DPIA – pakollinen dokumentti vai arvokas prosessi?

kirjoittaja

Tietosuojan vaikutustenarviointi jakaa mielipiteitä. Toisille se on compliance-rasti, toisille aito johtamisen väline. Tietosuoja-asiantuntijat Jaanaliisa Kuoppa ja Juha Sallinen ovat molemmat tehneet tätä työtä käytännössä – ja heillä on selkeä näkemys siitä, kumpi lähestymistapa kannattaa.

Mitä DPIA tarkoittaa ja miksi se tehdään?

DPIA eli Data Protection Impact Assessment – tietosuojan vaikutustenarviointi – on prosessi, jossa arvioidaan käyttöönotettavan järjestelmän tai toiminnon vaikutukset henkilötietoihin. EU:n tietosuoja-asetus GDPR edellyttää arviointia silloin, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidyille.

Käytännössä DPIA on monessa kunnassa ja organisaatiossa jo tuttu – mutta tehdäänkö sitä oikeista syistä ja oikealla tavalla?

Dokumentti on vasta lähtökohta – ei maali

Molemmat lähtevät liikkeelle samasta perusajatuksesta: dokumentista on ehdottomasti hyötyä – se on rekisterinpitäjälle konkreettinen tapa todentaa osoitusvelvollisuutensa. Mutta juuri siinä piilee myös vaara.

Sallinen tunnistaa työssään yleistyneen harhan: DPIA mielletään pitkäksi, monimutkaiseksi dokumentiksi, jonka tuottaminen on itseisarvo. Oleellinen kysymys on kuitenkin yksinkertainen – onko käsittelyssä henkilötietoihin liittyviä riskejä, ja voidaanko niitä hallita? Se ei riipu sivumäärästä.

Kuoppa tunnistaa saman ilmiön käytännön työssään: ”DPIA koetaan vain dokumenttina, joka pitää kiikuttaa maaliin mahdollisimman nopeasti.”

Pahimmillaan se ostetaan valmiina ulkopuoliselta – ilman että kukaan omassa organisaatiossa on sitä lukenut tai ymmärtänyt.

Sallinen tiivistää ongelman ytimekkäästi: ”Onhan tästä olemassa DPIA – mutta jos se ei pidä paikkaansa ollenkaan todellisuuden kanssa, niin eihän tässä olla tehty oikeita päätöksiä.”

Kun todellisuus ja dokumentti eivät kohtaa

Sallinen nostaa esiin konkreettisen esimerkin, joka kuvaa ongelmaa osuvasti. Erään kunnan M365-vaikutustenarvioinnissa todettiin, ettei palvelu sisällä viranomaispäätöksiä tai arkaluontoista materiaalia. Todellisuudessa juuri Wordilla kirjoitetaan ne päätökset ennen kuin ne viedään asianhallintajärjestelmään. Sallisen mukaan tällainen dokumentti mennään sellaisella hymistelytasolla, että sitä ei välttämättä kannata lukea lainkaan – se ei kuvaa todellisuutta. Kuoppa jakaa huolen.

Dokumentti, joka on tuotettu ilman organisaation omaa panosta, ei ohjaa päätöksentekoa – se antaa vain väärän turvallisuuden tunteen.

Hyväksyminen pelottaa – ja syystä

Yksi käytännön kipukohta on arvion hyväksyminen – ja se on nimenomaan rekisterinpitäjän vastuulla. Kuopan mukaan arviossa kirjataan usein monenlaisia riskejä, joiden merkitys voi jäädä hyväksyjälle hämäräksi. Siksi sekä arvion tekeminen että hyväksyvän päätöksen tekeminen arveluttaa.

Sallinen tiivistää ongelman: ”Mites se hyväksyjä hyväksyy, jos hänelle laitetaan 50-sivuinen Word tai PDF, jota kukaan ei oikeasti lue ja josta puuttuu ne kolme pointtia, jossa Go tai No-Go?”

Kuoppa yhtyy näkemykseen – hyväksyjän pöydälle ei kannata laskea dokumenttia, josta puuttuu selkeä kokonaiskuva.

Molemmat korostavatkin, että hyvä vaikutustenarviointi palvelee ennen kaikkea päätöksentekijää – ei auditoijaa.

Näin prosessi toimii käytännössä

Toimiva DPIA ei vaadi massiivista byrokratiaa. Sallisen mukaan lähtökohta on aina sama:

  • Ensin tunnistetaan, onko arviointia ylipäätään tarpeen tehdä. Jos käsittely on pieniriskistä, riittää lyhyt merkintä järjestelmäsalkussa – esimerkiksi täppä ”pieniriskinen”. Se oli siinä.
  • Jos tarve tunnistetaan, kootaan oikeat ihmiset: aiheen omistaja tai pääkäyttäjä, tietosuojaosaaja sekä IT. Kaikkien ei tarvitse istua yhtä aikaa, mutta kaikki kulmat tarvitaan todellisuuden hahmottamiseksi.

Kuoppa korostaa, että juuri tässä työskentelyssä syntyy se, mikä tekee DPIA:sta arvokkaan – yhteinen ymmärrys, jonka pohjalta löydetään toimivia ratkaisuja.

Riskien tunnistamisen jälkeen mietitään lievennystoimet ja arvioidaan, voidaanko edetä. Sallinen soveltaa porttiteoriaa: jos ei voida, pohditaan voidaanko hankintaa tehdä muutoksin tai jätetäänkö se kokonaan tekemättä.

Lievennystoimet eivät toteudu itsestään

Kuoppa muistuttaa vielä yhdestä kriittisestä kohdasta, joka usein unohtuu: riskien lievennystoimenpiteet edellyttävät vastuullisen, aikataulun ja resurssien määrittelyä – sekä hyväksyntää. Ja sen jälkeen vielä tarkistamista, että toimenpiteet myös toteutetaan.

Dokumentti, jossa riskit on tunnistettu mutta toimenpiteet jäävät roikkumaan ilmaan, ei suojaa ketään.

Prosessi voi edetä esimerkiksi näin:

Kolme näkökulmaa asiantuntijoilta

Juha Sallinen suosittelee:

  1. Käy läpi tietovirrat ja varmista, että arviointi vastaa todellisuutta – mistä tieto tulee, minne se menee
  2. Priorisoi – uudet järjestelmät porttikäytännöllä, vanhat järjestelmäsalkusta kriittisyysarvioinnilla. Dokumentoi päätös.
  3. Valitse itsellesi sopiva työkalu – Excel, Word, tekoälyavusteinen sovellus tai tietosuojatyökalu. Mikään niistä ei tee päätöksiä puolestasi, vaan tukee työtäsi.

Jaanaliisa Kuoppa suosittelee:

  1. Ota mukaan eri asiantuntijat ja varaa prosessille riittävästi aikaa
  2. Dokumentti on tärkeä, mutta matka on tärkeämpi
  3. Varmista, että lievennystoimille on nimetty vastuuhenkilö, aikataulu ja resurssit – ja seuraa, että ne myös toteutetaan

Haluatko rakentaa organisaatiollesi toimivan DPIA-prosessin?
Ota yhteyttä – autamme viemään tietosuojatyön käytäntöön.

Artikkelissa esiintyvät asiantuntijat:

Jaanaliisa Kuoppa, GDPR-asiantuntija, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Juha Sallinen, Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Asiakaskysely 2025: NPS +67 ja mitä opimme palautteesta

kirjoittaja

Loppuvuodesta 2025 toteutimme ensimmäisen asiakaskyselyn GDPR Techin asiakkaille. Halusimme saada systemaattisen kuvan siitä, miten palvelumme koetaan ja missä meidän pitäisi kehittyä.

Kysely lähetettiin noin 50 asiakkaalle. Toteutimme kyselyn loppuvuodesta 2025 ja saimme vastauksista selkeän kuvan asiakaskokemuksesta.

Keskeinen mittari kyselyssä oli NPS (Net Promoter Score), joka mittaa sitä, kuinka todennäköisesti asiakas suosittelisi palvelua muille.

Tuloksemme oli: NPS +67

Konsultointipalveluissa tätä voidaan pitää erittäin hyvänä tuloksena. Lisäksi yksikään vastaaja ei sijoittunut niin sanottuihin detraktoreihin (arvosanat 0–6), mikä kertoo siitä, että palvelu koetaan kokonaisuutena toimivaksi.

Keskiarvo kysymykselle “kuinka todennäköisesti suosittelisit palvelua” oli 8,9.

Mikä toimii asiakkaiden mielestä hyvin

Avoimissa vastauksissa toistui muutama selkeä teema.

Asiantuntemus ja laaja-alainen osaaminen

Useissa kommenteissa nostettiin esiin yhdistelmä, joka tietosuojatyössä on usein ratkaiseva: juridinen ymmärrys, liiketoiminnan tuntemus ja tekninen näkökulma.

Asiakkaiden palautteessa tämä näkyi esimerkiksi näin:

  • “Laaja-alainen ymmärrys lainsäädännöstä, prosesseista ja tietotekniikasta.”
  • “Ei ollut kysymystä, johon ei olisi löytynyt vastausta.”

Tietosuojatyössä ratkaisut eivät synny pelkästään lakitekstiä lukemalla. Tarvitaan ymmärrystä myös järjestelmistä, prosesseista ja organisaatioiden arjesta.

Yhteistyö ja käytännön tekeminen

Useat vastaajat mainitsivat yhteistyön sujuvuuden ja käytännönläheisen työotteen.

Palautteessa korostui erityisesti:

  • yhteistyön helppous
  • reagointinopeus
  • tavoitteiden saavuttaminen
  • aikatauluissa pysyminen

Tietosuojatyö on harvoin yksittäinen projekti. Useimmiten kyse on pitkäjänteisestä yhteistyöstä, jossa asioita kehitetään vaiheittain.

Asiakaslähtöinen lähestymistapa

Useampi vastaaja nosti esiin myös palvelun räätälöitävyyden ja sen, että ratkaisut rakennetaan asiakkaan tilanteeseen sopiviksi.

Tietosuojassa ei ole yhtä mallia, joka toimisi kaikille organisaatioille. Toimivat ratkaisut syntyvät yleensä organisaation toimintatapojen, järjestelmien ja riskien ymmärtämisestä.

Missä voimme kehittyä

Avoin palaute nosti esiin myös kehityskohteita, jotka ovat monella tavalla tyypillisiä kasvavalle asiantuntijaorganisaatiolle.

Työn seuranta ja järjestelmällisyys

Useampi vastaus viittasi siihen, että asioiden seuranta ja tehtävien läpivienti voisi olla vielä systemaattisempaa.

Tämä näkyi esimerkiksi kommenteissa, joissa toivottiin:

  • parempaa näkyvyyttä tehtävien etenemiseen
  • selkeämpää projektiseurantaa
  • systemaattisempaa tapaa hallita avoimia asioita

Viestintä ja aikataulutus

Joissakin kommenteissa toivottiin myös hieman selkeämpää viestintää esimerkiksi materiaalien toimitusaikatauluista tai yksittäisten asioiden etenemisestä.

Teknologia ja työkalut

Yksittäisissä kommenteissa nousi esiin myös kysymyksiä esimerkiksi tietosuoja- ja tietoturvatyökalujen roadmapista tai ohjelmistoversioihin liittyvistä yksityiskohdista.

Tietosuojatyö on yhä enemmän myös teknologista työtä, ja asiakkaiden odotukset tällä alueella kasvavat jatkuvasti.

Mitä olemme jo tehneet palautteen pohjalta

Asiakaspalautteen tärkein tehtävä on auttaa tunnistamaan kehityskohteet ja priorisoimaan niitä. Vuoden alun kickoff-päivässä kävimme läpi yrityksen keskeiset kehityskohteet ja nostimme niiden pohjalta tärkeimmät painopisteet vuodelle 2026.

Keskeinen kehityskohde liittyi työn seurantaan ja asioiden systemaattiseen läpivientiin. Tähän vastataksemme olemme ottaneet käyttöön uuden työnhallinta- ja tiketöintijärjestelmän, jonka tavoitteena on tehdä työn etenemisestä läpinäkyvämpää sekä meille että asiakkaille.

Samalla myös tiimimme kasvoi helmikuussa 2026 uudella asiantuntijalla, mikä lisää kapasiteettia asiakastyöhön ja auttaa jakamaan vastuuta tasaisemmin.

On myös rehellistä todeta, että vuoden 2026 alku on ollut erityisesti yrittäjälle hyvin työntäyteinen. Tammi–helmikuussa työkuorma kasvoi hetkellisesti suureksi, mikä näkyi ajoittain myös käytännön tekemisen rytmissä. Maaliskuuhun mennessä tilanne on kuitenkin jo tasaantunut, ja uusien työkalujen käyttöönotto auttaa selkeyttämään työn organisointia jatkossa.

Kasvava asiantuntijayritys joutuu jatkuvasti tasapainottelemaan kysynnän, resurssien ja toimintatapojen kehittämisen välillä. Asiakaspalaute auttaa pitämään suunnan oikeana.

Kiitos palautteesta

Haluamme kiittää kaikkia asiakkaita, jotka käyttivät muutaman minuutin kyselyyn vastaamiseen.

Asiakaspalautteen arvo ei ole pelkästään numeroissa. Usein juuri avoimet kommentit auttavat näkemään asioita, joita organisaation sisältä ei aina huomaa.

Jatkamme asiakaskyselyn tekemistä myös tulevina vuosina, jotta voimme seurata kehitystä ja varmistaa, että palvelumme kehittyvät oikeaan suuntaan.

Näin yritys vahvisti tietosuoja- ja tietoturvakulttuuria koulutuksella

kirjoittaja

Haastattelimme noin 50 hengen asiantuntijaorganisaation tietohallinnosta vastaavaa johtajaa, joka jakoi kokemuksiaan henkilöstön tietosuoja- ja tietoturvakoulutuksista sekä niiden vaikutuksista arkeen.

Tietosuojan koulutus toteutettiin GDPR Techin toimesta, ja tietoturvaa kehitettiin lisäksi organisaation omilla toimenpiteillä.

Tietoturva on liiketoiminnan jatkuvuuden ytimessä

Haastateltavamme toimii tietohallintopäällikkönä ja vastaa tietoturvan ja tietosuojan koordinoinnista muun tietohallinnon ohella.

Hänen mukaansa tietoturvan merkitys korostuu erityisesti liiketoiminnan jatkuvuuden näkökulmasta:

“Tietoturvan merkitys kasvaa jatkuvasti teknologian ja erityisesti tekoälyn kehittyessä.”

Vaikka yritys ei käsittele merkittävästi arkaluonteisia henkilötietoja, tietoturva nähdään silti strategisena kysymyksenä. Organisaatiossa tietoturvaa käsitellään säännöllisesti johtoryhmätasolla, ja myös hallitus seuraa teemaa aktiivisesti.

Suurimmat riskit liittyvät ihmisiin ja arkkitehtuuriin

Kysyimme, missä riskit tällä hetkellä nähdään suurimpina.

Vastaus oli selkeä:

  • yksilöiden toiminta
  • teknologia-arkkitehtuurin turvallisuus ja ajantasaisuus

Organisaatiossa on tunnistettu, että henkilöstön osaaminen ja toimintakyky ovat aivan keskeisessä roolissa. Pelkät tekniset ratkaisut eivät riitä, jos ihmiset eivät osaa toimia turvallisesti – tai heillä ei ole siihen edellytyksiä.

Koko henkilöstö mukaan – 50 ihmistä koulutettiin

Yrityksessä päätettiin kouluttaa koko henkilöstö, noin 50 henkilöä, erityisesti tietosuojaan liittyvissä teemoissa. Samalla organisaatio vahvisti tietoturvaosaamista myös omien sisäisten toimenpiteiden kautta.

Koulutusten tärkein anti ei ollut niinkään uudet yllätykselliset asiat, vaan perusasioiden vahvistaminen.

“Henkilöstölle tämä on tärkeää, että asiat ovat koko ajan esillä ja tuoreessa muistissa.”

Tietosuoja ja tietoturva eivät ole kertaluonteisia projekteja, vaan jatkuvaa osaamisen ylläpitoa.

Konkreettisia hyötyjä arjessa

Koulutusten vaikutukset näkyivät nopeasti:

  • Tietosuoja- ja tietoturvaohjeistuksia parannettiin
  • Tietosuojasta ja tietoturvasta keskustellaan enemmän
  • Viestintä lisääntyi
  • Henkilöstö reagoi aktiivisemmin esimerkiksi kalasteluviesteihin

Haastateltavan mukaan koulutukset toivat henkilöstölle “tervettä epäluuloisuutta ja varovaisuutta” – juuri sitä ennakoivaa ajattelua, jota toimiva tietoturvakulttuuri vaatii.

Erityiskiitosta saivat koulutusten selkeys ja tiiviys: ne koettiin tehokkaiksi ja helposti aikataulutettaviksi.

Tietoturvaa johdetaan mallin mukaisesti

Organisaatiossa tietoturvaa kehitetään aktiivisen hallintamallin mukaisesti. Toimintaa ohjaavat muun muassa NIS2-vaatimukset ja ISO 27001 -standardin periaatteet.

Hallintamalli tukee sekä tietoturvan että tietosuojan jatkuvaa kehittämistä ja auttaa pitämään vastuut ja käytännöt selkeinä koko organisaatiossa.

Tulevaisuudessa panostukset tulevat kasvamaan entisestään, sillä teknologian kehitys ja tekoälypohjaiset uhkat lisäävät riskikenttää jatkuvasti.

Viesti muille päättäjille: älkää odottako poikkeamaa

Haastattelun tärkein viesti muille tietohallintojohtajille ja yrityspäättäjille oli selkeä:

Älkää odottako tietoturvapoikkeamaa ennen kuin toimitte.
Lähestykää tietoturvaa riskien kautta.
Harjoitelkaa palautumista kriisitilanteista.

“Kaikille osuu tietoturvapoikkeama joskus yrityksen elinkaaren aikana.”

Kysymys ei ole siitä, tapahtuuko jotain – vaan siitä, miten hyvin organisaatio on valmistautunut.

Haluatteko vahvistaa oman organisaationne tietosuoja- ja tietoturvakulttuuria?

Tutustu tietosuoja- ja tietoturvakoulutuksiimme ja varaa keskusteluaika asiantuntijamme kanssa.

Nordic Privacy Arena 2025 –  keskeiset havainnot ja puheenaiheet

kirjoittaja

Nordic Privacy Arena (NPA) on Pohjoismaiden merkittävin tietosuojaan ja yksityisyyteen keskittyvä konferenssi. Se järjestetään vuosittain Tukholmassa ja verkossa, ja se kokoaa yhteen tietosuojavastaavat, viranomaiset, juristit, aktivistit ja yksityisyyden asiantuntijat keskustelemaan alan ajankohtaisista teemoista.

Vuoden 2025 konferenssi järjestettiin 29.–30. syyskuuta Münchenbryggerietissä. Teemana oli “Kymmenen vuotta edistystä, tulevaisuuden vastuu”, joka juhlisti tapahtuman kymmenvuotista taivalta ja suuntasi katseen yksityisyyden muuttuvaan maisemaan – tekoälyn hallinnasta digitaaliseen suvereniteettiin.

GDPR Tech oli mukana tapahtumassa kolmatta kertaa ja tällä kertaa myös sponsorina. Juha Sallinen ja Jaanaliisa Kuoppa osallistuivat konferenssiin paikan päällä, ja tässä artikkelissa he avaavat tapahtuman keskeisiä nostoja ja omia havaintojaan.

Tekoälyä, valvontaa ja sandboxeja – Ruotsin linja kiinnostaa Suomea

Ruotsin uusi tietosuojavaltuutettu Eric Lejonram piti tapahtuman painavimman puheenvuoron. Hän korosti erityisesti tekoälyn riskiperusteista hallintaa ja sitä, että suurten riskien rinnalle on rakennettava suuremmat turvatoimet.

Jaanaliisa Kuoppa tiivisti näkemyksensä näin:

“Suomalaisittain oli huomionarvoista, että Lejonram nosti esiin sandboxit ja valvontamekanismit. Ruotsissa nämä on rakennettu jo vuosia sitten – meillä Suomessa työ on edelleen kesken.”

Suomen AI-sandboxien tilanne onkin toistaiseksi avoin. Traficomin mukaan (14.10.2025) “Suomessa työ on käynnissä ja kansallinen toteutusmuoto vielä avoin.” Haaga-Helia on mukana EU:n EUSAir-sandbox-hankkeessa, mikä voi nopeuttaa käytännön etenemistä.

Juha Sallinen kommentoi tilannetta suoraan:

“Suomen AI-hiekkalaatikot ovat edelleen heikolla tasolla. Ruotsiin verrattuna olemme selvästi jäljessä.”

Max Schrems – sanktioiden todellinen toteutuminen

Konferenssissa nähtiin myös yksi alan tunnetuimmista kasvoista, Max Schrems, joka nosti esiin tärkeän ja huolestuttavan havainnon: vaikka Euroopassa on määrätty merkittäviä GDPR-sanktioita, vain murto-osa niistä on tosiasiallisesti peritty.

Max Schrems

Schrems myös huomautti, että oikeusasteiden halukkuus ottaa tietosuojatapauksia käsittelyyn on edelleen alhaisella tasolla. Tekninen monimutkaisuus on ymmärrettävä syy, mutta samalla se heikentää GDPR:n uskottavuutta ja toimeenpanoa.

Digital Sovereignty – realismia vai eurooppalaista optimismia?

Yksi puhutuimmista teemoista oli digitaalinen suvereniteetti: miten Eurooppa voi ylläpitää riippumattomuutta ja kyvykkyyttä teknologiassa, kun Yhdysvallat dominoi tekoälyn ja pilvipalveluiden kenttää.

Paneelikeskustelussa siteerattiin Bill Clintonia: “Pessimism is an excuse for not trying.”

Juha Sallinen nosti esiin oman näkökulmansa:

“Euroopassa on vaihtoehtoja. Suomestakin löytyy osaavia ohjelmistotoimittajia ja konesaleja. Eurooppalaisista OVHcloud on hyvä esimerkki siitä, että infraa ja SaaS-ympäristöjä kyllä löytyy. Mutta realismi on tärkeää – esimerkiksi Officen korvaaminen LibreOfficella heikentäisi tehokkuutta monessa organisaatiossa.”

Ruotsalainen Daniel Melin kiteytti eurooppalaisen tilanteen osuvasti: “We have outsourced our core to other states.”

Jaanaliisa Kuopan mielestä Melinin ehdotus oli konferenssin käytännöllisin:

“Hänen ratkaisunsa oli yksinkertainen – julkisen sektorin pitäisi ostaa enemmän eurooppalaisia järjestelmiä. Se tarkoittaa hankintalainsäädännön muuttamista eurooppalaisia vaihtoehtoja suosivaksi.”

Draghi-raportti ja sääntelykevennykset: tarpeellisia vai haitallisia?

Konferenssissa puhuttiin myös Draghi-raportista ja sen pohjalta valmistelluista GDPR:n kevennyksistä, kuten työntekijärajan nostamisesta 250:stä 750:een.

Jaanaliisa Kuoppa kommentoi ehdotusta suorasanaisesti:

“Suomalaisittain tuo nosto on rapsakka. 250 työntekijän raja on perusteltu – jo 200 hengen yritys käsittelee valtavan määrän henkilöstö- ja asiakastietoa.”

Juha Sallinen näki muutoksessa kosmeettisia piirteitä:

“Jos isommilla yrityksillä on järkeä, ne vaativat alihankkijoiltaan tietosuojan perustason joka tapauksessa. Muutos ei poista vastuuta.”

Paneeleissa pohdittiin laajemminkin, tukahduttaako Eurooppa itseään regulaatiolla vai syntyykö siitä “Bryssel-efekti”, joka pakottaa globaalit toimijat noudattamaan EU:n standardeja. Tämä kehitys on jo nähtävissä esimerkiksi Intiassa, jonka tietosuojalaki pohjautuu pitkälti GDPR:ään.

Tapauksia, jotka unohtivat yksityisyyden

Anna Berlee nosti esiin esimerkkejä teknologioista, joissa yksityisyys oli sivuseikka:

  • Google Glass, jonka käyttäjistä tuli tunnettu nimitys “Glassholes”
  • Clearview AI, jota suomalainen poliisi käytti ilman riittävää tietoturva-arviota (KRP sai huomautuksen v. 2021)

Nämä tapaukset muistuttavat, miksi yksityisyys on tärkeää jo teknologian suunnitteluvaiheessa.

Sport Admin – esimerkki siitä, mitä voi tapahtua, kun tietosuoja pettää

Juha Sallinen osallistui paneelikeskusteluun, jossa käsiteltiin ruotsalaista Sport Admin -tietovuotoa. Kyseessä oli nuorten ja huoltajien tietojen käsittely – ja esimerkki siitä, mitä tapahtuu, kun tietosuojaa ja tietoturvaa ei pidetä riittävällä tasolla.

Salliselta on tulossa aiheesta erillinen blogikirjoitus myöhemmin.

Miksi suomalaisten kannattaa osallistua NPA:han?

Suomalaisia osallistujia oli tänäkin vuonna melko vähän. Silti osallistumista voi suositella lämpimästi.

Jaanaliisa Kuoppa kiteytti syyn:

“Kyllä kannattaa! GDPR ei ole kantasuomalainen. Eurooppalaisten asiantuntijoiden tapaaminen kasvotusten oli todella avartavaa. Ja meidän suomalaisten pitäisi ehkä alkaa käsittää, että tuo Ruotsi tuossa on oikeasti hyvä naapuri.”

NPA 2025 tarjosi:

  • ajankohtaisen katsauksen tekoälyn ja yksityisyyden rajapintaan
  • näkökulmia digitaaliseen suvereniteettiin
  • keskustelua GDPR-kevennyksistä ja niiden vaikutuksista
  • konkreettisia esimerkkejä siitä, miksi tietosuoja on edelleen kriittistä
  • arvokasta verkostoitumista eurooppalaisten asiantuntijoiden kanssa

Tapahtuma osoitti jälleen kerran, kuinka nopeasti yksityisyyden ja tietosuojan kenttä muuttuu – ja miksi Pohjoismainen yhteistyö on tällä alueella tärkeämpää kuin koskaan.

Haluatko kuulla lisää tietosuojasta tai keskustella tapahtuman teemoista?

Ota meihin yhteyttä – jatketaan keskustelua ja sparrataan yhdessä, miten organisaatiosi voi kehittää tietosuojaa ja tietoturvaa laadukkaasti ja käytännönläheisesti.

Teknologia kohtaa tietosuojan – mitä tekninen projektiosaaja tuo tietosuojatyöhön?

kirjoittaja

Tietosuoja ei ole pelkkää juridiikkaa. Kun organisaatiot digitalisoituvat ja henkilötietojen käsittely siirtyy yhä monimutkaisempiin järjestelmiin ja järjestelmäkokonaisuuksiin, teknisen osaamisen merkitys tietosuojatyössä kasvaa.

Tehokkaan ja tarkoituksenmukaisen läpiviennin mahdollistamiseksi tarvitaan myös projektijohtamisen kyvykkyyttä. Kun nämä yhdistää, saadaan työnimike tekninen projektipäällikkö.

Tietosuoja on jatkuvaa työtä

GDPR ja muut tietosuojasäädökset asettavat vaatimuksia, jotka toteutuvat käytännössä teknologian avulla. Tietosuojatyö ei ole kertaluonteinen toimenpide, vaan jatkuvaa kehittämistä – ja myös epätäydellisyyden sietämistä. Jos yhden osa-alueen hioo huippuunsa, muualla saattaa pian alkaa repsottaa. Siksi tietosuojatyön tavoitetaso on usein realistisesti 8+ eikä 10.

Tietosuojatyötä tehdään tyypillisesti sekä osana jatkuvaa ohjelmatyötä että yksittäisinä projekteina. Isommat kertaluontoiset panostukset on hyvä organisoida projektimuotoisesti, jolloin varmistetaan kustannustehokas ja vaikuttava läpivienti. Projekteilla on alku, keskikohta ja loppu – toisin kuin jatkuvassa työssä, jossa langanpäät helposti hukkuvat kokonaisuuteen ja resursointi jää usein vajaaksi.

On myös tärkeää huomata, että tietosuojatyötä tehdään, jotta mahdollisissa poikkeamatilanteissa toiminta olisi hallittua. On aivan eri asia toimia valmistautuneena työryhmissä normaalin toimistoajan puitteissa kuin reagoida kiireessä, puutteellisin tiedoin ja vajavaisilla resursseilla.

Tekninen projektiosaaminen osana modernia liiketoimintaa

Tekninen projektiosaaminen tuo tietosuojatyöhön käytännönläheisyyttä, tehokkuutta ja vaikuttavuutta. Kyse on pohjimmiltaan ymmärryksestä ja läpivientikyvystä, jolla sääntelyn vaatimukset toteutetaan käytännössä.

Tietosuoja ei ole vain sääntöjen noudattamista. Se on osa modernia, vastuullista ja kestävää liiketoimintaa.

Haluatko kuulla lisää, miten voimme auttaa organisaatiotasi? Ota yhteyttä!

Tietosuojatutkimuksen taustatiedot 2021 – 2024

kirjoittaja

Tietosuojatutkimuksen taustatiedot 2021 – 2024

Tietosuojaan liittyvä kyselytutkimus on toteutettu vuodesta 2021 lähtien. Vastauksia kyselyyn on pyydetty sähköpostin sekä sosiaalisen median välityksellä.

  • Vuonna 2024 kyselyyn vastasi 41 henkilöä.
  • Vuonna 2023 kyselyyn vastasi 51 henkilöä.
  • Vuonna 2022 kyselyyn vastasi 102 henkilöä.
  • Vuonna 2021 kyselyyn vastasi 56 henkilöä.

Vastausaikaa on annettu noin 2kk ja vastaajien osalta ei suoritettu profilointia. Vastaajien profiili sekä organisaatioiden koko on säilynyt erittäin samankaltaisena ja siten tulokset ovat käytettävissä nyt jo neljältä vuodelta. Näistä vastauksista saamme jo alkavaa suuntausta moneen kohtaan, kuten ”koulutetaanko henkilöstöä säännöllisesti” tai ”onko GDPR:stä hyötyä”.

Tuloksia käsitellään raportissa tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä 3kk kuluessa. Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset ovat raportissa listattuna, niistä kyselyn koosteessa on joitakin nostoja.

On oletettavaa, että kyselytutkimukseen vastaavien joukko edustaa henkilöitä, joita asia kiinnostaa ainakin jossain määrin. Toisaalta omasanaisista vastauksista voidaan päätellä osan suhtautuvan varsin kriittisesti tietosuojalain vaatimuksiin.

Vastaajien taustat

Vastausvuosina organisaatioiden kokoluokan jakauma oli hyvin samankaltainen, kuten kuvasta 1 on nähtävissä. Vuonna 2024 vastaajina oli kuitenkin aiempaa enemmän organisaatioita, joissa on yli 1000 työntekijää.

Kuva 1: Organisaation henkilöstömäärä

Samoin jakauma organisaation toimialan osalta oli vastausvuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Kuva 2: Yrityksen/organisaation toimiala

Vastaajien asema oli hyvin samantyyppinen jakauman osalta näinä vuosina, ja vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3.

Kuva 3: Vastaajien asema

Toimintaympäristön osalta vastaajissa oli edustettuna Suomessa toimivia, lisäksi kansainvälisesti toimivia että myös kansainvälisiä, joiden päätoimipaikka on ulkomailla. Katso kuva 4.

Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!

Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
juha@gdprtech.com

Tietosuojatutkimus 2024: GDPR kuuluu jo arkeen, mutta ei täysin käytäntöön

kirjoittaja

Suomalainen yritys GDPR Tech Oy on toteuttanut yhteistyössä kumppaninsa Tutkimusvoiman (Raimo Pöllänen) kanssa tietosuojan nykytilaa koskevaa kyselytutkimusta vuodesta 2021 lähtien. Tutkimus selvittää, miten EU:n yleinen tietosuoja-asetus (GDPR) ja tietosuojalaki ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset tarjoavat ainutlaatuista ja uutta tietoatietosuoja-asetuksesta ja sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja kehitystä suomalaisissa organisaatioissa. Kyselyn sisältö on pysynyt samana vuodesta 2021 lähtien, jotta kehitystä voidaan seurata luotettavasti.

Tietosuojatyötä tehdään organisaatioissa GDPR:n eli EU:n yleisen tietosuoja-asetuksen mukaisesti, ja sitä pidetään yleisesti hyödyllisenä. Poikkeustilanteita harjoitellaan kuitenkin yhä vain noin kolmasosassa organisaatioista.

Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2024

  • Enemmistö vastaajista kokee, että GDPR ja kansallinen tietosuojalaki ovat lisänneet luottamusta henkilötietojen käsittelyyn. Luku on noussut vuoden 2021 71 prosentista vuoden 2024 88 prosenttiin – merkittävä kasvu luottamuksen osalta.
  • Lähes neljä viidesosaa vastaajista (78 %) kokee, että GDPR hyödyttää organisaatiota. Tekstivastaukset tukevat tätä esimerkiksi tiedonhallintaan liittyvillä havainnoilla.
  • Vastaajien huoli omista henkilötiedoistaan on kasvanut aiemmasta noin 44 prosentin tasosta 54 prosenttiin.
  • Edelleen vain 60 % vastaajista kokee, että tietosuojasta huolehditaan riittävästi organisaatioissa.
  • Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty aiemmista vuosista, ja nyt noin 39 % organisaatioista on toteuttanut niitä.

Luottamus tietosuojatyöhön kasvaa – myös organisaatiot näkevät hyödyt

Lähes 90 % vastaajista vuonna 2024 kokee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Prosenttiosuus on kasvanut vuoden 2021 71,4 prosentista vuoden 2024 88 prosenttiin, mikä on merkittävä nousu.

Yli 78 % vastaajista kokee, että GDPR hyödyttää organisaatiota. Tämä jatkaa vuodesta 2021 alkanutta suuntausta: alkuvaiheen ajattelu, jossa ”GDPR kieltää kaiken”, on muuttunut. Nyt on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä heijastuu hyvin myös vastauksissa – osa kokee GDPR:n kuitenkin edelleen haitallisena.

Kyselyyn vastaaja
(GDPR) vaikeuttaa kaikella mahdollisella tavalla en haluaisi enää olla kuluttajan kanssa tekemisissä kun pelkäät vain että joku porsaanreikä jää auki josta sinut haastetaan oikeuteen.
Kyselyyn vastaaja
(GDPR) hyödyt: tiedon tuhoaminen, prosessien selkeys
Kyselyyn vastaaja
(GDPR) uhat: tietysti henkilöllisyysvarkaus voi olla ongelma, mutta vastuun pitäisi olla myyjällä, ei ostajalla, henkilöllisyysvarkauden ei pitäisi olla uhka vaan asiakassuhteen luominen pitäisi olla niin selkeä, että väärinkäytöksille ei jää tilaa.
Kyselyyn vastaaja
(GDPR) mahdollisuudet: kai IT-järjestelmät pikkuhiljaa oppii hallinnoituun tuhoamiseen. Lopputulos voi olla hyvä prosessi, mutta sen hyödyistä en ole ihan vakuuttunut.

Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset

GDPR ei jäänyt pelkästään IT:n vastuulle

Vuoden 2021 kyselyn mukaan tietosuojatyöstä vastasivat eri yksiköt, kuten IT-, talous-, HR- ja lakiyksiköt. Vuoden 2024 vastauksissa taloushallinnon osuus on hieman yllättäen selvästi pienentynyt.

Kuva 3: Mikä yksikkö/mitkä yksiköt teillä vastaavat tietosuojatyöstä (GDPR:stä)?

Riskienhallinta on kehittynyt ainakin vuoden 2024 osalta. Vuonna 2023 sen sijaan nähtiin laskeva suuntaus, jossa riskejä ei ollut kartoitettu. IT:llä on merkittävä rooli käytännön tietosuojatyössä – erityisesti tietoturvan ja teknisten suojausten osalta – mutta organisaatioiden riskienhallinta ei yleisesti kuulu IT:n vastuualueisiin.

Vuoden 2024 vastauksissa näkyy selvä parannus henkilötietojen riskienhallinnassa. Vastausten taustalla voi olla myös lisääntynyt tietoisuus mediassa esillä olleista tietoturvaloukkauksista.

Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?

Huolestuttavaa on kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?” saadut vastaukset: ”EI” -vastausten osuus on kasvanut 25,5 prosentista vuonna 2023 aina 29 prosenttiin vuonna 2024.

”Asiakastyössä näkee vieläkin sitä, ettei tietosuoja meille kuulu. Esimerkiksi asiakaspalvelun esihenkilö ei suostunut osallistumaan tietosuojavastaavan vetämään vaikutustenarviointi -työpajaan, koska ”ei tietosuoja meille kuulu”. Kyseisessä organisaatiossa koulutusta on ollut tarjolla, mutta kaikki eivät sitä ole suorittaneet – tämä näkyy käytännön työssä.”

Juha Sallinen, Toimitusjohtaja GDPR Tech

Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?

Kyselyyn vastaaja
Henkilötietojen säilyttämiseen on selkeät raamit
Kyselyyn vastaaja
Vaikuttaa kaikessa toiminnassa henkilöihin yhdistettävän tiedon käsittelyyn, salassapitoon, säilyttämiseen ja tietojen luovutukseen.

Joka viidettä työntekijää ei perehdytetä tietosuojaan

Vastaajista 80 % kertoo, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Tämä tarkoittaa, että viidesosa vastaajaorganisaatioista ei kouluta uusia työntekijöitä tietosuojasta perehdytyksen yhteydessä. Osa vastaajista kertoi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja säännöllinen koulutus puuttuu usein kokonaan.

GDPR Techin toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Usein olemme huomanneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta ei sen jälkeen. On myös yleistä, että GDPR- tai tietosuojakoulutuksia on saatavilla, mutta niiden suorittamista ei seurata.

Kyselyyn vastaaja
Luovat hyvän pohjan henkilötietojenkäsittelylle
Kyselyyn vastaaja
Hidasteena ja uhkana on että julkisen sektorin työtä on vaikeutettu ja pakollinen valvonta maksaa tuhansia vuodessa. Julkishallinnon täytyy todentaa tekemisensä, joka usein on jo valmiiksi lakisääteistä. Mutta tuo todentaminen maksaa euroja, joita ei ole toimintaa hyödyttämättömiin asioihin. GDPR hidastaa ja vaikeuttaa julkishallinnon toimintaa ja maksaa rahaa. Se ei helpota tai nopeuta tekemistämme.

Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?

Tietoisuus seuraamuksista kasvanut – suhtautuminen GDPR:ään vaihtelee

Tutkimuksessa vastaajilta kysyttiin, ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista, kuten sakoista tai käsittelykielloista. Kaikki vastaajat (100 %) ilmoittivat olevansa hyvin perillä siitä, mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava osuus oli noin 93 %. Oletamme, että tietoisuus on kasvanut muun muassa median esiin nostamien tietosuojasanktioiden myötä.

Vastaajat kommentoivat aihetta myös hyvin erilaisista lähtökohdista. Osa koki, että organisaatiot suhtautuvat nyt GDPR-asioihin entistä vakavammin, kun taas toiset pitivät tietoisuuden tasoa edelleen riittämättömänä.

Kyselyyn vastaaja
Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.
Kyselyyn vastaaja
Kymmeniä järjestelmiä ja tuhansia työntekijöitä. Vaihtuvuus on suurta. Vanhojen työntekijöiden tietojen hallintaan pitää kiinnittää huomiota

Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta

Luottamus puuttuu – tietosuoja kaipaa konkretiaa

Vastausten perusteella huolestuttavaa on luottamuksen taso organisaatioiden tietojen suojaamiseen. Kun vastaajilta kysyttiin, ovatko he huolissaan omien tietojensa käsittelystä, enemmistö (54 %) kertoi olevansa huolissaan. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta luottamusta henkilötietojen käsittelyyn saadaan vahvistettua.

Kuva 9: Oletko huolissasi omista tiedoistasi?

Evästeet seuraavat – mutta harva tietää miten

Kysymys ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?” kartoitti vastaajien tietoisuutta verkkosivujen seurantatekniikoista – ja tulokset ovat huolestuttavia. Kaikista eväste- ja seurantahyväksynnöistä huolimatta vastaajat ovat yhä epävarmoja siitä, mitä verkkosivulla tapahtuu ja mitä heidän tiedoillaan tehdään.

Epäselvyyttä lisää todennäköisesti se, että Suomessa verkkosivujen käyttäjäseurantaa valvoo Tietosuojavaltuutetun sijaan Traficom, jonka ohjeistukset aiheesta julkaistiin jo vuonna 2021. Nämä ohjeet ovat todennäköisesti jääneet monelta huomaamatta. Suomessa ei edelleenkään näyttäisi olevan seurauksia tai sanktioita viranomaisohjeiden vastaisesta seurantateknologioiden käytöstä.

Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?

Kyselyyn vastaaja
GDPR määrittelee hyvinkin pitkälti keille voidaan lähettää markkinointiviestejä ja mitä pitää huomioida markkinoinnin automaatiossa. Lisäksi nettisivujen privacy policy ja cookie-käytäntöjä on jouduttu säätämään GDPR:n vuoksi aika lailla.

Tietosuojatyö kaipaa jatkuvuutta – projektit eivät yksin riitä

Neljän vuoden vastausten perusteella näyttää siltä, että monessa organisaatiossa tietosuojatoimia on toteutettu projektiluonteisesti, mutta niiden jalkautus osaksi arkea on jäänyt puutteelliseksi. Vaikka GDPR on yhä suhteellisen nuori asetus, myös käyttäjien tietoisuus on selvästi kasvussa.

Keskusteluissa ja mediassa nousevat usein esiin tietosuojalainsäädäntö ja siihen liittyvä viestinnän tarve. Yhä useampi kuluttaja on huolissaan omista henkilötiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.

Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on edelleen hyvin pieni verrattuna moniin muihin Euroopan maihin. Tämä selittyy osin maamme pienellä väkiluvulla.

Vastaajien kommenteissa nousevat esiin tekoälyyn, tiedonkäyttöön ja kustannuksiin liittyvät huolet. Näkemykset ovat samankaltaisia kuin projekteissa ja koulutuksissa. GDPR:stä esiintyy edelleen vääriä tulkintoja, mikä johtaa siihen, että sitä pidetään liian rajoittavana. Organisaatioissa, joissa tietosuojatyö on integroitu osaksi arkea, on saavutettu selkeitä hyötyjä, kuten toimintojen yhdenmukaisuus, selkeytyminen ja prosessien tehostuminen. Luottamus on keskeistä – avoimuudella ja vastuullisuudella voidaan vahvistaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.

Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
juha@gdprtech.com

Vuoden 2024 tietosuojavastaava Juha Sallisella riittää vielä työsarkaa

kirjoittaja

GDPR Techin yrittäjä ja perustaja tietosuojakonsultti Juha Sallinen palkittiin vuoden 2024 tietosuojavastaavana. 

Palkinto myönnetään vuosittain henkilölle, joka esimerkillisesti kehittää tietosuojakäytäntöjä ja edistää ammattilaisten verkostoitumista, osaamista ja tiedonjakoa organisaatiorajat ylittäen. Tunnustus jaettiin Alma Insightsin ja Tietosuojavaltuutetun toimiston järjestämässä Tietosuojapäivä 2025 -tapahtumassa 28.1.2025. Päätökset palkittavista teki asiantuntijaraati. 

Kerrotaan tarkemmin Juhan ja GDPR Techin matkasta tähän pisteeseen.

Matka tietosuojan asiantuntijaksi

Juhan polku tietosuojan pariin on ollut monivaiheinen. Ennen täysipäiväistä tietosuojatyötä Juha työskenteli lähes 20 vuotta tietotekniikan alalla, jossa hän pääsi seuraamaan teknologiakehityksen suuria murroksia, kuten pilvipalveluiden kehittymistä ja niihin liittyviä riskejä. Kokemus kouluttajana sekä tehtävät IT yhtiö Tiedolla, HP Enterprisessa sekä tietoturvayhtiö Symantecilla ja tiedonhallintayhtiö Veritas Technologiesissa loivat vankan pohjan tietosuojan vaatimustenmukaisuuden ymmärtämiselle. Insinööritausta ja myöhemmin suoritettu eMBA-tutkinto ovat tuoneet laajemman näkökulman sekä teknisiin, että liiketoiminnallisiin kysymyksiin.

Vuodesta 2016 lähtien Juha on toiminut yrittäjänä GDPR Techissä, jonka kantavana ajatuksena on tuoda luottamusta tietosuojaan käytännön toimilla. Tähän sisältyy niin koulutuksia kuin teknisiä toimenpiteitä, joiden avulla organisaatiot voivat kehittää tietosuojakäytäntöjään.

Kuva Alma Insights. Kuvassa vasemmalta oikealle: Reijo Aarnio, Oona Matinpalo, Juha Sallinen, Kimmo Rousku, Ida-Emilia Laasonen.

Tietosuojatyön suurimmat haasteet

Tietosuojatyössä Juhan mielestä yksi suurimpia haasteita on priorisointi – miten kohdistaa oma aikansa ja resurssinsa tehokkaasti huomioiden yritysten hyvin erilaiset lähtötilanteet tietosuojan saralla. “Näen edelleen organisaatioita, jotka eivät ole edes aloittaneet tietosuojatyötä”, Juha toteaa ja antaa valaisevan esimerkin: “Suomen yksi yleisimmistä salasanoista on edelleen ”salasana”. Jos tietoturvan taso on tämä, ei voida olettaa että tietoja on todellisuudessa suojattu muutenkaan – tai jos salasana on tyhjä – näitäkin siis on. Työtä on siis vielä paljon tehtävänä ja oma osaaminen pitääkin valjastaa parhaiten tukemaan kunkin asiakkaan yksilöllistä tilannetta.   

“Vuosina 2016–2018 liikkui paljon väärää tietoa GDPR:stä, ja osa tästä harhaluulosta on jäänyt elämään monissa yrityksissä”, Juha hämmästelee. Juha mainitsee esimerkkinä uskomuksen siitä, että GDPR ei koskisi kaikkia yrityksiä. Todellisuudessa GDPR on tavalla tai toisella osa jokaisen yrityksen toimintaa. ”Järkeä tosin saa käyttää – esimerkiksi yksinyrittäjänä toimivalla maanrakennusyrityksellä, joka tekee kaivuutöitä kunnalle, ei ole juurikaan tekemistä henkilötietojen kanssa. Sen sijaan, jos yksinyrittäjä työskentelee lääkärinä hyvinvointialueelle, hän käsittelee jo täysin toisenlaista ja huomattavasti arkaluonteisempaa tietoa.”

Asiantuntijuus on jatkuvaa oppimista

Tietosuojalainsäädäntö kehittyy jatkuvasti, ja ajan tasalla pysyminen vaatii säännöllistä opiskelua ja aktiivista seurantaa. Juha pitää osaamistaan yllä osallistumalla valikoituihin alan seminaareihin, kuten Alpine Privacy Days ja Nordic Privacy Arena, joista saa arvokasta tietoa myös muiden maiden tietolainsäädännön kehityksestä. Juha nostaa esiin kiinnostavan esimerkin Etelä-Afrikan POPIA:sta (Protection of Personal Information Act), joka sisältää poikkeuksellisen ankarat seuraamukset tietosuojarikkomuksista – sakoista (10 miljoonaa randia) aina vankeusrangaistuksiin (enintään 10 vuotta).

“Tällä hetkellä seuraamme Yhdysvaltojen tilannetta: pysyykö riittävyyspäätös (tietosuojakehys) voimassa, kaatuuko Data Privacy Framework vai onko tulossa Schrems III. Näillä päätöksillä olisi suora vaikutus organisaatioiden käyttämiin yhdysvaltalaisiin palveluihin, kuten pilvipohjaisiin toimisto-ohjelmiin.”

Omat vahvuudet esiin tietosuojatyössä

Tietosuojatyö voi tuntua aluksi valtavalta kokonaisuudelta, jossa on paljon huomioon otettavaa niin juridiselta kuin tekniseltä kannalta. “Tietosuojatyössä voi helposti tulla ähky”, Juha vahvistaa. Siksi Juha kannustaakin löytämään oman erityisalueen, jossa haluaa toimia sekä verkostoitumaan alan muiden toimijoiden kanssa. Yhteistyö ja tiedon jakaminen ovat avainasemassa jatkuvasti kehittyvällä alalla.

Tiedonhallinta nousee tietosuojan keskiöön

Juha kertoo, että EU:n GDPR on jo osoittanut olevansa eräänlainen ”kultainen standardi”, johon viitataan esimerkiksi Kiinan PIPL- ja Brasilian LGPD-lainsäädännössä. Samalla kuitenkin jatkuvasti lisääntyvä sääntely voi aiheuttaa ähkyä monille organisaatioille.

“Jatkuvasti kehittyvät uudet teknologiat, kuten tekoäly eri muodoissaan, tuovat uusia haasteita tietosuojaan, ja niiden vaikutuksia tullaan näkemään vielä pitkään”, Juha pohtii.

Vuoden 2025 suurimmaksi tietosuojateemaksi Juha ennustaa tiedonhallintaa. Monet tietosuojaloukkaukset johtuvat siitä, että vanhaa tietoa säilytetään ilman hallintaa. “GDPR:n ytimessä oleva ”D” – data – tulee muistaa: pelkkien sopimusten lisäksi tarvitaan valvontaa ja teknisiä toimenpiteitä ihmisten tietojen suojaamiseksi”, Juha painottaa.

Tietosuoja-ammattilaisen arki ja tulevaisuus

Päivittäisen tietosuojatyön vastapainoksi Juha viettää talvisin aikaa lumilautailemassa ja kesäisin riittää paljon puuhaa maaseudulla, jossa Juha asuu. 

”Jos en työskentelisi tietosuojan parissa, suuntaisin todennäköisesti kiinnostukseni entistä enemmän tiedonhallintaan”, Juha toteaa. Kymmenen viime vuotta ovat olleet todella mielenkiintoisia, ja tietosuoja tarjoaa jatkuvasti uusia haasteita ja oppimismahdollisuuksia.

Vuoden tietosuojavastaava -diplomi päätyy Juhan etätoimiston seinälle muistuttamaan pitkästä ja vaiherikkaasta matkasta tietosuojan parissa. Erityisen iloinen Juha on siitä, että hän tuli palkituksi ulkoistettuna tietosuojavastaavana. 

Juha haluaa antaa tunnustuksen myös muille alalla toimijoille: “Jokainen, joka työskentelee tietosuojan parissa, ansaitsisi vastaavan kunnianosoituksen, sillä ala on täynnä osaavia ja omistautuneita asiantuntijoita”.  Lopuksi Juha vertaa tietosuojaa rakkaaseen lajiinsa lumilautailuun – pilke silmäkulmassa:

“Tietosuojakäytäntö ei ole hidaste, vaan mahdollisuus sujuvampaan ja turvallisempaan tekemiseen – vähän kuin hyvä lumilauta, joka tekee laskemisesta nautinnollista eikä jarruta menoa!”

GDPR Tech onnittelee Vuoden 2024 tietosuojateko -palkinnon saanutta VAHTI Tietosuojakehittämistyöryhmää. 

Näkökulmia ulkoistettuun tietosuojaan

kirjoittaja

Voiko tietosuojavastaavan tehtävät ulkoistaa ja mitä hyötyä siitä on?

“Tietosuojavastaavan tehtävät voi ulkoistaa vallan hyvin”, toteaa GDPR-asiantuntija ja  ulkoistettu tietosuoja-vastaava Jaanaliisa Kuoppa. Yllättävän isot organisaatiot ovat päätyneet tähän ratkaisuun. Tehtävän hoitaminen vaatii erityisosaamista ja jatkuvaa osaamisen kehittämistä, mihin harvalla organisaatiolla on mahdollisuuksia. Useimmilla yrityksillä ei ole myöskään resursseja määritellä tehtävään täyttä työpäivää tekevää asiantuntijaa, Jaanaliisa jatkaa. 

Ulkoistamisen hyöty piileekin siinä, että tehtävään perehtynyt asiantuntija kerää näkemystä ja ratkaisuja eri asiakkuuksista, mikä hyödyttää tehokkaasti ostavaa asiakasorganisaatiota.

Milloin tietosuojavastaavan tehtävää ei voi tai kannata ulkoistaa? Ulkoistamista ei suositella silloin, kun tietosuojavastaavalta edellytetään 100-prosenttista työpanosta ja intensiivistä yhteistyötä organisaation asiantuntijoiden ja johdon kanssa, Jaanaliisa kertoo. Tällöinkin ulkoistaminen on mahdollista, mutta ei välttämättä optimaalista asiakasorganisaation kannalta.

Jos työtä ei tehdä, syntyy tietosuojavelkaa

“Tietosuojavastaavan työmäärä vaihtelee merkittävästi toimialan, organisaation koon ja maantieteellisen laajuuden sekä sijainnin mukaan”, kertoo GDPR Techin yrittäjä, tiedonhallinta ja teknologia-arkkitehti Juha Sallinen. 

Juha kertoo havainnollistavan esimerkin: “Yhdellä uudella asiakkaallamme oli aiemmin varattuna yhden henkilön osalta aikaa 4 tuntia kuukaudessa tietosuojatyöhön. Se johti tietosuojavelkaan, sillä annetussa ajassa ei ehdi ohjeistamaan, kouluttamaan, kouluttautumaan saati seuraamaan muutoksia tietosuojan tulkinnoista ja niin edelleen.” Asiakkaalla tartuttiin tietosuojavelkaan aluksi 16 tunnin kuukausitahdilla. Sittemmin on siirrytty 8 tuntiin kuukaudessa, täydennettynä tarvittavilla lisätöillä. 

Kansainvälisessä organisaatiossa pelkästään Yhdysvaltojen osavaltiokohtaisten tietosuojamuutosten seuraaminen vie merkittävästi työaikaa. Kansainvälisillä organisaatioilla toimiva rakenne näyttää olevan ’Global Head of Privacy’ operatiivisen tiimin tukemana, Juha kertoo. Tietosuojavastaavan tehtävänä on ohjeistaa ja valvoa, mikä usein edellyttää projektipäällikön kaltaista määrätietoista otetta.

Tietosuojavelkaa voidaan lyhentää määrätietoisella projektityöllä

GDPR Techin tekninen projektipäällikkö Mervi Hongisto kertoo oman näkemyksenä aiheeseen: “On oleellista määritellä, kuinka paljon tietosuojatyötä toteutetaan proaktiivisesti ja hallitusti toimistoaikana. Samalla tulee arvioida, millaisia riskejä ollaan valmiita hyväksymään tekemättömien tehtävien osalta.” Pienenkin työmäärän systemaattinen laiminlyönti on riskien hallinnan kannalta puutteellista ja siten ei-suositeltavaa.

Hyvä projektinhallinta tarjoaa konkreettiset työkalut ja näkymän tietosuojatyön keskeisistä prioriteeteista, Mervi jatkaa. Ulkoistettu projektipäällikkö luo parhaimmillaan asiakkaalle priorisointinäkymän, joka sovitetaan yhteen asiakkaan muiden työtehtävien kanssa. Samalla varmistetaan tehokas toteutus, joka kartuttaa myös asiakkaan omaa osaamista.

Toimittajan ja tilaajan vastuu

On tiedossa tapaus, jossa yksi konsultti toimii jopa 600 organisaation tietosuojavastaavana, Juha Sallinen kertoo. Tästä nousee esiin keskeinen kysymys resurssien riittävyydestä. Tilaajan vastuulla on varmistaa, että ostettu palvelu täyttää todelliset tietosuojatyön vaatimukset. Toimittajan puolestaan tulee pystyä osoittamaan, että resurssit ja osaaminen ovat riittäviä näinkin laajan asiakaskunnan palvelemiseen. Tämä korostaa tietosuojatyön laadun ja vastuullisuuden merkitystä organisaatioiden tietosuojakäytännöissä.

Ideaalitilanteessa organisaatiolla itsellään on riittävästi tietoa tehdäkseen päätöksen halutaanko tai voidaanko tietosuojavastaavan tehtävä ulkoistaa.

GDPR Techillä on strukturoitu, kustannustehokas ja helposti asiakkaan tarpeen mukaisesti räätälöitävissä oleva tapa tuottaa palvelua. 

Vastuuta ei voi ulkoistaa, vaikka monia muita asioita voi.

Harkitsetko tietosuojatyön ulkoistamista? 

DPOaaS (Data Protection Officer as a Service) on turvallinen ja kustannustehokas ratkaisu kun tarvitset asiantuntijan auttamaan yritystäsi täyttämään ajantasaiset, lakisääteiset tietosuojavelvoitteet ilman kokopäivätyöntekijän palkkaamista. 

Ota yhteyttä myös, jos tarvitset määräaikaista sijaista, tietosuojatyölle varahenkilöä tai sparraamaan tietosuojatyön tilaa!

Artikkelissa esiintyvät asiantuntijat:

Jaanaliisa Kuoppa, GDPR-asiantuntija, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Juha Sallinen, Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Mervi Hongisto, Tekninen projektipäällikkö, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Asiakastarina: Tietoturva on jatkuvaa työtä – Keitele Groupin tarina henkilöstön kouluttamisesta

kirjoittaja

Keitele Group on perheomisteinen yritys, joka on kasvanut yhdeksi Suomen suurimmista mekaanisen puunjalostuksen toimijoista ja maan suurimmaksi puutuotteiden valmistajaksi. Isossa, kansainvälisesti toimivassa yrityksessä tietoturvaan suhtaudutaan vakavasti. Konsernin tietohallintopäällikkö Veli Matti Häkkinen kertoo, että tietoturvan merkitys on kasvanut entisestään digitalisaation ja verkottuneen maailman myötä. Tietoturvan hallinta on muuttunut yhä vaativammaksi, ja se vaatii jatkuvaa panostusta.

Tietoturva modernin liiketoiminnan tukena

Maailman verkottuminen on tuonut mukanaan uusia uhkia, jotka eivät ole enää riippuvaisia fyysisestä sijainnista. “Riskien määrä on kasvanut ja tilanne on pahentunut koko ajan”, Häkkinen toteaa ja nostaa esiin erityisesti tekoälyn kehityksen vaikutuksen. Huijauksista on tullut entistä vakuuttavampia ja vaikeammin havaittavia.

Näihin kasvaviin uhkiin Keitele Group vastaa teknisillä ratkaisuilla kuten tarkalla pääsyn rajoittamisella sekä säännöllisellä koulutuksella. Häkkinen on mielissään lainsäädännön asettamista vaatimuksista yrityksille tietoturvan suhteen: “Nykyisin myös tietoturvaan liittyvät lait asettavat yrityksille vaatimuksensa – ja hyvä niin”, Häkkinen toteaa.

Henkilöstön koulutus avainasemassa

Keitele Group panostaa henkilöstönsä tietoturva- ja tietosuojaosaamiseen koulutusten avulla. Vuonna 2024 koulutuksiin osallistui noin 200 työntekijää, ja yritys suunnittelee jo jatkokoulutuksia vuodelle 2025.

Koulutukset ovat olleet erittäin hyödyllisiä ja ne ovat onnistuneet herättelemään erityisesti peruskäyttäjiä tietoturvan tärkeyteen: “Tätä koulutukselta haettiinkin”, Häkkinen kertoo. Koulutukset ovat osoittautuneet toimiviksi erityisesti niiden joustavuuden ansiosta – jokainen työntekijä voi suorittaa ne itselleen sopivana ajankohtana.


Koulutuksista valveutuneisuutta tietoturvaan

Erityisen onnistuneeksi on koettu koulutusten vaikeustaso. ”Palaute on osoittanut, että koulutukset ovat juuri sopivalla tasolla: ne eivät ole liian yksinkertaisia eivätkä liian monimutkaisia”, tietohallintopäällikkö toteaa. Vaikka osallistuminen koulutuksiin oli yleisesti hyvällä tasolla, hän kertoo kiinnostavasta havainnosta. “Vaikka koulutusaktiivisuus oli hyvä, on joukossa kuitenkin pieni määrä henkilöitä, joita koulutus ei ole kiinnostanut. Herää kysymys, missä määrin heitä kiinnostaa tietoturva?”.

Koulutukset ovat osoittautuneet tehokkaaksi tavaksi parantaa henkilöstön valveutuneisuutta, vaikka hyötyjen tarkka mittaaminen onkin haastavaa. Keitele Groupissa koulutuksia tullaan jatkamaan myös tulevaisuudessa osana jatkuvaa tietoturvan kehittämistä: “ Koulutuksia jatketaan tulevaisuudessakin”, Häkkinen vahvistaa.

Valppaana tulevaan

Keitele Group jatkaa panostamista tietoturvaan ja suunnittelee jo jatkokoulutuksia vuodelle 2025. ”Seuraamme aktiivisesti tietoturvauhkien kehittymistä ja olemme valmiina reagoimaan tarvittaessa”, Häkkinen painottaa.

Veli Matti Häkkisen näkemys on selkeä kysyttäessä vinkkejä muille tietohallintojohtajille, jotka eivät ole vielä panostaneet tietosuojaan tai -turvaan: tietoturva vaatii jatkuvaa panostusta. Tietoturvasta vastaavilla on Häkkisen mukaan hyvä käsitys tietoturvan tärkeydestä ja kasvaneista uhista. Tietoturva ei ole kertaluonteinen projekti vaan jatkuva prosessi, joka vaatii säännöllistä huomiota ja resursseja. Koulutukset ovat osoittautuneet toimivaksi tavaksi kehittää Keitele Groupin tietoturva- ja tietosuojaosaamista. “Suosittelen näitä koulutuksia”, Häkkinen toteaa lopuksi.

Tutustu Keitele Groupiin täältä: https://www.keitelegroup.fi/

Tutustu GDPR Techin koulutustarjontaan täällä: https://gdprtech.com/fi/gdpr-koulutus/