Tietosuojavastaava tarvitsee tukea ja kannustusta onnistuakseen

Tietosuojavastaava tarvitsee tukea ja kannustusta onnistuakseen

“Tietosuojavastaava ei osoita todellista asiantuntemustaan pelkästään kieltoja jakelemalla, vaan kertomalla, miten henkilötietoja voidaan turvallisin mielin käsitellä.”
Hannu Kasanen, Deloitte (Cyber Security, Privacy Lead) 1)s. 50

Tietosuoja-asetus ja tietosuojavastaava ovat kaksi asiaa, jotka ovat todennäköisesti päätyneet useimpien ajatuksiin viimeistään viime vuonna. Valmistautuminen on monissa paikoissa käynnissä, mutta todennäköisesti paljon on vielä tehtävää. Pyörää ei tarvitse keksiä uudelleen, koska monenlaista tietoa, kokemuksia ja malleja on tarjolla. Kaikkea lukemaansa ei pidä uskoa, vaan tärkeintä on jäsentää ja toteuttaa tietosuojatyö yhdessä organisaation tärkeimpien sidosryhmien – ja ennen kaikkea tietosuojavastaavan – kanssa. Mukaan on syytä myös valita riittävä määrä osaavaa lakimiesapua ja muita luotettavia yhteistyötahoja, jos tekemistä on paljon; ja joissakin organisaatioissa työtä voi olla vielä paljon jäljellä. Toivottavasti mahdollisimman moni on kuitenkin jo pitkällä tietosuoja-asetukseen valmistautumisessa.

Tampereen kaupungin tietosuojavastaavalta Ari Andreassonilta, Pirkanmaan sairaanhoitopiirin konsernin tietosuojavastaavalta Jaana Riikoselta ja tietosuojavaltuuten toimistossa työskentelevältä ylitarkastaja Arto Ylipartaselta ilmestyi jo viime vuonna Tietosanoman kustantamana mianio kirja, Osaava tietosuojavastaava. Andreasson ja Ylipartanen ovat aiemmin kirjoittaneet useita tietosuojaa ja tietoturvaa käsitteleviä teoksia, joten asiantuntemusta ja kokemusta kirjoittajajoukolla on.

Andreassonin, Riikosen ja Ylipartasen kirja on tärkeä ulostulo, koska GDPR:ää – tuttavallisemmin EU:n yleinen tietosuoja-asetus – ryhdytään soveltamaan Suomessakin 25. toukokuuta alkaen. Lukemattomat suomalaisorganisaatiot tekevät parhaillaan monenlaisia teknisisiä, hallinnollisia ja rakenteellisia toimenpiteitä täyttääkseen yleisen tietosuoja-asetuksen vaatimukset. Tietosuojavastaavan roolista, asemasta ja merkityksestä on keskusteltu jonkin verran myös Suomessa, mutta Andreassonin ja kumppanien kirjoittama teos on erittäin merkityksellinen tietosuojan vaatimusten kanssa kamppaileville tietosuojavastaaville ja liiketoimintajohdolle. Kirja kokoaa vaikuttavan määrän lainsäädäntönäkemystä, käytännön tietoa, kokemuksia ja tarkastuslistoja, jotta tietosuojatyön organisointi eri tasoilla, tietosuojavastaavan toimenkuva ja koko organisaation tietosuojaosaaminen olisivat ajan tasalla. 2)s. 13

“Tietosuojaosaamisensa varmistanut organisaatio näyttäytyy ulospäin luotettavana palvelujen antajana ja houkuttelevana yhteistyökumppanina.” 3)s. 13

Kirja jakautuu karkeasti neljään toisiaan tukevaan osaan. Ensimmäiset kaksi lukua käsittelevät yleisellä tasolla sitä, mihin tietosuojalla pyritään ja mitä EU:n yleinen tietosuoja on. Ensimmäiset kaksi lukua kannattaa ainakin vilkaista läpi, vaikka tuntisit tietosuoja-asetuksen hyvinkin kattavasti ja ymmärtäisit sen monipuolisesti sen vaikutukset. 4)Kirjoittajat ovat myös kiinnittäneet huomiota tietosuojan ja tietoturvan suhteeseen.

Kolmannessa, neljännessä ja viidennessä luvussa syvennytään tarkemmin tietosuojatyön mitoittamiseen ja toteuttamiseen, tietosuojariskien kartoittamiseen, analysointiin ja lopuksi annetaan vinkkejä tietosuojatyön organisointiin. Seuraavissa kahdessa luvussa mukaan astuu tietosuojavastaavan työrooli ja tietosuojatyötekemisen integrointi osaksi laajempaa tietosuojariskien hallintaa. Luvuissa seitsemän ja kahdeksan pohditaan tietosuojavastaavan yhteistyötä johdon ja henkilöstön kanssa. Viimeisessä osassa eli luvuissa seitsemän ja kymmenen käsitellään sopimuksia ja vakuutuksia tietosuojariskien hallinnan kannalta ja viimeisessä luvussa esitellään raportointia, tunnuslukuja ja mittareita osoitusvelvollisuuden toteuttamisessa. Kirjan lopusta löytyy myös vinkkejä lisälukemistosta ja kirjan liitteenä on myös yleisen tietosuoja-asetuksen lakiteksti siitä tarkemmin kiinnostuneille.

Kirjan alkusanat on kirjoittanut Suomen Microsoftin silloinen teknologiajohtaja Aki Siponen. Tiivis aloitusteksti oli hämmästyttävän mielenkiintoinen, sillä yleensä en jaksa niitä muuta kuin silmäillä. Siposen ajatuksenjuoksu tietosuojatyön osalta oli mielenkiintoista, sillä hän rinnastaa tietosuoja-asetuksen toimeenpanon, toimenpiteet ja vaikutukset yritystasolla laatujärjestelmätoimintaan. Toisin sanoen tietosuoja-asetus merkitsee tiedonhallinnan laatujohtamista. “Suunnittele ja dokumentoi, mitä teet ja miksi, tee niin kuin olet suunnitelut ja paranna toimintaa jatkuvasti”, Siponen ohjeistaa. Kirjassa on Siposen lisäksi myös muiden ulkopuolisten asiantuntijoiden näkemyksiä: Deloitten tietosuojapalveluista vastaava johtaja Hannu Kasanen kannustaa tietosuojavastaavia pitämään huolta itsestään jaksaakseen vastuullisessa tehtävässään, Veikkauksen tietoturvapäällikkö Jan Seuri pohtii tietosuojatyön onnistumista ja tietosuojariskien hallintaa ja asianajotoimisto Dittmar & Indreniuksen partneri Jukka Lång käsittelee puolestaan sopimuksia osana tietosuojavastaavan toimenkuvaa ja työkalupakkia. Kirjassa on käytetty erilaisia lähteitä hyvin monipuolisesti aina oikeuslähteistä erilaisiin käytännön tutkimuksiin ja selvityksiin. Minusta kirjoittajat ovat myös tehneet palveluksen kiireisemmille lukijoille kokoamalla kirjaan lukemattomia nopeasti luettavia listoja, luetteloita, tietolaatikoita ja ennen kaikkea kirjoittamalla lähes jokaisen tärkeän luvun loppuun tiiviin yhteenvedon.

Esipuheessa Andreasson, Riikonen ja Ylipartanen korostavat, että tietosuoja ei merkitse tiedon panttaamist, kärkemistä tai salaamista, vaan tietosuoja merkitsee heille sitä, että “[1] asiakkaan tietosuoja ei ole tarpeettoman tiukka eikä liian heikko […] [2] tietosuoja on oikein mitoitettu ja [3] tietosuoja toteutuu asiakastietojen käsittelykäytänteissä.” 5)s. 11 Kirjoittajat nostavat esille jo heti alussa muun muassa osoitusvelvollisuusperiaatteen (accountability) ja tietosuojan sisäänrakentamisen (privacy by design) ja tietosuojan oletusarvoisuuden (privacy by default). Näiden lisäksi esipuheessa ksäsitellään lyhyesti yksilönoikuksia, joihin syvennytään tarkemmin toisessa luvussa. Andreasson, Riikonen ja Ylipartanen myös tiivistävät tietosuojan tavoitetilan lyhyesti kahteen pääkohtaan, jotka ovat lyhyesti seuraavat:

  • Yleisen tietosuoja-asetuksen noudattamisen (jatkuva) toteennäyttäminen; ja
  • Tietosuojan (jatkuva) oikea mitoitus ja toteutus asiakastietoja käsiteltäessä. 6)Kirjassa on esitelty oikeastaan viisi kohtaa, mutta esimerkiksi valvontaviranomaisten sakkojen ja muiden sanktioiden välttämisen ei pitäisi olla mikään itseisarvoinen tavoite. Oikein suunniteltu, mitoitettu, toteutettu ja jatkuvasti kehittyvä tietosuojatyökään ei poista sitä tosiasiaa, että kaikissa sosioteknisissä järjestelmissä voi tapahtua satunnaisia virheitä, jotka eivät sisänsä ole rakenteellisia ja sisäsyntyisiä, mutta ovat voineet johtua jostain oman vaikutusvallan ulkopuolisista tekijöistä.

Andreasson, Riikonen ja Ylipartanen poikkeavat näkyvästi itselleni tutummasta valtavirtapuhetavasta, jossa kaikenlainen sääntelytyö nähdään ja ymmärretään ensisijaisesti kustannuseränä eikä niinkään investointina tulevaisuuteen. Samaa ajattelutapaa on näkynyt jossain määrin myös suomalaisessa julkisessa keskustelussa, jossa ainakin vielä viime vuonna oli vallalla ajatus siitä, että tietosuoja tulee, se muuttaa kaiken ja minkäänlainen asiakastietojen käsittely ei enää ole mahdollista. “Tietosuoja on parhaimmillaan oikein mitoitettua ja toteutettua asiakastietojen käsittelyä organisaatiossa. Kaikki hyötyvät, kun asiakkaan tietosuoja ei ole tarpeettoman tiukka eikä liian heikko Tietosuojasta huolehtiminen ja tietojen lainmukainen käsittely tukevat myös luottamuksellisen asiakassuhteen syntymistä. […] Jos henkilöstön tietosuojaosaamisessa on puutteita, tuotanto- ja palveluprosessi on tehoton ja käy osin tyhjäkäynnillä”, kirjoittajat huomauttavat. 7)s. 13 Kirjoittajat eivät ole myöskään unohtaneet henkilöstöä, jonka pitää kokea omaavansa riittävä määrä tietosuojaosaamista ja -taitoa; johdon ja tietosuojavastaavan yhteispeli on tärkeä osa tätä monimutkaista yhtälöä, koska johdon ja tietosuojavastaavan näkemykset riskeistä voivat olla erilaisia. 8)s. 15

Osaavista tietosuojavastaavista on ja tulee olemaan huutava pula, sillä yleinen tietosuoja-asetus velvoittaa organisaatioita nimittämään tietosuojavastaavan, jos “yrityksen ydintoiminnassa [käsitellään] seurataan henkilötietoja laajassa mitassa tai jos yrityksen ydintoiminnassa käsitellään arkaluontoisia henkilötietoja laajalti”. Jo ensimmäisessä luvussa Andreasson, Riikonen ja Ylipartanen korostavat sitä, että tietosuojassa on kyse asiakkaan luottamuksesta sekä koko henkilöstön tietosuojaosaaamisesta eli asiakastietojen asiallisesti perustellusta ja oikeaoppimsesta sujuvasta käsittelystä tiedon elinkaaren eri vaiheissa”. Miksi näin? Koska tietosuojan luonne on muuttunut ratkaisevasti 2000-luvulla: “Tietosuojasta on yhä selkeämmin tulossa organisaatioissa strategisen toiminnan keskeinen osa-alue, joka koskettaa organisaation toimintaa kokonaisvaltaisesti.” 9)s. 19 Ensimmäisessä luvussa on jonkin verran myös taustoittavaa pohdiskelua muun muassa asenteista, viranomaisten toimialaselvityksistä ja osoitusvelvollisuudesta.

Kirjan toinen luku käsittelee tietosuojaa ohjaavaa lainsäädäntöä hyvin monipuolisesti ja ymmärrettävästi. Artiklat ja asetuksen tarkemmat sanamuodot voi helposti tarkistaa kirjan liitteenä olevasta asetustekstistä, joten muun muassa riskiperusteinen lähestymistapa, rekisterinpitäjän osoitusvelvollisuus, rekisteröidyn oikeudet ja henkilötiedon käsittelyn perusta käyvät selkeästi esille vertailemalla kirjoittajien näkemyksiä ja asetuksen sanamuotoja. Toisessa luvussa erityisen hyvä oli alaluku 2.3., jossa esitellään kattavasti tietosuoja-asetuksen edellyttämät perustoimenpiteet. Luvussa kolme siirrytään hieman korkeammalle tasolle, kun pohditaan sitä, mitä oikein mitoitettu ja toteutettu tietosuoja merkitsee kansakunnille, organisaatioille, henkilökunnalle ja asiakkaille.

Neljännessä luvussa syvennytään tarkemmin organisaation tietosuojariskien kartoittamiseen ja analysointiin. Tietosuoja kytketään tiiviisti laajempaan riskienhallintakehikkoon, joten ainakin minulle syntyi parempi näkemys siitä, miten yleinen tietosuoja-asetus omine vaatimuksineen asettuu osaksi riskienhallinnan vaatimuksia. Kappaleesta löytyy lukuisia erilaisia tarkastuslistoja, joita tietosuojavastaava ja tietosuojatyötä tekevät voivat omassa toiminnassaan hyödyntää lähes sellaisenaan. 10)Nämä listat olisi hyvin voinut koota esimerkiksi jollekin nettisivulle esimerkiksi Excel-muotoon. Kirjaan koottuna ne menevät valtaosalta hukkaan tai jokainen joutuu keksimään pyörän aina uudelleen.

Viidennessä luvussa syvennytään tarkemmin tietosuojatyön organisointiin. Luvussa käydään verrattain yksityiskohtaisesti läpi muun mussa tietosuojatyön organisoinnin ja tekemisen tapoja, mutta nämä on koottu valitettavan huonoiksi listoiksi. Listoja parempaa olisi tietysti käyttää erilaisia diagrammeja ja kuvioita osoittamaan se, miten erilaiset työvaiheet etenevät ja jäsentyvät keskenään, koska tietosuojatyö ei ole millään tasolla lineaaris-mekaaninen prosessi, vaan erilaisilla työvaiheilla on takaisinkytkentöjä toisiinsa. Luvussa kiinnitetään myös huomiota henkilörekisterihallinnon järjestämiseen, jonka lisäksi esitetään hyvin tietosuojan ja tietoturvan johtamismallia. Molemmat olisivat kaivanneet myös käytännön esimerkkejä ja kokemuksia, sillä vaikka – kuten mainittu – kirjaan on asiantuntijakommentteja laitettukin, tunne on sama kuin lukisi luetteloa. Andreasson, Riikonen ja Ylipartanen omaavat monialaisen kokemuksen, joten miksi sitä ei ole hyödynnetty enempää? Toisaalta heiltä löytyy myös erinomainen suositus:

“Tietosuojavastaava ei voi yksinään olla se henkilö, jolle kaatuu henkilötietojen käsittelyyn liittyvät pienet sekä isot kysymykset, vaan on järkevää pyrkiä organisoimaan asioiden vastuut siten, että useampi asiantuntija on pohtimassa alati vaikeammissa kysymyksissä toimintatapaohjeita tai tekemässä päätöksiä miten missäkin asiassa voidaan edetä.” 11)s. 78

Mikä siis ratkaisuksi? Kirjoittajien ratkaisu on yksinkertaisuudessaan nerokas ja helppo toteuttaa. He kehottavat perustamaan ainakin laatupiirimäisen tietosuoja- ja tietoturvaryhmän ja tarvitaessa oman erityisen yhteyshenkilöryhmän. Ryhmä tarvitaan todennäköisesti melkein jokaiseen pk-yritykseen, jonka lisäksi yhteyshenkilöryhmät tukevat toisiaan ja tietosuojavastaavaa isommissa organisaatioissa. Yhteyshenkilöryhmä toimii suuremmissa yrityksissä tietosuoja- ja tietoturva-ajattelun ja -tekemisen lipunkantajina, mutta tämä ei tietenkään välttämättä tarkoita sitä, että heistä jokainen on kädet savessa tekemässä kaikkea mahdollista; heidän tärkein tehtävänsä on jalkauttaa ohjeita ja määräyksiä, jakaa tietoa tietosuoja- ja tietoturvatekemisestä. Suuremmissa organisaatioissa on toki riski, että ryhmät ja yhteyshenkilöryhmät tekevät kukin vähän omia juttujaan, joten näiden erilaisten ryhmien ohjaus- ja toimintamalli pitää saada toimimaan osana kirjoittajienkin käsittelemää johtamismallia.

Itse tietosuojavastaavan toimenkuvaa, tehtäviä ja asemaa käsitellään luvussa kuusi. Tietosuojavastaavan asiantuntijamaista, neuvonnallista ja ohjaavaa roolia korostetaan läpi koko luvun, jonka vuoksi oli ilahduttavaa huomata kuinka paljon kirjoittajat kiinnittävät huomiota itse tietosuojavastaavaan resursoinnin ja henkilökohtaisen jaksamisen kannalta. Tietosuojavastaavan roolia tietosuoja-asetuksen toimeenpanossa ja toimeenpanon valvonnassa korostetaan läpi koko kirjan, mutta asian kriittisyys käy ilmeiseksi viimeistään nyt. Kirjoittajat nostavat esille mm. Mirja Vilpposen pro gradu -tutkielman vuodelta 2012 luodakseen kuvan siitä, mitä tietosuojavastaavalta odotetaan ja miten tietosuojavastaavan rooli ja asema muodostuvat. Seuraavassa luvissa luvuissa käsitellään tarkemmin tietosuojavastaavan yhteistyötä johdon ja henkilökunnan kanssa. Johdon tuen nähdään koostuvan toiminnan edellytyksistä, kannustuksesta ja luottamuksesta. Tämä vaatii kuitenkin myös tietosuojavastaavilta proaktiivista työskentely otetta; rooli ja tehtävä pitää ottaa haltuun, verkostoitua laajasti ja pyytää (tai vaatia) oikeutettu paikka siellä, missä tietosuojaa koskevia päätöksiä tehdään. Henkilöstön tapauksessa tietosuojavastaavan rooli myös moniulotteinen, sillä – kuten jo aiemmin kerrottu – odotukset ovat erilaisia. Henkilöstölle tietosuojavastaava tarjoaa ohjaus- ja tukipalveluita muun muassa tietoturvapolitiikan, oppaiden, periaatteiden ja sääntöjen muodossa, mutta tämän lisäksi kirjoittajat korostavat viestintätaitoja. 12)Tamminen, M. (2016). “Tietosuojavaltuutettu: Tietosuojalakeja ei ymmärretä yrityksissä“. Markkinointi & Mainonta, 4.8.2016

Luvussa yhdeksän kirjoittajat perehtyvät sopimuksiin ja vakuutuksiin osana tietosuojariskien hallintaa. Tämä luku ei tuonut minulle kovinkaan paljon uutta, mutta sopimusten merkitys tietosuojatyön ohjaajana ja tietosuojavastaavan tukena kirkastui jonkin verran. Tieto- ja kybervakuuttaminen on tärkeää sekä yritysjohdolle että kokonaisriskien hallinnalle, mutta ei minua kiinnostavaa.  Viimeisessä varsinaisessa luvussa käydään läpi raportointia ja dokumentointia muun muassa tietotilinpäätöksen ja mittaroinnin ja tunnuslukujen muodossa, sillä näistä on tietosuojatyölle ja tietosuojavastaaville hyötyä.

Kokonaisuudessaan kirja oli monelta osin onnistunut kokonaisuus. Pidin siitä, että kirjasta löytyi itselleni paljon uutta ja mielenkiintoista ajateltavaa, koska ei ole olemassa yhtä ainoaa tapaa tehdä tietosuojatyötä tai varsinkaan organisoida sitä. Käytännön tasolla tieto- ja tietoturvaryhmän ja yhteyshenkilöryhmien perustaminen jäi mieleen, jonka lisäksi näen, että varsinkin isommissa organisaatioissa on syytä vakavasti pohtia tietosuojavastaavan oman esikunnan perustamista. Tietosuojavastaavan tueksi pitää saada riittävän joustava toimintamalli, joka mahdollistaa sen, että tietosuoja- ja tietoturvatyötä voidaan tehdä mahdollisimman kustannustehokkaasti, mutta samalla niin sanotut johdon hyväksymät residuaaliriskit huomioiden.

Kirjassa oli kuitenkin valitettavasti joitakin yksittäisiä epäloogisuuksia, jotka todennäköisesti ainakin osittain johtuvat siitä, että kaikkea tekstiä ei ole kunnolla luettu läpi Mitä mieltä olet esimerkiksi seuraavasta? “Tietosuojatyön organisointi ja varsinainen tietosuojatyö eivät ole itsetarkoitus, vaan ne tähtäävät tuotanto- ja palveluprosessien laadun parantamiseen ja sitä kautta myös tehokkuuden ja tuottavuuden lisäämiseen”, Andreasson, Riikonen ja Ylipartanen väittävät. 13)s. 14. Tavallaan ymmärrän toteamuksen yritysjohdon näkökulmasta, mutta toisaalta ainakin minä sain tästä sellaisen kuvan, että tietosuojatyö jotenkin leijuu ilmassa ja tietosuojalla ei olisi itseistarkoitusta. Tietosuoja kuitenkin ilmenee maailmassa nimenomaan ihmisten toiminnan kautta. Jos tietosuojaa ei ole organisoitu oikein eikä varsinaista tietosuojatyötä ole tehty kunnolla, mitä jää jäljelle? Ei ainakaan tietosuojaa.

Kirjassa on paljon pureksittavaa, vaikka tietosuoja-asetuksen voimaantuloon onkin enää vain muutama kuukausi aikaa. Minusta teos sopii yhä edelleen luettavaksi niin liiketoimintajohdolle, tietohallintoon, sopimus- ja toimittajasuhteiden ammattilaisille, muulle tietosuojasta kiinnostuneelle henkilöstölle – ja ennen kaikkea tietosuojavastaaville itselleen. Suosittelen kirjaa pienistä puutteistaan huolimatta tietosuojasta kiinnostuneille – tietosuojaosaaminen kuuluu kaikille ja vaatii uuden opiskelua!

Pienenä kritiikkinä kustantamolle: Asia on tärkeä, kiitos, että kustansitte tämän. Kirja on kuitenkin aivan julmetun kallis!

Kirja-arvostelut, -esittelyt ja -katsaukset muualla:

Lisälukemista: 

Osaava tietosuojavastaava
Ari Andreasson, Jaana Riikonen & Arto Ylipartanen
219 s. 2017. Tietosanoma. €74.00 (pehmeäkantinen)

 

References[+]

Leave a Reply

Your email address will not be published. Required fields are marked *