alkuun

Parempaa tietosuojaa, kiitos!

Julkisorganisaatiot tekevät monipuolista yhteistyötä vastatakseen GDPR-asetuksen haasteisiin.
GDPR Tietoturva-asetus Tietoturvasuoja

EU:n yleinen tietosuoja-asetus GDPR (General Data Protection Regulation) tuo mukanaan entistä tiukempia tietosuojavaatimuksia. Asetus korvaa EU:n henkilötietodirektiivin, joka on ollut perustana eurooppalaiselle tietosuojasääntelylle vuodesta 1995 lähtien.

Kaikkien organisaatioiden – myös julkisella sektorilla toimivien – täytyy varmistaa, että ne ovat valmiita noudattamaan uutta asetusta sen soveltamisen alkaessa 25. toukokuuta 2018. Kustannuksia ja lisätyötä on luvassa, kun tietosuojalainsäädäntö harmonisoidaan kaikissa 28 EU:n jäsenvaltiossa.

Tietosuoja-asetuksella arvioidaan olevan merkittäviä vaikutuksia yrityksiin, toimialaan katsomatta. Entä miten GDPR vaikuttaa julkisella puolella? Erityisasiantuntija Tuula Seppo Kuntaliitosta toteaa, että rekisterinpitäjiin kohdistuvat vaatimukset lisääntyvät jatkossa.

”Entiset vaatimukset osin selkiintyvät ja osin täydentyvät. Tietosuoja-asetus tuo myös uusia vaatimuksia.”

Tietosuoja-asetus sai joukot liikkeelle

Tuula Seppo toimii puheenjohtajana Julkisen hallinnon tietohallinnon asiantuntijaryhmässä (JUHTA), joka on työstänyt julkisen puolen GDPR-valmiuksia eteenpäin yhdessä julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) kanssa. JUHTA/VAHTI-yhteishankkeissa on tuotettu tietosuojakoulutusvideoita ja nettitestejä sekä järjestetty työpajatilaisuuksia. Työpajoissa on käsitelty tietosuoja-asetuksen eri osa-alueita, riskienhallintaa ja tietoturvallisuutta julkishallinnon näkökulmasta.

Erityisasiantuntija Tuula Seppo Kuntaliitosta.
Tuula Seppo

”Meillä on mukana tietosuoja-ammattilaisia 300 organisaatiosta, joko valtion tai kunnan puolelta, ja lisäksi 700 muuta asiantuntijaa”, Seppo kuvailee.

”Näin olemme voineet miettiä teemoja yhdessä, sen sijaan että jokainen pohtii yksinään.”

Seppo toteaa, että tyhjästä työtä ei ole tarvinnut aloittaa, sillä henkilötietolaki on esimerkiksi linjannut rekisterinpitäjän vastuita jo pitkään. ”GDPR-asetus kuitenkin muuttaa pelisääntöjä siten, että rekisteröityjä pitää informoida entistä avoimemmin ja selvemmin”, hän sanoo.

Riskilähtöisyys ja osoitusvelvollisuus avainasemassa

Myös riskilähtöisyys on asia, joka tulee punnittavaksi monessa julkisen puolen organisaatiossa. Kun esimerkiksi taloon tulee uutta teknologiaa, mihin kaikkeen asia vaikuttaa tietosuojatasolla? Miten varmistetaan, että toiminta ja tehdyt sopimukset ovat GDPR:n kanssa linjassa – sekä omalta että alihankkijoiden osalta? Avainsanaksi tässä nousee Sepon mukaan ”osoitusvelvollisuus”.

”Organisaation tulee pystyä osoittamaan, miten se noudattaa GDPR-tietosuoja-asetusta. Käytännössä tämä tapahtuu dokumentoinnin kautta.”

Organisaation tulee pystyä osoittamaan, miten se noudattaa EU:n tietosuoja-asetusta GDPR:ää.

JUHTA/VAHTI-yhteishankkeen tietosuojan osoitusvelvollisuutta edistävissä työpajoissa onkin käyty läpi keskeisiä tietosuojaan ja -turvaan liittyviä prosesseja, toimintamalleja ja vaatimuksia, jotka organisaation tulee kyetä toteuttamaan omassa toiminnassaan.

Miten asiat sitten muuttuvat ruohonjuuritasolla? Seppo tarjoaa esimerkin, jossa kunnallinen toimija joutuu miettimään, missä muodossa sinänsä julkisen kokouksen pöytäkirjoja julkaistaan tilanteessa, jossa pöytäkirjoissa mainitaan henkilötietoja.

”Jos pöytäkirjat sisältävät henkilötietoja, niitä pidetään internetissä tehokkaan viestinnän ajan eli käytännössä valitusajan, tai sitten henkilötiedot laitetaan liitteisiin. Joissakin tapauksissa voi olla, että tiettyihin asiakirjoihin pääsee tutustumaan kunnantalolla.”

Julkistoimijat samassa veneessä

Seppo osaa JUHTA-kokemuksensa perusteella sanoa, että julkispuolen toimijoiden GDPR-huolenaiheet ovat keskenään varsin samantapaisia. Halutaan varmistua, että asiat ovat kunnossa viimeistään toukokuussa.

”Erityisesti sote-haasteita on monessakin paikassa, koska terveydenhoidossa käsitellään arkaluontoisia tietoja, joita ei ole tarkoitettu ulkopuolisten silmille.”

Eteenpäin on kuitenkin menty. Sepon Itä-Suomen yliopistolle viime vuonna tekemä gradututkimus kertoo, että vielä keväällä 2017 GDPR-tilanne oli varsin heikoissa kantimissa kunnissa ja kuntayhtymissä.

”Sen jälkeen on tapahtunut selvää kehitystä: on nimitetty tietosuojavastaavia ja tehty asetuksen vaatimia asioita.”

Välitöntä kehittämistä vaativat alueet organisaatioissa:

  • vaatimus sisäänrakennetusta ja oletusarvoisesta tietosuojasta
  • riskilähtöisyyden huomiointi
  • tietoturvaloukkausmenettelyprosessit
  • osoitusvelvollisuus
  • tietosuojavastaavan nimittäminen/tehtäväkuvan laatiminen

Lähde: Tuula Sepon pro gradu -tutkielma GDPR-tietosuoja-asetuksen vaatimuksista rekisterinpitäjälle (Itä-Suomen yliopisto, 2017)

 

VAHTI-pääsihteeri Kimmo Rousku Valtionvarainministeriöstä ja erityisasiantuntija Tuula Seppo Kuntaliitosta.
JUHTA/VAHTI-yhteishanke on iso panostus julkishallinnolta julkishallinnolle. Esimerkiksi tietosuoja-aiheiset videot ovat olleet iso hitti: ensimmäisellä Arjen tietosuoja – tietosuojaa meille kaikille -videolla oli vuoden 2018 helmikuussa 78 200 latausta.

Katso videot täältä: https://arjentietosuoja.fi/fi/#/front