Tietosuojataikurin hatusta kani – Data Privacy Framework
Heinäkuussa koimme varsinaisen yllätyksen, kun tietosuojataikuri esitteli Data Privacy Framework (DPF) sopimuksen kuin kanin hatustaan. DPF-sopimus korvaa vuonna 2020 kumotun Privacy Shield -sopimuksen henkilötietojen siirrosta Euroopan ja Yhdysvaltojen välillä.
Euroopan komission riittävyys päätös
Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös eli DPF-sopimus sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin, mutta päätöksellä on suora vaikutus vain niihin käyttämiisi toimittajiin, jotka ovat liittyneet DPF:ään. Sopimus koskeekin siis vain niitä yhdysvaltalaisyrityksiä, jotka ovat sitoutuneet tietosuojakehykseen ja sen mukaisiin suojatoimiin. Sopimus ei koske yhdysvaltalaisia yrityksiä, jotka eivät ole liittyneet DPF:ään.
Miten tähän päädyttiin?
Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbour kumottiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Privacy Shield. Privacy Shield sopimuksen mukaan organisaatioille laitettiin vaatimuslista, johon heidän piti vastata, enemmän ja vähemmän todellisuuden mukaisesti. Kuitenkin jo vuonna 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Yhdysvaltojen viranomaiset pääsivät tai saattoivat vaatia pääsyä tietoihimme. Klikkaa tästä ja lue lisää sopimusten historiasta!
Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuusta 2023 alkaen EU-US Data Privacy Framework toimii virallisena sopimuksena koskien tietojen siirtoa. Sopimuksen mukaan ne toimijat, jotka ovat DPF:n hyväksyntälistalla aktiivisia, ovat riittäviä suojaamaan tietojamme. Riski on kuitenkin olemassa, että asetus kumotaan, jos Yhdysvalloissa presidentti vaihtuu tai Max Schremsin johtama NOYB (Euroopan digitaalisten oikeuksien keskus) haastaa DPF:n. Kumpi tahansa tapahtuma johtaisi takaisin kolmen vuoden takaiseen tilanteeseen.
Varmista toimijan tai palvelutuottajan aktiivisuus sekä voimassaoloaika.
Älä lopeta DPIA työtä!
TIA:n suhteen käytä aika pääosin DPIA ja riskien hallitsemiseen. Varaudu, että DPF voi kumoutua ja siten palataan taas siirtojen arviointiin (TIA). Jos DPF kaatuu, mieti mitä suojatoimia teillä voisi olla käytettävissä?
Koulutus – se kauan keskusteltu aihe, joka on kuin kaksiteräinen miekka organisaatioiden arjessa. Koulutuksia tulee järjestää, jotta henkilökunnan ammattitaito pysyy ajan tasalla sekä kehittyy, mutta moni organisaatio pohtii miten ja kuinka usein koulutuksia tulisi järjestää? Mikä on se tavoitetaso, jolle esimerkiksi koko henkilöstön koulutuksilla pitäisi päästä ja miten sitä mitataan? Entä miten voisi arvioida koulutuksen vaikutusta suhteessa kustannuksiin? Kokenut kouluttaja, konsultti ja yrittäjä pohdiskelee nyt, kuinka esimerkiksi GDPR Techin järjestämät koulutukset ovat todella vaikuttaneet organisaatioiden henkilökunnan osaamiseen ja mikä koulutusten todellinen arvo on.
Aseta selkeät tavoitteet
Kouluttajana on hienoa saada hyvää palautetta koulutusten jälkeen ja kuulla, että asiakasorganisaatio on tyytyväinen koulutukseen tai että organisaatiossa on oivallettu jotain uutta: ”Koulutuksen jälkeen istuimme alas ja mietimme tietosuojan osalta, miten prosesseja pitäisi muuttaa organisaatiossamme turvallisemmiksi”. Ideaali tilanne olisi kuitenkin, että tietäisimme henkilökunnan lähtötason ja voisimme verrata oppimista ennen ja jälkeen koulutuksen. Nimittäin jo pienellä kyselyllä voimme todentaa oppimista ja koulutuksen suoraa vaikutusta henkilökunnan osaamiseen.
Suosittelemme, että heti alkuun organisaatio valitsee tavoitetason, joka halutaan saavuttaa esimerkiksi tietosuojaan liittyvissä kysymyksissä. Eri henkilökunnan jäsenille on myös hyvä olla eri tavoitteet. Esimerkiksi johdolle ja esihenkilöille on usein järkevää järjestää täsmäkoulutuksia, jotka auttavat ymmärtämään syvällisemmin tietosuojaan liittyviä vastuita ja velvoitteita. On myös suositeltavaa, että esihenkilöillä on laajempi ymmärrys aiheesta, jotta he osaavat asian tiimoilta tukea muuta henkilökuntaa ja vastata aiheeseen liittyviin mahdollisiin käytännön kysymyksiin.
Mittaa koulutuksen vaikuttavuus
Teimme keväällä yhteistyökumppanimme kanssa parannuksia vuoden 2023 GDPR Tech koulutuksiin ja nyt sähköisissä koulutuksissamme mitataan aina lähtötilanne sekä lopputilanne. Näin saamme suoraa palautetta siitä, miten koulutus on vaikuttanut ja voimme raportoida tuloksia asiakasorganisaatioiden johdolle.
Eräässä tietosuojakoulutuksessamme lähtötason mittaus näytti seuraavalta:
Koulutuksen jälkeen osallistujien taso näytti parantuneen huomattavasti:
Mittaamisen ansioista voimme todeta tietosuojan osaamisen kohentuneen ja koulutuksen toimineen. Lisäksi koulutuksen ansioista voidaan puuttua suoraan sellaisiin asioihin, jotka mahdollisesti kaipaavat lisätäsmennystä.
Esimerkiksi organisaatio voi koulutuksen vastausten perusteella täsmentää omia ohjeitaan henkilökunnalle: ”Kiitos kaikille kurssille osallistuneille. Haluamme täsmentää, että toivomme kaikkien henkilökunnan jäsenten ottavan aina yhteyttä organisaation IT tukeen kollegan sijaan.”
Perinteinen vs. Verkko-Oppiminen
Mutta miten hoitaa laajemman henkilöstön koulutus? Perinteinen koulutus vaatii usein henkilöstön fyysistä läsnäoloa, tallenteiden käyttöä poissaolijoiden varalle ja vaikutus voi olla vaikeasti mitattavaa. Myös kustannukset ovat usein organisaatiolla suuria. Puolestaan verkko-oppiminen on osoittautunut huomattavan joustavaksi vaihtoehdoksi, koska voidaan varmistaa, että jokainen osallistuja voi liittyä koulutukseen itselleen sopivana ajankohtana. Verkko-oppiminen tarjoaa joustavuutta sekä selkeitä mittareita, kuten kurssin suoritusajan mittaamista ja mahdollisten testien tuloksia. Suuremmille tiimeille ja nykyaikaisille haasteille suosittelenkin moderneja ratkaisuja.
Esimerkki organisaation kustannukset
Otetaan esimerkiksi tähän 200 hengen organisaatio, jolle järjestetään tietosuojakoulutus. 20 hengen johdolle ja esihenkilöille pidetään oma täsmäkoulutus, jossa heille korostetaan muun muassa heidän vastuitansa sekä velvoitteita. Lopulle 180 työntekijälle pohditaan mikä koulutusmuoto olisi kustannustehokkain ja vaikuttavin? Erilaisten koulutusten vertailun lähtökohtana voisi toimia aika, joka työntekijällä menee suoritukseen ja koulutuksen kokonaiskustannus. Oletetaan, että työntekijän kustannus organisaatiolle on 60 €/h keskimäärin.
Koulutus A on ilmainen ja sen ilmoitettu kesto per osallistuja on noin 1,5 h. Työaika maksaa koulutus A:ssa 180 x (1,5 h x 60 €) = yhteensä 16 200 €.
Koulutus X on maksullinen 150 €/organisaatio ja sen ilmoitettu kesto on noin 3,5 h. Työaika koulutus X:ssä on hulppea – 180 x (3,5 x 60 €) = yhteensä 37 800 €.
Koulutus GDPR Tech:n yleinen tietosuoja koulutus on maksullinen 800 €/organisaatio + 40 €/hlö. Työaika koulutus GDPR Techissä on 180 x (0,5 x 60 €) = yhteensä 5 400 €.
Tämän perusteella voimme todeta, että verkkokoulutus tietosuoja-asioissa on varsin kustannustehokas ja toimiva ratkaisu.
Aika uudistaa tietosuojaan liittyvät koulutukset
Tietosuojakoulutusten merkitys organisaatioille on avainasemassa alati kehittyvässä lain säädännössä ja liiketoimintaympäristössä. Koulutusten kustannuksista ja vaikutuksista huolehtiminen on äärimmäisen tärkeää, mutta myös modernien ratkaisujen, kuten verkko-oppimisen hyödyntäminen voi tuoda organisaatiolle uusia mahdollisuuksia menestyä GDPR:n aikakaudella.
Asetetaan yhdessä tavoitteet ja mitataan koulutuksen vaikuttavuus. Harva työntekijä etsii itse aktiivisesti tietoa uusimmista tietosuoja tai tietoturva ohjeistuksista, joten tieto pitää tarjota helposti ja tehokkaasti. Tee digiloikka ja kouluta henkilöstösi kanssamme!
