alussa apuna asiansa osaavaa konsulttia tai asiantuntijaa, jos tehtävä tuntuu vaikealta. Mielestäni on kuitenkin täysin selvää, ettei tietojen ja dokumentaation luonti, ylläpito ja hallinnointi ole jatkossa käsityönä mielekästä eikä kustannustehokasta, alleviivaa yrittäjä Hannu Hirvonen Pro Pilvipalveluista.

Sukututkijat yhä epätietoisia GDPR:n vaikutuksista

Suomen Sukututkimusseuran toiminnanjohtaja P.T. Kuusiluoma sanoo odottaneensa jo pitkään täsmällistä tietoa siitä miten uusi tietosuoja-asetus lopulta vaikuttaa sukututkimukseen. 

Tietosuojavaltuutetun toimistosta luvattiin Suomen Sukututkimusseuralle tapaamisen asiasta jo syksyksi 2017, mutta vielä maaliskuussa 2018 aikaa tapaamiselle ei ollut löytynyt aikaa.

– Emme tosin odotakaan mitään dramaattisia muutoksia nykyiseen menettelyyn, mutta olisihan se hyvä jo tietää miten meidän edellytetään menettelevän, sanoo toiminnanjohtaja Kuusiluoma.

Se on Kuusiluoman mukaan jokseenkin selvää, että harrastajatutkijoiden, jotka kokoavat sukutietoja omaan käyttöönsä, toimintaan uusi asetus ei tuo muutoksia.

Mutta viimeistään siinä vaiheessa, kun ryhdytään tekemään sukukirjaa, joita monet sukuyhdistykset teettävät ammattisukututkijoilla, törmätään väkisin uuteen asetukseen.

– Keskeinen kysymys on se onko sukukirjan tekijällä oltava jokaiselta elossa olevalta henkilöltä nimenomainen suostumus henkilötietojen käsittelyyn ja julkaisemiseen ja kuinka se dokumentoidaan. Meidän toiveemme on, että myös uuden asetuksen aikana voitaisiin menetellä entiseen tapaan, Kuusiluoma sanoo.

Henkilötietojen käyttämisestä sukukirjan materiaalina ilmoitetaan sukujen jäsenille esimerkiksi kirjeitse. Jos henkilö ei nimenomaisesti kiellä tietojen julkaisemista, se on yleensä katsottu suostumukseksi.

– Jos asetus edellyttää tiukempaa menettelyä, olemme siihen toki valmiita ja annamme jäsenistöllemme sen mukaisen ohjeistuksen. Joka tapauksessa teemme uuden ohjeistuksen vuoden 2018 aikana, P. T. Kuusiluoma sanoo.

Suomen sukututkijaseura odottaa ohjeistusta muun muassa siihen miten alaikäisten tietojen käsittelyyn ja julkaisemiseen suhtaudutaan. Sallitaanko esimerkiksi vanhempien ilmoittaa vaikkapa yli 12-vuotiaiden henkilötietoja sukututkijalle vai tarvitaanko siihen lapsen kirjallinen lupa. Yksi asetuksen tärkeistä tavoitteista kun on suojella ja vahvistaa lapsen asemaa.

Tietosuoja-asetuksessa on maininta erillisluvan myöntämisestä historiallisiin, tieteellisiin ja tilastollisiin tarkoitettujen henkilötietojen käsittelemisestä.

– Saimme yhdessä irlantilaisen sukutukijaseuran kanssa taistellen maininnan asetuksen tähän kohtaan, että sukututkimus on historiallista tutkimusta, mutta miten sen kanssa käytännössä menetellään, siihen muun ohessa odotamme edelleen tietosuojavaltuutetulta vastausta, kertoo Suomen sukututkimusseuran toiminnanjohtaja P. T. Kuusiluoma.

Vastausta odotetaan myös siihen miten suhtaudutaan genomitiedon tietosuojaan.

– Onko esimerkiksi DNA-testin tuottama data yksin testatun oma henkilötieto vai voiko tämän  DNA:n perusteella tunnistaa myös muita henkilöitä, on yksi ajankohtainen kysymys, Kuusiluoma sanoo.

Julkaistu: 14.03.2018

Palvelua toteuttamassa