GDPR

Näin yritys vahvisti tietosuoja- ja tietoturvakulttuuria koulutuksella

kirjoittaja

Haastattelimme noin 50 hengen asiantuntijaorganisaation tietohallinnosta vastaavaa johtajaa, joka jakoi kokemuksiaan henkilöstön tietosuoja- ja tietoturvakoulutuksista sekä niiden vaikutuksista arkeen.

Tietosuojan koulutus toteutettiin GDPR Techin toimesta, ja tietoturvaa kehitettiin lisäksi organisaation omilla toimenpiteillä.

Tietoturva on liiketoiminnan jatkuvuuden ytimessä

Haastateltavamme toimii tietohallintopäällikkönä ja vastaa tietoturvan ja tietosuojan koordinoinnista muun tietohallinnon ohella.

Hänen mukaansa tietoturvan merkitys korostuu erityisesti liiketoiminnan jatkuvuuden näkökulmasta:

“Tietoturvan merkitys kasvaa jatkuvasti teknologian ja erityisesti tekoälyn kehittyessä.”

Vaikka yritys ei käsittele merkittävästi arkaluonteisia henkilötietoja, tietoturva nähdään silti strategisena kysymyksenä. Organisaatiossa tietoturvaa käsitellään säännöllisesti johtoryhmätasolla, ja myös hallitus seuraa teemaa aktiivisesti.

Suurimmat riskit liittyvät ihmisiin ja arkkitehtuuriin

Kysyimme, missä riskit tällä hetkellä nähdään suurimpina.

Vastaus oli selkeä:

  • yksilöiden toiminta
  • teknologia-arkkitehtuurin turvallisuus ja ajantasaisuus

Organisaatiossa on tunnistettu, että henkilöstön osaaminen ja toimintakyky ovat aivan keskeisessä roolissa. Pelkät tekniset ratkaisut eivät riitä, jos ihmiset eivät osaa toimia turvallisesti – tai heillä ei ole siihen edellytyksiä.

Koko henkilöstö mukaan – 50 ihmistä koulutettiin

Yrityksessä päätettiin kouluttaa koko henkilöstö, noin 50 henkilöä, erityisesti tietosuojaan liittyvissä teemoissa. Samalla organisaatio vahvisti tietoturvaosaamista myös omien sisäisten toimenpiteiden kautta.

Koulutusten tärkein anti ei ollut niinkään uudet yllätykselliset asiat, vaan perusasioiden vahvistaminen.

“Henkilöstölle tämä on tärkeää, että asiat ovat koko ajan esillä ja tuoreessa muistissa.”

Tietosuoja ja tietoturva eivät ole kertaluonteisia projekteja, vaan jatkuvaa osaamisen ylläpitoa.

Konkreettisia hyötyjä arjessa

Koulutusten vaikutukset näkyivät nopeasti:

  • Tietosuoja- ja tietoturvaohjeistuksia parannettiin
  • Tietosuojasta ja tietoturvasta keskustellaan enemmän
  • Viestintä lisääntyi
  • Henkilöstö reagoi aktiivisemmin esimerkiksi kalasteluviesteihin

Haastateltavan mukaan koulutukset toivat henkilöstölle “tervettä epäluuloisuutta ja varovaisuutta” – juuri sitä ennakoivaa ajattelua, jota toimiva tietoturvakulttuuri vaatii.

Erityiskiitosta saivat koulutusten selkeys ja tiiviys: ne koettiin tehokkaiksi ja helposti aikataulutettaviksi.

Tietoturvaa johdetaan mallin mukaisesti

Organisaatiossa tietoturvaa kehitetään aktiivisen hallintamallin mukaisesti. Toimintaa ohjaavat muun muassa NIS2-vaatimukset ja ISO 27001 -standardin periaatteet.

Hallintamalli tukee sekä tietoturvan että tietosuojan jatkuvaa kehittämistä ja auttaa pitämään vastuut ja käytännöt selkeinä koko organisaatiossa.

Tulevaisuudessa panostukset tulevat kasvamaan entisestään, sillä teknologian kehitys ja tekoälypohjaiset uhkat lisäävät riskikenttää jatkuvasti.

Viesti muille päättäjille: älkää odottako poikkeamaa

Haastattelun tärkein viesti muille tietohallintojohtajille ja yrityspäättäjille oli selkeä:

Älkää odottako tietoturvapoikkeamaa ennen kuin toimitte.
Lähestykää tietoturvaa riskien kautta.
Harjoitelkaa palautumista kriisitilanteista.

“Kaikille osuu tietoturvapoikkeama joskus yrityksen elinkaaren aikana.”

Kysymys ei ole siitä, tapahtuuko jotain – vaan siitä, miten hyvin organisaatio on valmistautunut.

Haluatteko vahvistaa oman organisaationne tietosuoja- ja tietoturvakulttuuria?

Tutustu tietosuoja- ja tietoturvakoulutuksiimme ja varaa keskusteluaika asiantuntijamme kanssa.

Nordic Privacy Arena 2025 –  keskeiset havainnot ja puheenaiheet

kirjoittaja

Nordic Privacy Arena (NPA) on Pohjoismaiden merkittävin tietosuojaan ja yksityisyyteen keskittyvä konferenssi. Se järjestetään vuosittain Tukholmassa ja verkossa, ja se kokoaa yhteen tietosuojavastaavat, viranomaiset, juristit, aktivistit ja yksityisyyden asiantuntijat keskustelemaan alan ajankohtaisista teemoista.

Vuoden 2025 konferenssi järjestettiin 29.–30. syyskuuta Münchenbryggerietissä. Teemana oli “Kymmenen vuotta edistystä, tulevaisuuden vastuu”, joka juhlisti tapahtuman kymmenvuotista taivalta ja suuntasi katseen yksityisyyden muuttuvaan maisemaan – tekoälyn hallinnasta digitaaliseen suvereniteettiin.

GDPR Tech oli mukana tapahtumassa kolmatta kertaa ja tällä kertaa myös sponsorina. Juha Sallinen ja Jaanaliisa Kuoppa osallistuivat konferenssiin paikan päällä, ja tässä artikkelissa he avaavat tapahtuman keskeisiä nostoja ja omia havaintojaan.

Tekoälyä, valvontaa ja sandboxeja – Ruotsin linja kiinnostaa Suomea

Ruotsin uusi tietosuojavaltuutettu Eric Lejonram piti tapahtuman painavimman puheenvuoron. Hän korosti erityisesti tekoälyn riskiperusteista hallintaa ja sitä, että suurten riskien rinnalle on rakennettava suuremmat turvatoimet.

Jaanaliisa Kuoppa tiivisti näkemyksensä näin:

“Suomalaisittain oli huomionarvoista, että Lejonram nosti esiin sandboxit ja valvontamekanismit. Ruotsissa nämä on rakennettu jo vuosia sitten – meillä Suomessa työ on edelleen kesken.”

Suomen AI-sandboxien tilanne onkin toistaiseksi avoin. Traficomin mukaan (14.10.2025) “Suomessa työ on käynnissä ja kansallinen toteutusmuoto vielä avoin.” Haaga-Helia on mukana EU:n EUSAir-sandbox-hankkeessa, mikä voi nopeuttaa käytännön etenemistä.

Juha Sallinen kommentoi tilannetta suoraan:

“Suomen AI-hiekkalaatikot ovat edelleen heikolla tasolla. Ruotsiin verrattuna olemme selvästi jäljessä.”

Max Schrems – sanktioiden todellinen toteutuminen

Konferenssissa nähtiin myös yksi alan tunnetuimmista kasvoista, Max Schrems, joka nosti esiin tärkeän ja huolestuttavan havainnon: vaikka Euroopassa on määrätty merkittäviä GDPR-sanktioita, vain murto-osa niistä on tosiasiallisesti peritty.

Max Schrems

Schrems myös huomautti, että oikeusasteiden halukkuus ottaa tietosuojatapauksia käsittelyyn on edelleen alhaisella tasolla. Tekninen monimutkaisuus on ymmärrettävä syy, mutta samalla se heikentää GDPR:n uskottavuutta ja toimeenpanoa.

Digital Sovereignty – realismia vai eurooppalaista optimismia?

Yksi puhutuimmista teemoista oli digitaalinen suvereniteetti: miten Eurooppa voi ylläpitää riippumattomuutta ja kyvykkyyttä teknologiassa, kun Yhdysvallat dominoi tekoälyn ja pilvipalveluiden kenttää.

Paneelikeskustelussa siteerattiin Bill Clintonia: “Pessimism is an excuse for not trying.”

Juha Sallinen nosti esiin oman näkökulmansa:

“Euroopassa on vaihtoehtoja. Suomestakin löytyy osaavia ohjelmistotoimittajia ja konesaleja. Eurooppalaisista OVHcloud on hyvä esimerkki siitä, että infraa ja SaaS-ympäristöjä kyllä löytyy. Mutta realismi on tärkeää – esimerkiksi Officen korvaaminen LibreOfficella heikentäisi tehokkuutta monessa organisaatiossa.”

Ruotsalainen Daniel Melin kiteytti eurooppalaisen tilanteen osuvasti: “We have outsourced our core to other states.”

Jaanaliisa Kuopan mielestä Melinin ehdotus oli konferenssin käytännöllisin:

“Hänen ratkaisunsa oli yksinkertainen – julkisen sektorin pitäisi ostaa enemmän eurooppalaisia järjestelmiä. Se tarkoittaa hankintalainsäädännön muuttamista eurooppalaisia vaihtoehtoja suosivaksi.”

Draghi-raportti ja sääntelykevennykset: tarpeellisia vai haitallisia?

Konferenssissa puhuttiin myös Draghi-raportista ja sen pohjalta valmistelluista GDPR:n kevennyksistä, kuten työntekijärajan nostamisesta 250:stä 750:een.

Jaanaliisa Kuoppa kommentoi ehdotusta suorasanaisesti:

“Suomalaisittain tuo nosto on rapsakka. 250 työntekijän raja on perusteltu – jo 200 hengen yritys käsittelee valtavan määrän henkilöstö- ja asiakastietoa.”

Juha Sallinen näki muutoksessa kosmeettisia piirteitä:

“Jos isommilla yrityksillä on järkeä, ne vaativat alihankkijoiltaan tietosuojan perustason joka tapauksessa. Muutos ei poista vastuuta.”

Paneeleissa pohdittiin laajemminkin, tukahduttaako Eurooppa itseään regulaatiolla vai syntyykö siitä “Bryssel-efekti”, joka pakottaa globaalit toimijat noudattamaan EU:n standardeja. Tämä kehitys on jo nähtävissä esimerkiksi Intiassa, jonka tietosuojalaki pohjautuu pitkälti GDPR:ään.

Tapauksia, jotka unohtivat yksityisyyden

Anna Berlee nosti esiin esimerkkejä teknologioista, joissa yksityisyys oli sivuseikka:

  • Google Glass, jonka käyttäjistä tuli tunnettu nimitys “Glassholes”
  • Clearview AI, jota suomalainen poliisi käytti ilman riittävää tietoturva-arviota (KRP sai huomautuksen v. 2021)

Nämä tapaukset muistuttavat, miksi yksityisyys on tärkeää jo teknologian suunnitteluvaiheessa.

Sport Admin – esimerkki siitä, mitä voi tapahtua, kun tietosuoja pettää

Juha Sallinen osallistui paneelikeskusteluun, jossa käsiteltiin ruotsalaista Sport Admin -tietovuotoa. Kyseessä oli nuorten ja huoltajien tietojen käsittely – ja esimerkki siitä, mitä tapahtuu, kun tietosuojaa ja tietoturvaa ei pidetä riittävällä tasolla.

Salliselta on tulossa aiheesta erillinen blogikirjoitus myöhemmin.

Miksi suomalaisten kannattaa osallistua NPA:han?

Suomalaisia osallistujia oli tänäkin vuonna melko vähän. Silti osallistumista voi suositella lämpimästi.

Jaanaliisa Kuoppa kiteytti syyn:

“Kyllä kannattaa! GDPR ei ole kantasuomalainen. Eurooppalaisten asiantuntijoiden tapaaminen kasvotusten oli todella avartavaa. Ja meidän suomalaisten pitäisi ehkä alkaa käsittää, että tuo Ruotsi tuossa on oikeasti hyvä naapuri.”

NPA 2025 tarjosi:

  • ajankohtaisen katsauksen tekoälyn ja yksityisyyden rajapintaan
  • näkökulmia digitaaliseen suvereniteettiin
  • keskustelua GDPR-kevennyksistä ja niiden vaikutuksista
  • konkreettisia esimerkkejä siitä, miksi tietosuoja on edelleen kriittistä
  • arvokasta verkostoitumista eurooppalaisten asiantuntijoiden kanssa

Tapahtuma osoitti jälleen kerran, kuinka nopeasti yksityisyyden ja tietosuojan kenttä muuttuu – ja miksi Pohjoismainen yhteistyö on tällä alueella tärkeämpää kuin koskaan.

Haluatko kuulla lisää tietosuojasta tai keskustella tapahtuman teemoista?

Ota meihin yhteyttä – jatketaan keskustelua ja sparrataan yhdessä, miten organisaatiosi voi kehittää tietosuojaa ja tietoturvaa laadukkaasti ja käytännönläheisesti.

Teknologia kohtaa tietosuojan – mitä tekninen projektiosaaja tuo tietosuojatyöhön?

kirjoittaja

Tietosuoja ei ole pelkkää juridiikkaa. Kun organisaatiot digitalisoituvat ja henkilötietojen käsittely siirtyy yhä monimutkaisempiin järjestelmiin ja järjestelmäkokonaisuuksiin, teknisen osaamisen merkitys tietosuojatyössä kasvaa.

Tehokkaan ja tarkoituksenmukaisen läpiviennin mahdollistamiseksi tarvitaan myös projektijohtamisen kyvykkyyttä. Kun nämä yhdistää, saadaan työnimike tekninen projektipäällikkö.

Tietosuoja on jatkuvaa työtä

GDPR ja muut tietosuojasäädökset asettavat vaatimuksia, jotka toteutuvat käytännössä teknologian avulla. Tietosuojatyö ei ole kertaluonteinen toimenpide, vaan jatkuvaa kehittämistä – ja myös epätäydellisyyden sietämistä. Jos yhden osa-alueen hioo huippuunsa, muualla saattaa pian alkaa repsottaa. Siksi tietosuojatyön tavoitetaso on usein realistisesti 8+ eikä 10.

Tietosuojatyötä tehdään tyypillisesti sekä osana jatkuvaa ohjelmatyötä että yksittäisinä projekteina. Isommat kertaluontoiset panostukset on hyvä organisoida projektimuotoisesti, jolloin varmistetaan kustannustehokas ja vaikuttava läpivienti. Projekteilla on alku, keskikohta ja loppu – toisin kuin jatkuvassa työssä, jossa langanpäät helposti hukkuvat kokonaisuuteen ja resursointi jää usein vajaaksi.

On myös tärkeää huomata, että tietosuojatyötä tehdään, jotta mahdollisissa poikkeamatilanteissa toiminta olisi hallittua. On aivan eri asia toimia valmistautuneena työryhmissä normaalin toimistoajan puitteissa kuin reagoida kiireessä, puutteellisin tiedoin ja vajavaisilla resursseilla.

Tekninen projektiosaaminen osana modernia liiketoimintaa

Tekninen projektiosaaminen tuo tietosuojatyöhön käytännönläheisyyttä, tehokkuutta ja vaikuttavuutta. Kyse on pohjimmiltaan ymmärryksestä ja läpivientikyvystä, jolla sääntelyn vaatimukset toteutetaan käytännössä.

Tietosuoja ei ole vain sääntöjen noudattamista. Se on osa modernia, vastuullista ja kestävää liiketoimintaa.

Haluatko kuulla lisää, miten voimme auttaa organisaatiotasi? Ota yhteyttä!

Tietosuojatutkimuksen taustatiedot 2021 – 2024

kirjoittaja

Tietosuojatutkimuksen taustatiedot 2021 – 2024

Tietosuojaan liittyvä kyselytutkimus on toteutettu vuodesta 2021 lähtien. Vastauksia kyselyyn on pyydetty sähköpostin sekä sosiaalisen median välityksellä.

  • Vuonna 2024 kyselyyn vastasi 41 henkilöä.
  • Vuonna 2023 kyselyyn vastasi 51 henkilöä.
  • Vuonna 2022 kyselyyn vastasi 102 henkilöä.
  • Vuonna 2021 kyselyyn vastasi 56 henkilöä.

Vastausaikaa on annettu noin 2kk ja vastaajien osalta ei suoritettu profilointia. Vastaajien profiili sekä organisaatioiden koko on säilynyt erittäin samankaltaisena ja siten tulokset ovat käytettävissä nyt jo neljältä vuodelta. Näistä vastauksista saamme jo alkavaa suuntausta moneen kohtaan, kuten ”koulutetaanko henkilöstöä säännöllisesti” tai ”onko GDPR:stä hyötyä”.

Tuloksia käsitellään raportissa tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä 3kk kuluessa. Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset ovat raportissa listattuna, niistä kyselyn koosteessa on joitakin nostoja.

On oletettavaa, että kyselytutkimukseen vastaavien joukko edustaa henkilöitä, joita asia kiinnostaa ainakin jossain määrin. Toisaalta omasanaisista vastauksista voidaan päätellä osan suhtautuvan varsin kriittisesti tietosuojalain vaatimuksiin.

Vastaajien taustat

Vastausvuosina organisaatioiden kokoluokan jakauma oli hyvin samankaltainen, kuten kuvasta 1 on nähtävissä. Vuonna 2024 vastaajina oli kuitenkin aiempaa enemmän organisaatioita, joissa on yli 1000 työntekijää.

Kuva 1: Organisaation henkilöstömäärä

Samoin jakauma organisaation toimialan osalta oli vastausvuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Kuva 2: Yrityksen/organisaation toimiala

Vastaajien asema oli hyvin samantyyppinen jakauman osalta näinä vuosina, ja vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3.

Kuva 3: Vastaajien asema

Toimintaympäristön osalta vastaajissa oli edustettuna Suomessa toimivia, lisäksi kansainvälisesti toimivia että myös kansainvälisiä, joiden päätoimipaikka on ulkomailla. Katso kuva 4.

Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!

Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
juha@gdprtech.com

Tietosuojatutkimus 2024: GDPR kuuluu jo arkeen, mutta ei täysin käytäntöön

kirjoittaja

Suomalainen yritys GDPR Tech Oy on toteuttanut yhteistyössä kumppaninsa Tutkimusvoiman (Raimo Pöllänen) kanssa tietosuojan nykytilaa koskevaa kyselytutkimusta vuodesta 2021 lähtien. Tutkimus selvittää, miten EU:n yleinen tietosuoja-asetus (GDPR) ja tietosuojalaki ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset tarjoavat ainutlaatuista ja uutta tietoatietosuoja-asetuksesta ja sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja kehitystä suomalaisissa organisaatioissa. Kyselyn sisältö on pysynyt samana vuodesta 2021 lähtien, jotta kehitystä voidaan seurata luotettavasti.

Tietosuojatyötä tehdään organisaatioissa GDPR:n eli EU:n yleisen tietosuoja-asetuksen mukaisesti, ja sitä pidetään yleisesti hyödyllisenä. Poikkeustilanteita harjoitellaan kuitenkin yhä vain noin kolmasosassa organisaatioista.

Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2024

  • Enemmistö vastaajista kokee, että GDPR ja kansallinen tietosuojalaki ovat lisänneet luottamusta henkilötietojen käsittelyyn. Luku on noussut vuoden 2021 71 prosentista vuoden 2024 88 prosenttiin – merkittävä kasvu luottamuksen osalta.
  • Lähes neljä viidesosaa vastaajista (78 %) kokee, että GDPR hyödyttää organisaatiota. Tekstivastaukset tukevat tätä esimerkiksi tiedonhallintaan liittyvillä havainnoilla.
  • Vastaajien huoli omista henkilötiedoistaan on kasvanut aiemmasta noin 44 prosentin tasosta 54 prosenttiin.
  • Edelleen vain 60 % vastaajista kokee, että tietosuojasta huolehditaan riittävästi organisaatioissa.
  • Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty aiemmista vuosista, ja nyt noin 39 % organisaatioista on toteuttanut niitä.

Luottamus tietosuojatyöhön kasvaa – myös organisaatiot näkevät hyödyt

Lähes 90 % vastaajista vuonna 2024 kokee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Prosenttiosuus on kasvanut vuoden 2021 71,4 prosentista vuoden 2024 88 prosenttiin, mikä on merkittävä nousu.

Yli 78 % vastaajista kokee, että GDPR hyödyttää organisaatiota. Tämä jatkaa vuodesta 2021 alkanutta suuntausta: alkuvaiheen ajattelu, jossa ”GDPR kieltää kaiken”, on muuttunut. Nyt on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä heijastuu hyvin myös vastauksissa – osa kokee GDPR:n kuitenkin edelleen haitallisena.

Kyselyyn vastaaja
(GDPR) vaikeuttaa kaikella mahdollisella tavalla en haluaisi enää olla kuluttajan kanssa tekemisissä kun pelkäät vain että joku porsaanreikä jää auki josta sinut haastetaan oikeuteen.
Kyselyyn vastaaja
(GDPR) hyödyt: tiedon tuhoaminen, prosessien selkeys
Kyselyyn vastaaja
(GDPR) uhat: tietysti henkilöllisyysvarkaus voi olla ongelma, mutta vastuun pitäisi olla myyjällä, ei ostajalla, henkilöllisyysvarkauden ei pitäisi olla uhka vaan asiakassuhteen luominen pitäisi olla niin selkeä, että väärinkäytöksille ei jää tilaa.
Kyselyyn vastaaja
(GDPR) mahdollisuudet: kai IT-järjestelmät pikkuhiljaa oppii hallinnoituun tuhoamiseen. Lopputulos voi olla hyvä prosessi, mutta sen hyödyistä en ole ihan vakuuttunut.

Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset

GDPR ei jäänyt pelkästään IT:n vastuulle

Vuoden 2021 kyselyn mukaan tietosuojatyöstä vastasivat eri yksiköt, kuten IT-, talous-, HR- ja lakiyksiköt. Vuoden 2024 vastauksissa taloushallinnon osuus on hieman yllättäen selvästi pienentynyt.

Kuva 3: Mikä yksikkö/mitkä yksiköt teillä vastaavat tietosuojatyöstä (GDPR:stä)?

Riskienhallinta on kehittynyt ainakin vuoden 2024 osalta. Vuonna 2023 sen sijaan nähtiin laskeva suuntaus, jossa riskejä ei ollut kartoitettu. IT:llä on merkittävä rooli käytännön tietosuojatyössä – erityisesti tietoturvan ja teknisten suojausten osalta – mutta organisaatioiden riskienhallinta ei yleisesti kuulu IT:n vastuualueisiin.

Vuoden 2024 vastauksissa näkyy selvä parannus henkilötietojen riskienhallinnassa. Vastausten taustalla voi olla myös lisääntynyt tietoisuus mediassa esillä olleista tietoturvaloukkauksista.

Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?

Huolestuttavaa on kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?” saadut vastaukset: ”EI” -vastausten osuus on kasvanut 25,5 prosentista vuonna 2023 aina 29 prosenttiin vuonna 2024.

”Asiakastyössä näkee vieläkin sitä, ettei tietosuoja meille kuulu. Esimerkiksi asiakaspalvelun esihenkilö ei suostunut osallistumaan tietosuojavastaavan vetämään vaikutustenarviointi -työpajaan, koska ”ei tietosuoja meille kuulu”. Kyseisessä organisaatiossa koulutusta on ollut tarjolla, mutta kaikki eivät sitä ole suorittaneet – tämä näkyy käytännön työssä.”

Juha Sallinen, Toimitusjohtaja GDPR Tech

Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?

Kyselyyn vastaaja
Henkilötietojen säilyttämiseen on selkeät raamit
Kyselyyn vastaaja
Vaikuttaa kaikessa toiminnassa henkilöihin yhdistettävän tiedon käsittelyyn, salassapitoon, säilyttämiseen ja tietojen luovutukseen.

Joka viidettä työntekijää ei perehdytetä tietosuojaan

Vastaajista 80 % kertoo, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Tämä tarkoittaa, että viidesosa vastaajaorganisaatioista ei kouluta uusia työntekijöitä tietosuojasta perehdytyksen yhteydessä. Osa vastaajista kertoi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja säännöllinen koulutus puuttuu usein kokonaan.

GDPR Techin toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Usein olemme huomanneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta ei sen jälkeen. On myös yleistä, että GDPR- tai tietosuojakoulutuksia on saatavilla, mutta niiden suorittamista ei seurata.

Kyselyyn vastaaja
Luovat hyvän pohjan henkilötietojenkäsittelylle
Kyselyyn vastaaja
Hidasteena ja uhkana on että julkisen sektorin työtä on vaikeutettu ja pakollinen valvonta maksaa tuhansia vuodessa. Julkishallinnon täytyy todentaa tekemisensä, joka usein on jo valmiiksi lakisääteistä. Mutta tuo todentaminen maksaa euroja, joita ei ole toimintaa hyödyttämättömiin asioihin. GDPR hidastaa ja vaikeuttaa julkishallinnon toimintaa ja maksaa rahaa. Se ei helpota tai nopeuta tekemistämme.

Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?

Tietoisuus seuraamuksista kasvanut – suhtautuminen GDPR:ään vaihtelee

Tutkimuksessa vastaajilta kysyttiin, ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista, kuten sakoista tai käsittelykielloista. Kaikki vastaajat (100 %) ilmoittivat olevansa hyvin perillä siitä, mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava osuus oli noin 93 %. Oletamme, että tietoisuus on kasvanut muun muassa median esiin nostamien tietosuojasanktioiden myötä.

Vastaajat kommentoivat aihetta myös hyvin erilaisista lähtökohdista. Osa koki, että organisaatiot suhtautuvat nyt GDPR-asioihin entistä vakavammin, kun taas toiset pitivät tietoisuuden tasoa edelleen riittämättömänä.

Kyselyyn vastaaja
Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.
Kyselyyn vastaaja
Kymmeniä järjestelmiä ja tuhansia työntekijöitä. Vaihtuvuus on suurta. Vanhojen työntekijöiden tietojen hallintaan pitää kiinnittää huomiota

Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta

Luottamus puuttuu – tietosuoja kaipaa konkretiaa

Vastausten perusteella huolestuttavaa on luottamuksen taso organisaatioiden tietojen suojaamiseen. Kun vastaajilta kysyttiin, ovatko he huolissaan omien tietojensa käsittelystä, enemmistö (54 %) kertoi olevansa huolissaan. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta luottamusta henkilötietojen käsittelyyn saadaan vahvistettua.

Kuva 9: Oletko huolissasi omista tiedoistasi?

Evästeet seuraavat – mutta harva tietää miten

Kysymys ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?” kartoitti vastaajien tietoisuutta verkkosivujen seurantatekniikoista – ja tulokset ovat huolestuttavia. Kaikista eväste- ja seurantahyväksynnöistä huolimatta vastaajat ovat yhä epävarmoja siitä, mitä verkkosivulla tapahtuu ja mitä heidän tiedoillaan tehdään.

Epäselvyyttä lisää todennäköisesti se, että Suomessa verkkosivujen käyttäjäseurantaa valvoo Tietosuojavaltuutetun sijaan Traficom, jonka ohjeistukset aiheesta julkaistiin jo vuonna 2021. Nämä ohjeet ovat todennäköisesti jääneet monelta huomaamatta. Suomessa ei edelleenkään näyttäisi olevan seurauksia tai sanktioita viranomaisohjeiden vastaisesta seurantateknologioiden käytöstä.

Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?

Kyselyyn vastaaja
GDPR määrittelee hyvinkin pitkälti keille voidaan lähettää markkinointiviestejä ja mitä pitää huomioida markkinoinnin automaatiossa. Lisäksi nettisivujen privacy policy ja cookie-käytäntöjä on jouduttu säätämään GDPR:n vuoksi aika lailla.

Tietosuojatyö kaipaa jatkuvuutta – projektit eivät yksin riitä

Neljän vuoden vastausten perusteella näyttää siltä, että monessa organisaatiossa tietosuojatoimia on toteutettu projektiluonteisesti, mutta niiden jalkautus osaksi arkea on jäänyt puutteelliseksi. Vaikka GDPR on yhä suhteellisen nuori asetus, myös käyttäjien tietoisuus on selvästi kasvussa.

Keskusteluissa ja mediassa nousevat usein esiin tietosuojalainsäädäntö ja siihen liittyvä viestinnän tarve. Yhä useampi kuluttaja on huolissaan omista henkilötiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.

Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on edelleen hyvin pieni verrattuna moniin muihin Euroopan maihin. Tämä selittyy osin maamme pienellä väkiluvulla.

Vastaajien kommenteissa nousevat esiin tekoälyyn, tiedonkäyttöön ja kustannuksiin liittyvät huolet. Näkemykset ovat samankaltaisia kuin projekteissa ja koulutuksissa. GDPR:stä esiintyy edelleen vääriä tulkintoja, mikä johtaa siihen, että sitä pidetään liian rajoittavana. Organisaatioissa, joissa tietosuojatyö on integroitu osaksi arkea, on saavutettu selkeitä hyötyjä, kuten toimintojen yhdenmukaisuus, selkeytyminen ja prosessien tehostuminen. Luottamus on keskeistä – avoimuudella ja vastuullisuudella voidaan vahvistaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.

Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
juha@gdprtech.com

Vuoden 2024 tietosuojavastaava Juha Sallisella riittää vielä työsarkaa

kirjoittaja

GDPR Techin yrittäjä ja perustaja tietosuojakonsultti Juha Sallinen palkittiin vuoden 2024 tietosuojavastaavana. 

Palkinto myönnetään vuosittain henkilölle, joka esimerkillisesti kehittää tietosuojakäytäntöjä ja edistää ammattilaisten verkostoitumista, osaamista ja tiedonjakoa organisaatiorajat ylittäen. Tunnustus jaettiin Alma Insightsin ja Tietosuojavaltuutetun toimiston järjestämässä Tietosuojapäivä 2025 -tapahtumassa 28.1.2025. Päätökset palkittavista teki asiantuntijaraati. 

Kerrotaan tarkemmin Juhan ja GDPR Techin matkasta tähän pisteeseen.

Matka tietosuojan asiantuntijaksi

Juhan polku tietosuojan pariin on ollut monivaiheinen. Ennen täysipäiväistä tietosuojatyötä Juha työskenteli lähes 20 vuotta tietotekniikan alalla, jossa hän pääsi seuraamaan teknologiakehityksen suuria murroksia, kuten pilvipalveluiden kehittymistä ja niihin liittyviä riskejä. Kokemus kouluttajana sekä tehtävät IT yhtiö Tiedolla, HP Enterprisessa sekä tietoturvayhtiö Symantecilla ja tiedonhallintayhtiö Veritas Technologiesissa loivat vankan pohjan tietosuojan vaatimustenmukaisuuden ymmärtämiselle. Insinööritausta ja myöhemmin suoritettu eMBA-tutkinto ovat tuoneet laajemman näkökulman sekä teknisiin, että liiketoiminnallisiin kysymyksiin.

Vuodesta 2016 lähtien Juha on toiminut yrittäjänä GDPR Techissä, jonka kantavana ajatuksena on tuoda luottamusta tietosuojaan käytännön toimilla. Tähän sisältyy niin koulutuksia kuin teknisiä toimenpiteitä, joiden avulla organisaatiot voivat kehittää tietosuojakäytäntöjään.

Kuva Alma Insights. Kuvassa vasemmalta oikealle: Reijo Aarnio, Oona Matinpalo, Juha Sallinen, Kimmo Rousku, Ida-Emilia Laasonen.

Tietosuojatyön suurimmat haasteet

Tietosuojatyössä Juhan mielestä yksi suurimpia haasteita on priorisointi – miten kohdistaa oma aikansa ja resurssinsa tehokkaasti huomioiden yritysten hyvin erilaiset lähtötilanteet tietosuojan saralla. “Näen edelleen organisaatioita, jotka eivät ole edes aloittaneet tietosuojatyötä”, Juha toteaa ja antaa valaisevan esimerkin: “Suomen yksi yleisimmistä salasanoista on edelleen ”salasana”. Jos tietoturvan taso on tämä, ei voida olettaa että tietoja on todellisuudessa suojattu muutenkaan – tai jos salasana on tyhjä – näitäkin siis on. Työtä on siis vielä paljon tehtävänä ja oma osaaminen pitääkin valjastaa parhaiten tukemaan kunkin asiakkaan yksilöllistä tilannetta.   

“Vuosina 2016–2018 liikkui paljon väärää tietoa GDPR:stä, ja osa tästä harhaluulosta on jäänyt elämään monissa yrityksissä”, Juha hämmästelee. Juha mainitsee esimerkkinä uskomuksen siitä, että GDPR ei koskisi kaikkia yrityksiä. Todellisuudessa GDPR on tavalla tai toisella osa jokaisen yrityksen toimintaa. ”Järkeä tosin saa käyttää – esimerkiksi yksinyrittäjänä toimivalla maanrakennusyrityksellä, joka tekee kaivuutöitä kunnalle, ei ole juurikaan tekemistä henkilötietojen kanssa. Sen sijaan, jos yksinyrittäjä työskentelee lääkärinä hyvinvointialueelle, hän käsittelee jo täysin toisenlaista ja huomattavasti arkaluonteisempaa tietoa.”

Asiantuntijuus on jatkuvaa oppimista

Tietosuojalainsäädäntö kehittyy jatkuvasti, ja ajan tasalla pysyminen vaatii säännöllistä opiskelua ja aktiivista seurantaa. Juha pitää osaamistaan yllä osallistumalla valikoituihin alan seminaareihin, kuten Alpine Privacy Days ja Nordic Privacy Arena, joista saa arvokasta tietoa myös muiden maiden tietolainsäädännön kehityksestä. Juha nostaa esiin kiinnostavan esimerkin Etelä-Afrikan POPIA:sta (Protection of Personal Information Act), joka sisältää poikkeuksellisen ankarat seuraamukset tietosuojarikkomuksista – sakoista (10 miljoonaa randia) aina vankeusrangaistuksiin (enintään 10 vuotta).

“Tällä hetkellä seuraamme Yhdysvaltojen tilannetta: pysyykö riittävyyspäätös (tietosuojakehys) voimassa, kaatuuko Data Privacy Framework vai onko tulossa Schrems III. Näillä päätöksillä olisi suora vaikutus organisaatioiden käyttämiin yhdysvaltalaisiin palveluihin, kuten pilvipohjaisiin toimisto-ohjelmiin.”

Omat vahvuudet esiin tietosuojatyössä

Tietosuojatyö voi tuntua aluksi valtavalta kokonaisuudelta, jossa on paljon huomioon otettavaa niin juridiselta kuin tekniseltä kannalta. “Tietosuojatyössä voi helposti tulla ähky”, Juha vahvistaa. Siksi Juha kannustaakin löytämään oman erityisalueen, jossa haluaa toimia sekä verkostoitumaan alan muiden toimijoiden kanssa. Yhteistyö ja tiedon jakaminen ovat avainasemassa jatkuvasti kehittyvällä alalla.

Tiedonhallinta nousee tietosuojan keskiöön

Juha kertoo, että EU:n GDPR on jo osoittanut olevansa eräänlainen ”kultainen standardi”, johon viitataan esimerkiksi Kiinan PIPL- ja Brasilian LGPD-lainsäädännössä. Samalla kuitenkin jatkuvasti lisääntyvä sääntely voi aiheuttaa ähkyä monille organisaatioille.

“Jatkuvasti kehittyvät uudet teknologiat, kuten tekoäly eri muodoissaan, tuovat uusia haasteita tietosuojaan, ja niiden vaikutuksia tullaan näkemään vielä pitkään”, Juha pohtii.

Vuoden 2025 suurimmaksi tietosuojateemaksi Juha ennustaa tiedonhallintaa. Monet tietosuojaloukkaukset johtuvat siitä, että vanhaa tietoa säilytetään ilman hallintaa. “GDPR:n ytimessä oleva ”D” – data – tulee muistaa: pelkkien sopimusten lisäksi tarvitaan valvontaa ja teknisiä toimenpiteitä ihmisten tietojen suojaamiseksi”, Juha painottaa.

Tietosuoja-ammattilaisen arki ja tulevaisuus

Päivittäisen tietosuojatyön vastapainoksi Juha viettää talvisin aikaa lumilautailemassa ja kesäisin riittää paljon puuhaa maaseudulla, jossa Juha asuu. 

”Jos en työskentelisi tietosuojan parissa, suuntaisin todennäköisesti kiinnostukseni entistä enemmän tiedonhallintaan”, Juha toteaa. Kymmenen viime vuotta ovat olleet todella mielenkiintoisia, ja tietosuoja tarjoaa jatkuvasti uusia haasteita ja oppimismahdollisuuksia.

Vuoden tietosuojavastaava -diplomi päätyy Juhan etätoimiston seinälle muistuttamaan pitkästä ja vaiherikkaasta matkasta tietosuojan parissa. Erityisen iloinen Juha on siitä, että hän tuli palkituksi ulkoistettuna tietosuojavastaavana. 

Juha haluaa antaa tunnustuksen myös muille alalla toimijoille: “Jokainen, joka työskentelee tietosuojan parissa, ansaitsisi vastaavan kunnianosoituksen, sillä ala on täynnä osaavia ja omistautuneita asiantuntijoita”.  Lopuksi Juha vertaa tietosuojaa rakkaaseen lajiinsa lumilautailuun – pilke silmäkulmassa:

“Tietosuojakäytäntö ei ole hidaste, vaan mahdollisuus sujuvampaan ja turvallisempaan tekemiseen – vähän kuin hyvä lumilauta, joka tekee laskemisesta nautinnollista eikä jarruta menoa!”

GDPR Tech onnittelee Vuoden 2024 tietosuojateko -palkinnon saanutta VAHTI Tietosuojakehittämistyöryhmää. 

Näkökulmia ulkoistettuun tietosuojaan

kirjoittaja

Voiko tietosuojavastaavan tehtävät ulkoistaa ja mitä hyötyä siitä on?

“Tietosuojavastaavan tehtävät voi ulkoistaa vallan hyvin”, toteaa GDPR-asiantuntija ja  ulkoistettu tietosuoja-vastaava Jaanaliisa Kuoppa. Yllättävän isot organisaatiot ovat päätyneet tähän ratkaisuun. Tehtävän hoitaminen vaatii erityisosaamista ja jatkuvaa osaamisen kehittämistä, mihin harvalla organisaatiolla on mahdollisuuksia. Useimmilla yrityksillä ei ole myöskään resursseja määritellä tehtävään täyttä työpäivää tekevää asiantuntijaa, Jaanaliisa jatkaa. 

Ulkoistamisen hyöty piileekin siinä, että tehtävään perehtynyt asiantuntija kerää näkemystä ja ratkaisuja eri asiakkuuksista, mikä hyödyttää tehokkaasti ostavaa asiakasorganisaatiota.

Milloin tietosuojavastaavan tehtävää ei voi tai kannata ulkoistaa? Ulkoistamista ei suositella silloin, kun tietosuojavastaavalta edellytetään 100-prosenttista työpanosta ja intensiivistä yhteistyötä organisaation asiantuntijoiden ja johdon kanssa, Jaanaliisa kertoo. Tällöinkin ulkoistaminen on mahdollista, mutta ei välttämättä optimaalista asiakasorganisaation kannalta.

Jos työtä ei tehdä, syntyy tietosuojavelkaa

“Tietosuojavastaavan työmäärä vaihtelee merkittävästi toimialan, organisaation koon ja maantieteellisen laajuuden sekä sijainnin mukaan”, kertoo GDPR Techin yrittäjä, tiedonhallinta ja teknologia-arkkitehti Juha Sallinen. 

Juha kertoo havainnollistavan esimerkin: “Yhdellä uudella asiakkaallamme oli aiemmin varattuna yhden henkilön osalta aikaa 4 tuntia kuukaudessa tietosuojatyöhön. Se johti tietosuojavelkaan, sillä annetussa ajassa ei ehdi ohjeistamaan, kouluttamaan, kouluttautumaan saati seuraamaan muutoksia tietosuojan tulkinnoista ja niin edelleen.” Asiakkaalla tartuttiin tietosuojavelkaan aluksi 16 tunnin kuukausitahdilla. Sittemmin on siirrytty 8 tuntiin kuukaudessa, täydennettynä tarvittavilla lisätöillä. 

Kansainvälisessä organisaatiossa pelkästään Yhdysvaltojen osavaltiokohtaisten tietosuojamuutosten seuraaminen vie merkittävästi työaikaa. Kansainvälisillä organisaatioilla toimiva rakenne näyttää olevan ’Global Head of Privacy’ operatiivisen tiimin tukemana, Juha kertoo. Tietosuojavastaavan tehtävänä on ohjeistaa ja valvoa, mikä usein edellyttää projektipäällikön kaltaista määrätietoista otetta.

Tietosuojavelkaa voidaan lyhentää määrätietoisella projektityöllä

GDPR Techin tekninen projektipäällikkö Mervi Hongisto kertoo oman näkemyksenä aiheeseen: “On oleellista määritellä, kuinka paljon tietosuojatyötä toteutetaan proaktiivisesti ja hallitusti toimistoaikana. Samalla tulee arvioida, millaisia riskejä ollaan valmiita hyväksymään tekemättömien tehtävien osalta.” Pienenkin työmäärän systemaattinen laiminlyönti on riskien hallinnan kannalta puutteellista ja siten ei-suositeltavaa.

Hyvä projektinhallinta tarjoaa konkreettiset työkalut ja näkymän tietosuojatyön keskeisistä prioriteeteista, Mervi jatkaa. Ulkoistettu projektipäällikkö luo parhaimmillaan asiakkaalle priorisointinäkymän, joka sovitetaan yhteen asiakkaan muiden työtehtävien kanssa. Samalla varmistetaan tehokas toteutus, joka kartuttaa myös asiakkaan omaa osaamista.

Toimittajan ja tilaajan vastuu

On tiedossa tapaus, jossa yksi konsultti toimii jopa 600 organisaation tietosuojavastaavana, Juha Sallinen kertoo. Tästä nousee esiin keskeinen kysymys resurssien riittävyydestä. Tilaajan vastuulla on varmistaa, että ostettu palvelu täyttää todelliset tietosuojatyön vaatimukset. Toimittajan puolestaan tulee pystyä osoittamaan, että resurssit ja osaaminen ovat riittäviä näinkin laajan asiakaskunnan palvelemiseen. Tämä korostaa tietosuojatyön laadun ja vastuullisuuden merkitystä organisaatioiden tietosuojakäytännöissä.

Ideaalitilanteessa organisaatiolla itsellään on riittävästi tietoa tehdäkseen päätöksen halutaanko tai voidaanko tietosuojavastaavan tehtävä ulkoistaa.

GDPR Techillä on strukturoitu, kustannustehokas ja helposti asiakkaan tarpeen mukaisesti räätälöitävissä oleva tapa tuottaa palvelua. 

Vastuuta ei voi ulkoistaa, vaikka monia muita asioita voi.

Harkitsetko tietosuojatyön ulkoistamista? 

DPOaaS (Data Protection Officer as a Service) on turvallinen ja kustannustehokas ratkaisu kun tarvitset asiantuntijan auttamaan yritystäsi täyttämään ajantasaiset, lakisääteiset tietosuojavelvoitteet ilman kokopäivätyöntekijän palkkaamista. 

Ota yhteyttä myös, jos tarvitset määräaikaista sijaista, tietosuojatyölle varahenkilöä tai sparraamaan tietosuojatyön tilaa!

Artikkelissa esiintyvät asiantuntijat:

Jaanaliisa Kuoppa, GDPR-asiantuntija, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Juha Sallinen, Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Mervi Hongisto, Tekninen projektipäällikkö, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.

Asiakastarina: Tietoturva on jatkuvaa työtä – Keitele Groupin tarina henkilöstön kouluttamisesta

kirjoittaja

Keitele Group on perheomisteinen yritys, joka on kasvanut yhdeksi Suomen suurimmista mekaanisen puunjalostuksen toimijoista ja maan suurimmaksi puutuotteiden valmistajaksi. Isossa, kansainvälisesti toimivassa yrityksessä tietoturvaan suhtaudutaan vakavasti. Konsernin tietohallintopäällikkö Veli Matti Häkkinen kertoo, että tietoturvan merkitys on kasvanut entisestään digitalisaation ja verkottuneen maailman myötä. Tietoturvan hallinta on muuttunut yhä vaativammaksi, ja se vaatii jatkuvaa panostusta.

Tietoturva modernin liiketoiminnan tukena

Maailman verkottuminen on tuonut mukanaan uusia uhkia, jotka eivät ole enää riippuvaisia fyysisestä sijainnista. “Riskien määrä on kasvanut ja tilanne on pahentunut koko ajan”, Häkkinen toteaa ja nostaa esiin erityisesti tekoälyn kehityksen vaikutuksen. Huijauksista on tullut entistä vakuuttavampia ja vaikeammin havaittavia.

Näihin kasvaviin uhkiin Keitele Group vastaa teknisillä ratkaisuilla kuten tarkalla pääsyn rajoittamisella sekä säännöllisellä koulutuksella. Häkkinen on mielissään lainsäädännön asettamista vaatimuksista yrityksille tietoturvan suhteen: “Nykyisin myös tietoturvaan liittyvät lait asettavat yrityksille vaatimuksensa – ja hyvä niin”, Häkkinen toteaa.

Henkilöstön koulutus avainasemassa

Keitele Group panostaa henkilöstönsä tietoturva- ja tietosuojaosaamiseen koulutusten avulla. Vuonna 2024 koulutuksiin osallistui noin 200 työntekijää, ja yritys suunnittelee jo jatkokoulutuksia vuodelle 2025.

Koulutukset ovat olleet erittäin hyödyllisiä ja ne ovat onnistuneet herättelemään erityisesti peruskäyttäjiä tietoturvan tärkeyteen: “Tätä koulutukselta haettiinkin”, Häkkinen kertoo. Koulutukset ovat osoittautuneet toimiviksi erityisesti niiden joustavuuden ansiosta – jokainen työntekijä voi suorittaa ne itselleen sopivana ajankohtana.


Koulutuksista valveutuneisuutta tietoturvaan

Erityisen onnistuneeksi on koettu koulutusten vaikeustaso. ”Palaute on osoittanut, että koulutukset ovat juuri sopivalla tasolla: ne eivät ole liian yksinkertaisia eivätkä liian monimutkaisia”, tietohallintopäällikkö toteaa. Vaikka osallistuminen koulutuksiin oli yleisesti hyvällä tasolla, hän kertoo kiinnostavasta havainnosta. “Vaikka koulutusaktiivisuus oli hyvä, on joukossa kuitenkin pieni määrä henkilöitä, joita koulutus ei ole kiinnostanut. Herää kysymys, missä määrin heitä kiinnostaa tietoturva?”.

Koulutukset ovat osoittautuneet tehokkaaksi tavaksi parantaa henkilöstön valveutuneisuutta, vaikka hyötyjen tarkka mittaaminen onkin haastavaa. Keitele Groupissa koulutuksia tullaan jatkamaan myös tulevaisuudessa osana jatkuvaa tietoturvan kehittämistä: “ Koulutuksia jatketaan tulevaisuudessakin”, Häkkinen vahvistaa.

Valppaana tulevaan

Keitele Group jatkaa panostamista tietoturvaan ja suunnittelee jo jatkokoulutuksia vuodelle 2025. ”Seuraamme aktiivisesti tietoturvauhkien kehittymistä ja olemme valmiina reagoimaan tarvittaessa”, Häkkinen painottaa.

Veli Matti Häkkisen näkemys on selkeä kysyttäessä vinkkejä muille tietohallintojohtajille, jotka eivät ole vielä panostaneet tietosuojaan tai -turvaan: tietoturva vaatii jatkuvaa panostusta. Tietoturvasta vastaavilla on Häkkisen mukaan hyvä käsitys tietoturvan tärkeydestä ja kasvaneista uhista. Tietoturva ei ole kertaluonteinen projekti vaan jatkuva prosessi, joka vaatii säännöllistä huomiota ja resursseja. Koulutukset ovat osoittautuneet toimivaksi tavaksi kehittää Keitele Groupin tietoturva- ja tietosuojaosaamista. “Suosittelen näitä koulutuksia”, Häkkinen toteaa lopuksi.

Tutustu Keitele Groupiin täältä: https://www.keitelegroup.fi/

Tutustu GDPR Techin koulutustarjontaan täällä: https://gdprtech.com/fi/gdpr-koulutus/

GDPR vuonna 2024 – kahdeksan vuotta tietosuojaa

kirjoittaja

GDPR:n kehitys – missä mennään nyt? 

GDPR-asetuksen siirtymäajan aloitus vuonna 2016 nosti tietosuojan tapetille. Kuluneiden 8 vuoden aikana on tapahtunut merkittävää edistystä yrityksissä, niin tiedon käsittelyssä kuin käytännön toimenpiteissäkin. “Muutos on oikeasti ollut valtava”, toteaa GDPR-asiantuntija Jaanaliisa Kuoppa. Samaan hengenvetoon hän kuitenkin painottaa, että työtä on paljon ja sitä riittää kaikille. 

On merkillepantavaa, että organisaatioiden tietosuojatyön tekemisen taso vaihtelee huomattavasti. Jotkut ovat jo pitkällä matkalla kohti parempaa tasoa, toiset ovat vasta aloittelemassa, mutta lukuisat organisaatiot ovat edelleen tilanteessa, jossa tietosuoja on jäänyt kokonaan huomiotta. Näitä tahoja haluammekin herätellä näin uuden vuoden kynnyksellä.

GDPR koskee käytännössä kaikkia yrityksiä 

Kuulemme valitettavan usein edelleen väitteitä, että GDPR ei koske tiettyjä organisaatioita. Tämä ajatus on kuitenkin virheellinen. GDPR-asetus velvoittaa käytännössä kaikkia yrityksiä ja organisaatioita, riippumatta niiden koosta tai toimialasta. Tosin, esimerkiksi torilla omia leivonnaisia käteisellä myyvä yritys, joka toimii ALV-rajan ulkopuolella, voisi olla poikkeus GDPR:n suhteen, asiantuntijamme toteavat. 

Henkilötiedot, kuten nimet, puhelinnumerot ja sähköpostiosoitteet sekä vaikkapa terveyteen liittyvät tiedot, ovat Suomessa sekä GDPR:n että Tietosuojalain alaisia tietoja. Näiden tietojen käsittely tuo mukanaan lakisääteisiä velvoitteita kaikille organisaatioille, jotka niitä käsittelevät, muistuttaa GDPR Techin yrittäjä Juha Sallinen.

Tilanne ei rajoitu vain GDPR:ään. Myös EU:n uusi kyberturvallisuusdirektiivi, NIS2, joka astui voimaan kuluvana vuonna, asettaa organisaatioille vaatimuksia tietoturvan ja kyberturvallisuuden saralla. Monet organisaatiot eivät ole vielä täysin valmistautuneet näihinkään uusiin säädöksiin. NIS2-direktiivin osalta voidaankin yrityksiltä odottaa samanlaista kehityssuuntaa kuin GDPR osalta, Sallinen huomauttaa. 

Aloitukseen riittää kynä ja paperi

Miten sitten saamme uinuvat organisaatiot hereille tietosuojan osalta – edes polun alkupäähän? Tämä on keskeinen kysymys. 

Aloittaminen voi tuntua vaikealta, jos tavoitteena on tehdä kaikki kerralla täydellisesti. “Ratkaisu on keskittyä olennaiseen ja hyväksyä, että kaikkea ei voi tehdä heti”, toteaa GDPR Techin asiantuntija Jaanaliisa Kuoppa.

Tässä muutama kysymys GDPR Techin asiantuntijoilta, joiden avulla pääsee tietosuojan selvittämisen alkuun:

  • Mitä kautta asiakastietoja kertyy?
  • Mitä asiakastietoja teillä kerätään? Tyypillisesti asiakastietoja ovat esimerkiksi nimi, sähköposti, puhelinnumero, osoite, maksutiedot ja asiakasnumero
  • Mihin järjestelmään tieto kerätään?
  • Kertyykö tietoa useampaan järjestelmään? Tällaisia järjestelmiä voi olla esimerkiksi asiakaspalvelu- ja laskutusjärjestelmät
  • Kuka tai ketkä pääsääntöisesti vastaavat järjestelmistä?
  • Keiden kanssa henkilötietoja käsitellään? Ulkopuolisia tahoja voivat olla esimerkiksi markkinointitoimistot, tilitoimistot jne.  
  • Käy sama läpi myös työntekijöiden tietojen osalta!
  • Tarkista ulkopuolisten tahojen kanssa tehdyt tietojen vaihtoon ja käsittelyyn liittyvät sopimukset

Tämä yksinkertainen kysymyspatteristo auttaa organisaatiota määrittämään, missä ja miten tietoa käsitellään, ja se on hyvä ensimmäinen askel tietosuojapolun alkuun.

Jos selvityksen yhteydessä huomataan, että tietoa tallennetaan eri paikkoihin, on tärkeää määritellä sen omistaja ja virallinen tallennuspaikka. Tämä ehkäisee päällekkäisyyksiä, parantaa löydettävyyttä ja pitää tiedot ajantasaisina.

Juha Sallinen huomauttaa, että kolikon toinen kääntöpuoli on se, että tietoa ei voi myöskään säilöä loputtomiin. Tietosuojan näkökulmasta on tärkeää noudattaa säilytysaikoja ja varmistaa, että tieto poistetaan tai anonymisoidaan, kun sitä ei enää tarvita.

Järjestelmäsalkku avuksi

Isommissa organisaatioissa järjestelmiä on toki enemmän ja silloin järeämmät keinot ovat tarpeen. Siihen on apuna järjestelmäsalkku, eli organisaation tietojärjestelmien kokonaisuus, joka tarjoaa konkreettisen pohjan tiedonhallinnan haltuun ottamiseen. Sen avulla voidaan tunnistaa tiedonkulut, käyttötapaukset ja prosessit. Järjestelmäsalkku toimii kivijalkana, josta on mahdollista rakentaa hallittua ja selkeää kokonaisuutta eteenpäin. Tietenkin hyvin kuvatut prosessit auttavat myös tilanteen osalta.

Mervi Hongisto, GDPR Techin projektipäällikkö, toteaa suoraan: ”Pitäisi huolestua, jos organisaatiossa ei tiedetä, mitä tietoja on ja miten niitä käsitellään.” Järjestelmäsalkku tarjoaa ratkaisun tähän ongelmaan. ”Epämääräisyys aiheuttaa turhaa ahdistusta. Hyvin dokumentoitu ja hallittu järjestelmäsalkku minimoi epämääräisyyksiä tai tuo ainakin näkyväksi, missä niitä vielä on”, Hongisto jatkaa.

Osoitusvelvollisuus ja tietosuojavelka – missä kunnossa organisaationne on?

Yrityksillä on osoitusvelvollisuus tietosuojassa, eli niiden on pystyttävä todistamaan, että GDPR:n mukaiset toimenpiteet on toteutettu ja dokumentoitu. Vanhemmilla organisaatioilla voi olla tietosuojavelkaa, eli asioita, joita ei ole vielä saatu ajan tasalle. Jos yritys joutuu auditoinnin, oston tai asiakkaan tarkempaan syyniin, puutteet voivat paljastua liiketoimintariskeinä.

Tietosuojan kypsyysasteen voi kuitenkin nostaa nopeasti, kunhan tunnistetaan nykytila ja paikataan kriittisimmät puutteet. Tietosuojan kuntoon laittaminen ei ole vain lakisääteinen velvoite, vaan myös tapa hallita riskejä ja parantaa organisaation uskottavuutta.

Kohti parempaa tietosuojaa ja vuotta 2025!

Vuosi 2024 on ollut yksi etappi monille organisaatioille tietoturvan ja tietosuojan saralla, mutta matka jatkuu. Kun suuntaamme kohti vuotta 2025, on aika varmistaa, että tietosuoja-asiat ovat hallinnassa, ja organisaatiot ovat valmiita vastaamaan tulevaisuuden haasteisiin. Tietosuoja ei ole enää valinta, vaan elintärkeä osa liiketoiminnan jatkuvuutta ja luottamuksen rakentamista – varmistetaan, että astumme uuteen vuoteen vahvalla ja turvallisella pohjalla. 

Kohti tietosuojalain mukaista vuotta 2025! 

Vielä ehdit osallistua tietosuojakyselyyn, jolla kartoitamme miten GDPR on vaikuttanut suomalaisten organisaatioiden, yritysten ja kuntien toimintaan. Kyselyyn vastaaminen vie vain muutaman minuutin. Vastanneiden kesken arvomme 3kpl 50€ Finnkinon lahjakortteja. Voittajat arvomme tammikuussa 2025. Osallistu tästä!

Ota yhteyttä tästä

Asiakastarina: Asiakastietojen turvallinen käsittely on olennainen osa hyvinvointialan työtä

kirjoittaja

Laitepilates-studio Kunnonkoutsi

Laitepilates-studio Kunnonkoutsin perustaja Sanna Harolin on kokenut liikunta-alan ammattilainen, joka halusi luoda oman pilates studionsa vastatakseen paikalliseen kysyntään. Yrittäjänä Sanna huomasi nopeasti, että asiakastietojen turvallinen käsittely on olennainen osa hyvinvointialan työtä. Aluksi tietosuoja-asioiden monimutkaisuus pelotti, mutta GDPR Techin koulutusten ansiosta Sanna oppi tietosuojan ja tietoturvan perusasiat käytännönläheisesti. Nyt hän suosittelee koulutuksia lämpimästi kaikille yrittäjille, sillä ennakoiva tietoturva tuo varmuutta ja mielenrauhaa arkeen.

Asiakkaiden terveystietojen turvallinen säilyttäminen prioriteettina

Laitepilates-studio Kunnonkoutsi on Tampereella sijaitseva hyvinvointialan yritys, jonka perustaja ja omistaja Sanna Harolin on ollut liikunta-alalla jo vuodesta 1998 lähtien. Kouluttauduttuaan liikunnanohjaajaksi Suomen Urheiluopistolla Sanna on työskennellyt monipuolisesti liikunnanohjaajana, ryhmäliikuntaohjaajana ja Personal Trainerina. Vuonna 2019 hän päätti ryhtyä yrittäjäksi, ja vuonna 2022 hän perusti Tampereelle ensimmäisen laitepilatesstudionsa, koska kaupungista puuttui hänen toiveidensa mukainen pilatessali.

Sannan intohimo hyvinvointiin ja liikuntaan ohjasi häntä urallaan, mutta yrittäjänä hänen oli otettava huomioon myös uusia vastuualueita, kuten tietosuoja ja tietoturva. Hän käsittelee työssään asiakastietoja, joihin saattaa sisältyä myös terveystietoja, joten oli tärkeää ymmärtää, miten näitä tietoja tulisi säilyttää turvallisesti.

Pelottava ja epämääräinen GDPR on nyt tuttua juttua

Aluksi GDPR ja tietoturva tuntuivat Sannasta monimutkaisilta ja pelottavilta aiheilta. ”Kaikki GDPR-asiat tuntuivat kovin vaikeaselkoisilta ja hankalilta, mutta yrittäjänä koin, että minun pitäisi tietää näistä kuitenkin enemmän”, hän kertoo. Juuri tässä kohtaa GDPR Tech astui kuvaan. Sannan mukaan GDPR Techin koulutukset auttoivat häntä ymmärtämään tietosuojan ja tietoturvan perusasiat käytännönläheisesti, mikä hälvensi hänen pelkonsa aiheen ympärillä.

Tietosuojan ja tietoturvan tärkeys hyvinvointialalla

Tietosuoja on erityisen tärkeää hyvinvointialalla, missä asiakkaat usein jakavat henkilökohtaisia terveystietoja ohjaajien kanssa. Sanna korostaa, että näiden tietojen turvaaminen on ensiarvoisen tärkeää, jotta ne eivät joudu vääriin käsiin. Hänen yrityksessään asiakkaiden tiedot tallennetaan suojattuun järjestelmään, ja sähköpostitse saadut tiedot säilytetään myös turvattuina. Tietoja ei kirjata ylös ilman selkeää tarvetta.

”Hyvinvointialalla ihmiset usein kertovat hyvin henkilökohtaisia terveystietoja ohjaajalle, mikä on tärkeää, jotta ohjaaja osaa ottaa ne huomioon harjoitusta suunnitellessa ja ohjatessa. Nämä tiedot on tärkeä osata säilyttää niin, että ne eivät joudu vääriin käsiin, ja siksi on tärkeää ymmärtää tietosuojan ja tietoturvan perusasiat. Toisaalta on myös hyvä miettiä, mitä tietoja asiakkaista kerää eli kerätä vain ne, mitä oikeasti tarvitsee,” Sanna summaa.

Tietosuojakoulutuksilla suora vaikutus omiin toimintatapoihin

GDPR Techin koulutukset eivät ainoastaan lisänneet Sannan tietämystä, vaan myös vahvistivat hänen luottamustaan siihen, että hänen toimintatapansa olivat jo ennestään hyvällä mallilla. Koulutuksissa hän oppi erityisesti, mitä tietoja on lakisääteisesti säilytettävä ja mitkä tiedot voidaan turvallisesti hävittää. ”GDPR-asioista liikkuu kaikenlaisia huhuja, ja koulutus toi hyvin esiin sen, mikä on oikeasti oleellista käytännön työssä ja mikä on lakisääteistä. Tietojen toisaalta säilyttäminen ja toisaalta hävittäminen olivat hyviä oppeja,” Sanna kertoo.

Koulutukset antoivat Sannalle varmuutta toimia oikein ja vähensivät tietosuojasta aiheutuvaa stressiä: ”Kun tiedän, miten asiat oikeasti ovat, pystyn myös vastaamaan tilanteissa, joissa joku väittää tietosuojaa rikottavan. Tietosuoja-asiat eivät myöskään niin paljon stressaa, kun tietää, mitä pitää ottaa huomioon.”

Ennakoiminen kannattaa

Sanna suosittelee GDPR Techin koulutuksia muille hyvinvointialan yrittäjille, erityisesti niille, jotka tuntevat olonsa epävarmaksi tietosuoja-asioissa. Hän huomauttaa, että ennakoiminen on aina parempi vaihtoehto kuin ongelmien selvittäminen jälkikäteen. Sanna aikoo jatkossakin pitää tietonsa ajan tasalla ja varmistaa, että mahdolliset tulevat työntekijät ovat myös tietoisia tietosuojan tärkeydestä.

”Kun tekoälyä käytetään koko ajan enemmän, on sitäkin tärkeämpää huolehtia tietosuojasta ja pitää oma osaaminen ajan tasalla. Suosittelen lämpimästi GDPR Techin koulutuksia,” Sanna toteaa lopuksi, vahvistaen sitoutumisensa sekä asiakkaidensa hyvinvointiin, että heidän tietojensa turvaamiseen.


Tutustu Laitepilates Studio Kunnonkoutsin palveluihin tästä!