Asiakastarina: Asiakastietojen turvallinen käsittely on olennainen osa hyvinvointialan työtä

Laitepilates-studio Kunnonkoutsi

Laitepilates-studio Kunnonkoutsin perustaja Sanna Harolin on kokenut liikunta-alan ammattilainen, joka halusi luoda oman pilates studionsa vastatakseen paikalliseen kysyntään. Yrittäjänä Sanna huomasi nopeasti, että asiakastietojen turvallinen käsittely on olennainen osa hyvinvointialan työtä. Aluksi tietosuoja-asioiden monimutkaisuus pelotti, mutta GDPR Techin koulutusten ansiosta Sanna oppi tietosuojan ja tietoturvan perusasiat käytännönläheisesti. Nyt hän suosittelee koulutuksia lämpimästi kaikille yrittäjille, sillä ennakoiva tietoturva tuo varmuutta ja mielenrauhaa arkeen.

Asiakkaiden terveystietojen turvallinen säilyttäminen prioriteettina

Laitepilates-studio Kunnonkoutsi on Tampereella sijaitseva hyvinvointialan yritys, jonka perustaja ja omistaja Sanna Harolin on ollut liikunta-alalla jo vuodesta 1998 lähtien. Kouluttauduttuaan liikunnanohjaajaksi Suomen Urheiluopistolla Sanna on työskennellyt monipuolisesti liikunnanohjaajana, ryhmäliikuntaohjaajana ja Personal Trainerina. Vuonna 2019 hän päätti ryhtyä yrittäjäksi, ja vuonna 2022 hän perusti Tampereelle ensimmäisen laitepilatesstudionsa, koska kaupungista puuttui hänen toiveidensa mukainen pilatessali.

Sannan intohimo hyvinvointiin ja liikuntaan ohjasi häntä urallaan, mutta yrittäjänä hänen oli otettava huomioon myös uusia vastuualueita, kuten tietosuoja ja tietoturva. Hän käsittelee työssään asiakastietoja, joihin saattaa sisältyä myös terveystietoja, joten oli tärkeää ymmärtää, miten näitä tietoja tulisi säilyttää turvallisesti.

Pelottava ja epämääräinen GDPR on nyt tuttua juttua

Aluksi GDPR ja tietoturva tuntuivat Sannasta monimutkaisilta ja pelottavilta aiheilta. ”Kaikki GDPR-asiat tuntuivat kovin vaikeaselkoisilta ja hankalilta, mutta yrittäjänä koin, että minun pitäisi tietää näistä kuitenkin enemmän”, hän kertoo. Juuri tässä kohtaa GDPR Tech astui kuvaan. Sannan mukaan GDPR Techin koulutukset auttoivat häntä ymmärtämään tietosuojan ja tietoturvan perusasiat käytännönläheisesti, mikä hälvensi hänen pelkonsa aiheen ympärillä.

Tietosuojan ja tietoturvan tärkeys hyvinvointialalla

Tietosuoja on erityisen tärkeää hyvinvointialalla, missä asiakkaat usein jakavat henkilökohtaisia terveystietoja ohjaajien kanssa. Sanna korostaa, että näiden tietojen turvaaminen on ensiarvoisen tärkeää, jotta ne eivät joudu vääriin käsiin. Hänen yrityksessään asiakkaiden tiedot tallennetaan suojattuun järjestelmään, ja sähköpostitse saadut tiedot säilytetään myös turvattuina. Tietoja ei kirjata ylös ilman selkeää tarvetta.

”Hyvinvointialalla ihmiset usein kertovat hyvin henkilökohtaisia terveystietoja ohjaajalle, mikä on tärkeää, jotta ohjaaja osaa ottaa ne huomioon harjoitusta suunnitellessa ja ohjatessa. Nämä tiedot on tärkeä osata säilyttää niin, että ne eivät joudu vääriin käsiin, ja siksi on tärkeää ymmärtää tietosuojan ja tietoturvan perusasiat. Toisaalta on myös hyvä miettiä, mitä tietoja asiakkaista kerää eli kerätä vain ne, mitä oikeasti tarvitsee,” Sanna summaa.

Tietosuojakoulutuksilla suora vaikutus omiin toimintatapoihin

GDPR Techin koulutukset eivät ainoastaan lisänneet Sannan tietämystä, vaan myös vahvistivat hänen luottamustaan siihen, että hänen toimintatapansa olivat jo ennestään hyvällä mallilla. Koulutuksissa hän oppi erityisesti, mitä tietoja on lakisääteisesti säilytettävä ja mitkä tiedot voidaan turvallisesti hävittää. ”GDPR-asioista liikkuu kaikenlaisia huhuja, ja koulutus toi hyvin esiin sen, mikä on oikeasti oleellista käytännön työssä ja mikä on lakisääteistä. Tietojen toisaalta säilyttäminen ja toisaalta hävittäminen olivat hyviä oppeja,” Sanna kertoo.

Koulutukset antoivat Sannalle varmuutta toimia oikein ja vähensivät tietosuojasta aiheutuvaa stressiä: ”Kun tiedän, miten asiat oikeasti ovat, pystyn myös vastaamaan tilanteissa, joissa joku väittää tietosuojaa rikottavan. Tietosuoja-asiat eivät myöskään niin paljon stressaa, kun tietää, mitä pitää ottaa huomioon.”

Ennakoiminen kannattaa

Sanna suosittelee GDPR Techin koulutuksia muille hyvinvointialan yrittäjille, erityisesti niille, jotka tuntevat olonsa epävarmaksi tietosuoja-asioissa. Hän huomauttaa, että ennakoiminen on aina parempi vaihtoehto kuin ongelmien selvittäminen jälkikäteen. Sanna aikoo jatkossakin pitää tietonsa ajan tasalla ja varmistaa, että mahdolliset tulevat työntekijät ovat myös tietoisia tietosuojan tärkeydestä.

”Kun tekoälyä käytetään koko ajan enemmän, on sitäkin tärkeämpää huolehtia tietosuojasta ja pitää oma osaaminen ajan tasalla. Suosittelen lämpimästi GDPR Techin koulutuksia,” Sanna toteaa lopuksi, vahvistaen sitoutumisensa sekä asiakkaidensa hyvinvointiin, että heidän tietojensa turvaamiseen.


Tutustu Laitepilates Studio Kunnonkoutsin palveluihin tästä!

Euroopan tietosuojaneuvosto myöntää: pk-yritykset tarvitsevat enemmän tukea

Lueskelin Euroopan komission teettämän raportin GDPR soveltamisesta Euroopassa. Tämä raportti on toinen laatuaan ja antaa varsin hyvän kuvan GDPR soveltamisen todellisuudesta. Vaikka raportti tarjoaa yleiskuvan, sieltä voi poimia esimerkkejä myös Suomen tilanteesta.

Esimerkiksi raportin keskeisiin löydöksiin kuuluu huomio, että maiden tietosuojaviranomaisten pitäisi tukea pk-yrityksiä enemmän niiden pyrkimyksissä noudattaa tietosuoja-asetusta. Suomessa tietosuojavaltuutetun ja hänen toimistonsa pitäisi siis tarjota enemmän tukea pk-yrityksille. Voit lukea koko raportin tästä!

Yrityksissä tehdään bisnestä – lainsäädäntöä sekä siihen liittyvää ohjeistusta noudatetaan, koska se on edellytys bisneksen tekemiselle tässä yhteiskunnassa.

GDPR:ää koskevan ohjeistuksen tulisi olla helposti ymmärrettävää

Euroopan tietosuojaviranomaisten yhteistyöelin on julkaissut aiheesta peräti 35 ohjeistusta. Raportin mukaan nämä ohjeistukset ovat olleet hyödyllisiä, mutta sidosryhmien mielestä liian teoreettisia. Ohjeet ovat liian pitkiä eivätkä ota riittävästi huomioon GDPR keskeistä periaatetta, eli riskiperustaista tarkastelua.

Tämä kuulostaa aivan minun ajatuksiltani. Noin 40-sivuiset juridiset selostukset, joissa on monimutkaisia kiertelyjä, eivät tue yritysten ja organisaatioiden tietosuojatyötä. Ne eivät lisää ymmärrystä vaan aiheuttavat ahdistusta ja herättävät kysymyksiä. Mitä siis oikeasti pitää tehdä ja mitä ei?

Kaiken GDPR-ohjeistuksen tulee olla ymmärrettävää ilman lainopillista koulutusta

Raportissa huomautetaan, että ohjeistusten pitäisi olla ymmärrettäviä ilman lainopillista koulutusta, erityisesti kun ne on tarkoitettu pk-yrityksissä ja vapaaehtoisorganisaatioissa työskenteleville.

Lisäksi ehdotetaan, että tietosuojaviranomaisten kannattaisi tuottaa pk-yrityksille käytännöllisiä työkaluja DPIA-työskentelyyn, tukipalveluita, tarkistuslistoja sekä selkeitä ohjeistuksia käytännön toimiin, kuten laskutukseen ja uutiskirjeiden lähettämiseen.

Ja vielä: näiden ohjeistusten pitäisi olla ymmärrettäviä aivan tavallisella arkijärjellä ilman juristin koulutusta. Siinäpä haastetta meille kaikille.

Jaanaliisa Kuoppa
Tietosuojakonsultti, GDPR Tech

Tietosuojatutkimus 2023: GDPR hyödyttää organisaatioita, mutta siihen ei panosteta riittävästi

Suomalaiset organisaatiot toteuttavat tietosuojatyötä ja noudattavat EU:n yleistä tietosuoja-asetusta, henkilötietojen suojaamiseksi. Organisaatiot myös kokevat hyötyvänsä tästä toiminnasta. Kuitenkin vain alle kolmasosassa organisaatioista harjoitellaan poikkeustilanteita.

Suomalainen yritys GDPR Tech Oy on yhdessä Garagelabs Oy:n kanssa toteuttanut vuodesta 2021 lähtien kyselytutkimuksen, joka keskittyy tietosuojan nykytilaan. Tutkimuksessa selvitetään, miten EU:n yleinen tietosuoja-asetus (EU GDPR), tietosuojalaki (TSA) tai vastaavat säännökset ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset tarjoavat ainutlaatuista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tämä data mahdollistaa tietosuojan nykytilan ja sen vastaanoton analysoinnin Suomessa. Kysely on ollut samanlainen vuodesta 2021 lähtien, jotta voimme seurata aiheen kehitystä ja muutoksia ajan myötä.

Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2023

    • Vastaajista enemmistö kokee, että GDPR sekä kansallinen tietosuojalaki, on parantanut vastaajan luottamusta hänen tietojensa käsittelyyn. Määrä on noussut vuoden 2021 71,4 prosentista vuoden 2023 78,0 % – merkittävä kasvu luottamuksen osalta.

    • Vain 60 % vastaajista kuitenkin kokee, että tietosuojasta huolehditaan riittävästi organisaatiossa

    • Erityisesti julkishallintoa, mutta myös muita sidosryhmiä, koskee tiedonhallintalaki, joka koski yli 43 prosenttia vastaajista vuonna 2023.

    • Pääosa vastaajista (yli 80 %) tietää, kuka on heidän organisaationsa tietosuojavastaava.

    • Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty, mutta silti vain noin kolmasosassa organisaatioista (vuonna 2023 31,4 %) toteuttaa niitä.


Luottamus tietojenkäsittelyyn ja hyötyjen havaitseminen ovat edelleen kasvussa

Vuonna 2023 lähes 80 prosenttia vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Tämä on kasvua vuoden 2021 71,4 prosentista vuoden 2023 78 prosenttiin.

Vastaajista yli 68 prosenttia kokee GDPR:n hyödyttävän organisaatiota. Tämä on jatkoa vuoden 2021 trendille, jossa alun perin ”GDPR kieltää kaiken” -asenteesta on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä näkyy selvästi myös vastaajien asenteissa, vaikka osa kokee edelleen GDPR:n haittana.

Kyselyyn vastaaja
Ymmärryksen puuttumisen seurauksena tehdään lukuisia turhia tietojenkäsittelysopimuksia, dokumentteja ja selvityksiä. Hyötynä näen kasvavan huomion tietosuoja-asioihin vaikkakin toimenpiteet ovat vielä pääosin tehty muodollisuuksien täyttämiseksi todellisen tietosuojan parantamisen sijasta.
Kyselyyn vastaaja
Kustannuksia syntyy ja toteutetaan tietojumppaa, digiloikkaa ja kartoituskävelyitä, mutta työ ei muutu, koska se ei voi muuttua.
Kyselyyn vastaaja
Datan käsittely on nykyään paljon järjestelmällisempää, joka on helpottanut mm. tiedon löytämistä. Haittana on dokumentointi ja tuon tiedon ylläpitäminen. Uhkana koen edelleen sen, että ihmiset eivät noudata näitä säädöksiä ja siten tulee tietovuotoja. Mahdollisuutena koen, että tiedosta yleisesti tulee paremmin järjesteltävää ja hallittavaa
Previous slide
Next slide

Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

 

Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset

 

Joka viides katsoo, että GDPR:n toteutus on pelkästään IT-osaston vastuulla

Vuoden 2021 kyselyn perusteella eri yksiköt, kuten IT, talous, HR ja lakiyksiköt, vastasivat tietosuojatyöstä. Lakiyksikön osuus tietosuojatyöhön liittyvistä asioista oli jopa kolmasosa vastaajien mukaan. Vuosien 2022 ja 2023 kyselyissä lakiyksikön osuus putosi alle 28 prosenttiin.

Vuoden 2023 kyselyssä noin viidennes vastaajista oli sitä mieltä, että GDPR oli jäänyt pelkästään IT:n vastuulle. Huolta herättää erityisesti riskienhallinta ja Vuonna 2023 havaittiinkin laskeva suuntaus, ettei riskejä ollut kartoitettu riittävästi. On myös tärkeää muistaa, että vaikka käytännön tietosuojatyötä, erityisesti teknisten suojausten osalta, tehdään pääasiassa IT:ssä, organisaation riskienhallinta ei yleisesti ottaen kuulu IT:n vastuualueisiin.

Kuva 3: Onko GDPR jäänyt vain IT:n vastuulle?

 

Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?


Huolta herättävää on myös vastaus kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi”, jossa neljäsosa vastaajista (25,5 %) vastasi kieltävästi.

”Olemme vuosien ajan tehneet organisaatioiden kanssa tietosuojan tilannekuvakartoituksia, ja tässä on nähtävissä henkilöstön tietoisuuden kasvaminen. Ihmiset ovat nyt kriittisempiä organisaation toimintatapojen suhteen ja he tuovat avoimemmin esiin havaintojaan. Erityisesti keskisuurissa yrityksissä riskienhallinta ei välttämättä kata tietosuojan riskejä osana jatkuvaa riskienhallintaa, vaan tietosuoja saattaa toimia omassa erillään olevassa prosessissaan.”

Juha Sallinen, Toimitusjohtaja GDPR Tech

Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?

Kyselyyn vastaaja
Tietoisuus tietosuojaan liittyvistä kysymyksistä on oleellisesti parantunut, prosesseja on kehitetty jne.
Kyselyyn vastaaja
Riski on vanhat järjestelmät, osittain ulkopuoliset järjestelmien käyttäjät, ihmiset eivät ymmärrä myöskään tietosuojalain tarkoitusta tai miten se vaikuttaa heidän työhönsä.
Previous slide
Next slide

 

Vähintään joka neljättä työntekijää ei perehdytetä tietosuojaan

Vastaajista hieman yli 60 prosenttia ilmoittaa, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Huolestuttavaa on kuitenkin, että vuoden 2021 hyvistä tuloksista, jolloin lähes 90 prosenttia henkilöstöstä oli koulutettu GDPR:ään liittyen, luku on laskenut 75 prosenttiin vuonna 2023. Samalla neljäsosa vastaajista ei kouluta uusia työntekijöitä tietosuojan osalta osana perehdytystä.

Osa vastaajista mainitsi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja lisäksi säännöllinen koulutus puuttuu. GDPR Techin toimitusjohtaja Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Olemme usein havainneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta sen jälkeen ei ole tapahtunut mitään. On myös yleistä, että GDPR- ja tietosuojakoulutuksia on saatavilla, mutta niiden suoritusta ei seurata.”

Kyselyyn vastaaja
Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
Kyselyyn vastaaja
GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
Previous slide
Next slide

Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

 

Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?

 

Suomalaiset organisaatiot ovat tietoisia GDPR seuraamuksista ja sanktioista

Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 100 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava luku oli noin 93 prosenttia, ja oletamme, että tietoisuuden lisääntymiseen ovat vaikuttaneet myös mediassa aika ajoin esillä olleet tietosuojarikkomuksia koskevat uutiset.

Osa heistä koki, että organisaatiot ottavat GDPR-asian nyt vakavammin, kun taas osa vastaajista koki, että asian kanssa edelleen ollaan tietämättömiä. Yksi kyselyyn vastaaja muun muassa kommentoi: ”Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.”

 

Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta.

 

Luottamus omien tietojen suojaamiseen organisaatiotasolla on yleisesti heikko

Vastaajien osalta huolestuttavaa on luottamus organisaatioiden kykyyn suojata tietoja. Kun kysyttiin, oliko vastaajat huolissaan omien tietojensa käsittelystä, vain hieman yli 50 prosenttia ilmoitti, ettei ole huolissaan. Yli 40 prosenttia vastaajista vuosina 2021–2023 kuitenkin kertoi olevansa huolissaan omien tietojensa käsittelystä. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta voimme parantaa luottamusta tietojemme käsittelyyn.

Kuva 9: Oletko huolissasi omista tiedoistasi?

 

Verkkosivujen evästeet ja kävijäseuranta ei ole kaikille selvä asia

Kysymys, jossa ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta” haettiin vastaajien tietoisuutta verkkosivujen seurantatekniikoista. Vastaukset antavat huolestuttavaa tietoa. Huolimatta evästeiden ja seurantahyväksyntöjen myöntämisestä, vastaajat ovat vähemmän tietoisia siitä, mitä verkkosivuilla tapahtuu ja siten myös vähemmän tietoisia siitä, miten heidän tietojaan käytetään.

Tämä saattaa aiheuttaa hämmennystä, sillä Suomessa esimerkiksi verkkosivujen käyttäjien seuranta kuuluu Traficomin valvontaan ja ohjeistukseen eikä Tietosuojavaltuutetulle. Monilta on mahdollisesti jäänyt huomaamatta Traficomin vuonna 2021 antamat ohjeistukset sekä Suomessa näyttää siltä, että evästeiden käsittelystä ei ole tulossa sanktioita.

Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?

Kyselyyn vastaaja
Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
Kyselyyn vastaaja
GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
Previous slide
Next slide

Tietosuojatyössä riittää edelleen kehitettävää

Kolmen vuoden aikana saadut vastaukset viittaavat siihen, että monissa organisaatioissa on toteutettu GDPR-toimia projektina, mutta nämä toimet ovat jääneet siirtämättä osaksi arkipäivän toimintaa. Vaikka GDPR on edelleen suhteellisen uusi asetus, käyttäjien tietoisuus siitä kasvaa jatkuvasti. Keskusteluissa ja mediassa käsitellään usein tietosuojalainsäädäntöä ja sen tiedottamista laajemmin.

Suomessa tiedotusvälineisiin päätyneiden tietomurtojen ja niistä seuranneiden seuraamusten määrä on ollut verrattain pieni muihin Euroopan maihin verrattuna. Silti yhä useampi kuluttaja on kuitenkin huolissaan omista tiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.

Ensimmäistä kertaa vastaajien kommenteissa nousee esiin myös tekoäly ja tiedonkäyttö – tämä oli hyvin mielenkiintoista. Vastaajien erilaiset näkemykset muistuttavat meitä projekteissa ja koulutuksissa näkemistämme haasteista. Olemme huomanneet väärinkäsityksiä aiheen suhteen, minkä vuoksi osa edelleen kokee GDPR:n ”kieltävän kaiken”.

Organisaatioissa, joissa toimintamallit on selvästi määritelty ja tietosuojatyö on osa päivittäistä toimintaa, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta ja selkeyttä. Prosessien tehostuminen ja toiminnan selkeytyminen on havaittu myös vastaajien keskuudessa. Luottamuksen merkitystä korostetaankin useissa vastauksissa – avoimuudella ja vastuullisella toiminnalla voidaan parantaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.

Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
[email protected]

Tietosuojatutkimuksen taustatiedot 2021-2023

Tietosuojaan liittyvä kyselytutkimus on toteutettu vuodesta 2021 lähtien. Vastauksia kyselyyn on pyydetty sähköpostin sekä sosiaalisen median välityksellä.

  • Vuonna 2023 kyselyyn vastasi 51 henkilöä.
  • Vuonna 2022 kyselyyn vastasi 102 henkilöä.
  • Vuonna 2021 kyselyyn vastasi 56 henkilöä.


Vastausaikaa on annettu noin 2kk ja vastaajien osalta ei suoritettu profilointia. Vastaajien profiili sekä organisaatioiden koko on säilynyt erittäin samankaltaisena ja siten tulokset ovat käytettävissä nyt jo kolmelta vuodelta. Näistä vastauksista saamme jo alkavaa suuntausta moneen kohtaan, kuten ”koulutetaanko henkilöstöä säännöllisesti” tai ”onko GDPR:stä hyötyä”.

Tuloksia käsitellään raportissa tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä 3kk kuluessa. Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset ovat raportissa listattuna, niistä kyselyn koosteessa on joitakin nostoja.

On oletettavaa, että kyselytutkimukseen vastaavien joukko edustaa henkilöitä, joita asia kiinnostaa ainakin jossain määrin. Toisaalta omasanaisista vastauksista voidaan päätellä osan suhtautuvan varsin kriittisesti tietosuojalain vaatimuksiin.

Vastaajien taustat

Vastaajien osalta organisaatioiden kokoluokan jakauma oli vastausvuosina hyvin samankaltainen. Huomattavaa on, että melkein 60 % vastaajista työskentelee organisaatiossa, joissa on yli 50 työntekijää ja vähän reilu 25 % vastaajista organisaatiossa, joissa on yli 1 000 työntekijää. GDPR asiat kiinnostavat niin pieniä kuin suuria organisaatioita. Katso kuva 1.

Kuva 1: Organisaation henkilöstömäärä

Samoin jakauma organisaation toimialan osalta oli vastausvuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Kuva 2: Yrityksen/organisaation toimiala

Vastaajien asema oli hyvin samantyyppinen jakauman osalta näinä vuosina, ja vastaajat edustavat sekä päättäjiä että työtekijöitä. Katso kuva 3.

Kuva 3: Vastaajien asema

Toimintaympäristön osalta vastaajissa oli edustettuna Suomessa toimivia, lisäksi kansainvälisesti toimivia että myös kansainvälisiä, joiden päätoimipaikka on ulkomailla. Katso kuva 4.

Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!

Lisätietoja

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
[email protected]

Tekoälyn, GPT:n ja Copilotin rooli tietosuojassa ja organisaatioiden tiedonhallinnassa

Tekoäly, tunnetaan myös nimellä AI tai tukiäly, on ollut olennainen osa monien arkipäiväistä elämää vuosien ajan, mutta ei kovin näkyvänä osana. Erilaiset tekoälyn sovellukset, kuten OCR (optical character recognition, joka muuntaa kuvat tekstiksi, ovat olleet käytössä jo pitkään. Kuitenkin varsinaisen tekoälybuumin aloitti helposti ohjattava ChatGPT (Generative Pre-trained Transformer), joka toimii kehotteiden avulla. Sen yksinkertaistettu perusidea perustuu laajaan kielimalliin (Large Language Model, LLM), joka kerää valtavan määrän tekstiaineistoa ja oppii sen perusteella tunnistamaan tekstissä esiintyviä riippuvuuksia. Kun käyttäjä antaa kehotteen, esimerkiksi ”Voisitko tiivistää Suomen vuodenajat?”, kielimalli hakee tekstistä avainsanoja ja ymmärtää aiheen. Sisällön ymmärtäminen on yksi osa vastauksen tuottamista ja perustuu ennustukseen siitä, mitkä sanat ovat todennäköisimpiä seuraaviin sanoihin tai lauseisiin liittyen. Esimerkiksi alussa mainittu OCR, kuvasta tekstiksi tunnistaminen, toimii paljon rajatummalla toiminta-alueella ja on toiminnekohtainen sovellus.

Tekoälyn käytön turvallisuus ja tietoturvahaasteet

Julkisesti saatavilla olevat tekoälyt, kuten Google Bard, OpenAI:n ChatGPT ja monet muut, oppivat jatkuvasti käyttäjiensä syötteiden perusteella. Tämä tarkoittaa, että jos syötät tällaisiin palveluihin esimerkiksi taloudellisia tietojasi, on mahdollista, että ne tallentuvat järjestelmään ja voivat olla saatavilla muillekin. Tällaisia tietoturvahaasteita on esiintynyt useita kertoja, kuten Samsungin insinöörien tapaus, kun he pyysivät ChatGPT:tä analysoimaan ohjelmiston lähdekoodia. OpenAI, ChatGPT:n kehittäjäorganisaatio, muistuttaa käyttäjiä siitä, että arkaluonteista tai luottamuksellista tietoa ei tule jakaa ChatGPT:n kanssa. Käytön helppous ja esimerkiksi ChatGPT:n mahdollisuudet ohittivat Samsunginkin tapauksessa ohjeistukset ja tietoturvallisen käytön.

Tekoälyn avulla kuitenkin voidaan tehostaa rutiininomaisia töitä, suorittaa erilaisia testauksia ja saada tukea esimerkiksi ohjelmistokehitykseen. Kuitenkin lopputuloksen taso voi vaihdella suuresti eri sovelluksissa. Kuvien tuottamisessa on edelleen haasteita, esimerkiksi henkilön kädessä voi olla kuusi sormea ja kuvassa pyydetty teksti ”Yritys XYZ” saattaa näkyä epätarkkana tai virheellisenä.

Erityinen haaste LLM-kielimallien kohdalla liittyy siihen, millaisella aineistolla malli on koulutettu. Jos koulutusaineisto koostuu julkisesti saatavilla olevasta Internet-tietomassasta, se sisältää väistämättä myös virheellistä tai epätarkkaa tietoa. Tämä herättää pohdintaa siitä, mitä tapahtuisi, jos malli olisi koulutettu tai käyttäisi ainoastaan organisaation sisäistä tietoa?

Sisäiseen käyttöön tarkoitetut tekoälyratkaisut

Onko mahdollista rajoittaa kielimalli ja liittyvää tietoaineistoa vain sisäiseen käyttöön ja hyödyntää ainoastaan organisaation sisäisiä tietoresursseja? Tällaiset ratkaisut kehittyvät nopeasti ja esimerkiksi Microsoftin vastaus tähän haasteeseen on Copilot. Lisensoitu käyttäjä voi hyödyntää organisaation omaa dataa Copilotin avulla, mahdollistaen tehokkaat haut tiedoista ja datan uudelleenmuokkaamisen omiin tarpeisiinsa.

Kuva: Copilot 365 Fabrikam (lähde: How Copilot for Microsoft 365 works video, YouTube)

Sisäiseen tietoon liittyvät riskit: käyttöoikeudet, sisältö ja ajantasaisuus

Mitä tapahtuu, jos organisaation tiedonhallinta ei olekaan kunnossa? Voiko käyttäjä esimerkiksi päästä käsiksi tietoon, johon hänellä ei pitäisi olla pääsyä, jos pääsynhallintaa ei ole asianmukaisesti varmistettu? Vastaus on usein kyllä ja se on tarkoituksellista tässä tapauksessa, sillä tietoa on tarkoitus hyödyntää. Ongelmana on kuitenkin usein se, että käyttöoikeuksia ei ole varmistettu asianmukaisesti ja Microsoft 365:sta löytyy tarpeettomia pääsyjä tai käyttäjiä, jotka voivat kuulua jopa satoihin eri ryhmiin, mikä saattaa johtaa tahattomiin tietoturvariskeihin.

Entä jos tietoa on tallennettu väärään paikkaan? Esimerkiksi työtodistukset ovat päätyneet liikunnanohjaajien sivustolle HR-ohjelmiston sijaan. Hyvinvointialueet ovat eriytyneet ja dataa on jäänyt taakse, mukaan lukien potilaslistoja. Tai organisaation esittelyaineistossa on satoja henkilötunnuksia teknisen tiedonlinkityksen vuoksi. Myyntimateriaalin kansiosta löytyy myyjän avioliittoon liittyviä asiakirjoja, kuten avioehto ja testamentti. Valitettavasti nämä ovat vain muutamia esimerkkejä siitä, mitä löydämme organisaatioiden tietoaineistoista. Puhumattakaan tuhansista tai kymmenistä tuhansista dokumenteista sisältäen henkilötunnuksia.

Ja entäpä jos aineisto on erittäin vanhaa? Onko meillä edes käsittelyperustetta tällaiselle tiedolle? Monissa organisaatioissa on ohjeita siitä, kuinka vanhaa tietoa saa säilyttää. Ongelmana on kuitenkin se, että näitä ohjeita ei usein valvota tai hallita asianmukaisesti. Niinpä esimerkiksi palkkalaskelmia voi olla tallennettuna vuodesta 1991 lähtien ja ne ovat yhä saatavilla. Tai yhteystietolista voi olla peräisin yli 30 vuoden takaa.

Organisaation tiedonhallinnan tehostaminen: toimenpiteet, vinkit

Varmista, että organisaatiossasi olevat tiedot ovat ajan tasalla ja asianmukaisesti suojattuja. Ota myös huomioon, että tiedon tallennusaikataulu vastaa suunniteltua. Tässä tiivistettynä toimenpiteet, joita sinun kannattaa seurata:

  1. Ymmärrä tiedostojen nykyiset käyttöoikeudet.
  2. Varmista käyttäjäryhmät ja niiden pääsyoikeudet.
  3. Tarkista erityisesti henkilökohtaisten tietojen tallennus ja aloita tiedonhallintatoimet, mukaan lukien tarpeettoman tiedon poistaminen tai arkistointi.
  4. Käy läpi mahdolliset tekijänoikeuslain vastaiset videot tai muut mediat ja poista ne.
  5. Raportoi mahdolliset vakavat poikkeamat organisaation tietosuojavastaavalle tai tarvittaessa kansalliselle Tietosuojavaltuutetun toimistolle.
  6. Korjaa havaitut poikkeamat ja varmista niiden korjaaminen.
  7. Laadi tiekartta, joka perustuu organisaatiosi nykytilanteeseen ja suunnittele tiedonhallinnan toimenpiteet seuraaville vuosille.
  8. Poista tarpeeton tietoaineisto.
  9. Ota toimet osaksi normaaleja prosesseja ja jatka niiden hallintaa
  10. Pidä organisaation yksiköt, johto ja tietosuojavastaava tietoisina prosessimuutoksista.

Copilot for Microsoft 365 – toimenpiteet ennen käyttöönottoa työpaja

Lisäksi voit helpottaa toimia tilaamalla GDPR Techin ”Copilot ja AI Microsoft 365 ympäristössä – kartoitus ja toimenpiteet ennen käyttöönottoa” -työpajan.

Kysy lisätietoja tästä!

GDPR Tech sponsoroi suomalaisia laskettelijanuoria – unelmista totta

Haastattelussa Max ja Saana

GDPR Tech haluaa tukea suomalaisissa nuoria urheilijoita ja tällä kertaa sponsoroinnin kohteeksi valittiin kaksi lupaavaa suomalaista laskettelijaa, Max ja Saana. Nuorten sponsorointi ja tukeminen mahdollistaa nuorten urheilijoiden unelmat laskettelun parissa. GDPR Techin toimitusjohtaja Juha, joka itsekin on intohimoinen mäenlaskija, kertoo, että nuorten tukeminen on heille sydämen asia. Tässä haastattelussa Max ja Saana kertovat heidän matkastaan ja tavoitteistaan laskettelun parissa.

Kuvassa: Saana Heikkinen

Miten päädyitte laskettelun pariin ja miten intohimonne lajiin alkoi?

Max: ”Aloin jo nuorena laskemaan – äiti ja isä ovat tuoneet minut mukanaan rinteisiin, koska koko perhe harrastaa laskettelua. Jäin sille tielle ja laskettelu on nyt pysyvä osa elämääni.

Saana: ”Äitini on lasketellut vapaa-ajallaan koko elämänsä ja minut vietiin ensimmäistä kertaa rinteeseen jo 1-vuotiaana. Äitini kaverin lapset harrastavat myös, joten se oli tuttu juttu meille. Nykyään treenaan Rukan Alppikoulun kanssa Kuusamossa.”

Millaisia ovat olleet tähänastiset suurimmat saavutuksenne laskettelussa?

Max: ”Joka kerta, kun pääsen mäkeen, on ilon hetki. Isoja saavutuksia laskettelun parissa on esimerkiksi Freestylehiihdon half pipen SM-kultamitali ja viime vuonna sain pronssia sekä slopestylesta että big airista.”

Saana: ”Minulle toi voimaa ja onnistumisen tunteen, kun vuonna 2021 Levillä SM-kisoissa ensimmäinen laskuni epäonnistui, mutta toisella yrityksellä olin neljänneksi nopein. Valitettavasti vuonna 2022 koin loukkaantumisen, mutta nyt olen päässyt kokemaan onnistumisen tunteita ja joka viikko treeneissä. Voimatasot ovat nousseet ja laskeminen sujuu jo nopeammin.”

Miten olette valmistautuneet ja harjoitelleet tullaksenne paremmiksi laskettelijoiksi?

Max: ”Ohjattua treeniä minulla on kahdesti viikossa, mutta laskettelen lähes joka päivä. Osallistun Moebius Freestylen-ohjattuihin treeneihin, joissa saan vinkkejä ja neuvoja siitä, mitä ja miten kannattaa harjoitella. Talvisin osallistun myös Ruka Freeski Academy -yläkoululeireille, jotka tarjoavat valmennusta paremmissa rinteissä. Kilpailuihin valmistautuessa en tee treenejä eri tavalla, vaan keskityn oppimaan uusia asioita ja varmistamaan, että osaan vanhat temput todella hyvin.”

Saana: ”Fysioterapeutti laatii minulle viikko-ohjelman, joka vaihtelee paljon. Kilpailukauden ulkopuolella keskityn voimaharjoitteluun ja nopeuden parantamiseen. Treenaan 5–6 kertaa viikossa ja 1–2 kertaa päivässä. Teen siis yhteensä 6–10 treeniä viikossa, joista 4–5 on rinteessä. Onnistumiset ovat minulle suuri motivaatio ja rakastan sitä, mitä teen – siksi jaksan treenata.”

Minkälaiset ovat tavoitteenne ja unelmanne laskettelun suhteen tulevaisuudessa?

Max: ”Tällä kaudella tavoitteenani on osallistua erilaisiin kisoihin muun muassa Ruotsissa. Toivon myös pääseväni eurooppalaisiin kisoihin ensi kaudella.”

Saana: ”Tällä kaudella tavoitteenani on suoritusvarmuus kisoissa, näyttää omaa hyvää tekemistäni ja kasvattaa luottoa omaan suoritukseeni. Unelmani tulevaisuudessa on päästä maajoukkueeseen ja mennä vieläkin pidemmälle.”

Mitä neuvoja antaisitte nuorille, jotka unelmoivat laskettelun ammattilaisuudesta?

Max: ”Tärkeintä on, että laskettelee ja nauttii siitä. Ei tarvitse koko ajan yrittää oppia uusia temppuja, vaan vanhoja temppuja kannattaa harjoitella hyvin. Vaikka ei asuisi lähellä suuria laskettelukeskuksia, kannattaa silti käydä rinteillä. Laskeminen kavereiden kanssa ja toistenne tukeminen voi auttaa saavuttamaan parempia tuloksia.”

Saana: ”Sinun on uskottava omaan tekemiseesi. Elämässä ja urheilussa tulee vastoinkäymisiä, mutta niistä selviää, kun oma pää on kunnossa ja sinulla on oikeat ihmiset ympärilläsi. Pikkuhiljaa kaikki palaset loksahtelevat paikoilleen, ja oma tekeminen kehittyy. Usko itseesi.”

Miten tuki GDPR Techiltä on vaikuttanut uraanne ja elämäänne yleisesti?

Max: ”Sponsorointi on ollut iso apu, sillä laskettelu on kallis laji ja varusteisiin kuluu paljon rahaa. Nyt GDPR Techin tuen ansiosta minulla jää enemmän mahdollisuuksia esimerkiksi ulkomaan kilpailuihin.”

Saana: ”Sponsorointi ja siten myös GDPR Techin tuki tekee koko lajin mahdolliseksi. Ilman sponsoreja ja tukea ei olisi mahdollista harrastaa ja tehdä sitä, mitä rakastaa.”

Kuvassa: Max Sallinen

Lisäksi, kun kysyimme Maxilta ja Saanalta tietosuoja-asioista, he kertoivat asian olevan, jota kuinkin tuttu heille. Molemmat painottivat muun muassa turvallisesta verkossa toimimisesta ja Saana kertoi salasanojen sekä kaksivaiheisen tunnistuksen tärkeydestä.

GDPR Tech on ylpeä voidessaan tukea Maxin ja Saanan unelmia laskettelun parissa. He ovat loistavia esimerkkejä nuorista, jotka ovat omistautuneet intohimoisesti lajiinsa ja joilla on kirkkaat tavoitteet tulevaisuudessa. Toivotamme Maxille ja Saanalle tsemppiä ahkeraan harjoitteluun sekä hyvää menestystä kisakauteen!

Laita kumpikin urheilija Instagramissa seurantaan:

Max Sallinen

Saana Heikkinen

Tämä sinun on tiedettävä EU:n ja USA:n uudesta tietosuojasopimuksesta!

Kerroimme heinäkuussa kuinka, Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen Euroopan Unionin (EU) ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös Data Privacy Framework (DPF) sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin niiden toimijoiden välillä, jotka ovat DPF:n piirissä.

Mutta mitä ”siirto” todella tarkoittaa? Voimmeko nyt luotettavasti käyttää yhdysvaltalaisia palveluntarjoajia? Ja kuinka tunnistaa, kuuluuko jokin toimija DPF-sopimuksen piiriin? Tässä artikkelissa käymme läpi nämä kysymykset ja tarjoamme selkeitä vastauksia.

Termit tutuiksi – mitä tarkoittavat henkilötiedot ja henkilötietojen käsittely?

Ennen tarkempaa syventymistä itse aiheeseen ja henkilötietojen siirtoon, on hyvä täsmentää, mitä henkilötiedot ja henkilötietojen käsittely tarkoittavat. Suomen tietosuojavaltuutetun toimisto ohjeistaa lyhyesti: ”Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi nimi, puhelinnumero ja sijaintitiedot. Lisäksi suuri joukko muuta tietoa voidaan lukea henkilötietojen alle, kuten asiakas-ID ja IP-osoite.”

Henkilötietojen käsittely puolestaan tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Henkilötietojen siirtoa ja siirtoon liittyviä termejä sekä prosesseja avataan ja käsitellään myöhemmin tässä artikkelissa.

Tietosuojalainsäädäntö koskee sinua ja organisaatiotasi

Tietosuojalainsäädäntö ja tietosuojalaki koskee käytännössä kaikkia organisaatiota, joilla on jäseniä, asiakkaita tai työntekijöitä, koska tällöin organisaatio käsittelee henkilötietoja tai henkilöön liittyviä asioita. On yksin organisaation vastuulla huolehtia niin omalta kuin yhteistyökumppaneiden osalta henkilötietojen lainmukaisesta käsittelystä. Yhteistyökumppaneiden, toimittajien ja alihankkijoiden kohdalla kannattaa varmistaa sopimuksilla, että myös kumppanit toimivat lainmukaisesti.

Suomessa on kuitenkin edelleen hyvin yleistä, että organisaatiot eivät tunnista EU:n yleisen tietosuoja-asetuksen koskevan myös heitä. Suomen Yrittäjät teetti helmikuussa 2022 tutkimuksen, jonka yhtenä aiheena käsiteltiin henkilötietoja. Tutkimuksessa kysyttiin muun muassa ”Käsitteleekö yrityksesi henkilötietoja?” ja huimat 40 % 1 049 vastaajasta vastasi, ettei käsittele tai ei ainakaan tiedä käsittelevänsä niitä.

Kuva 1. Suomen Yrittäjät tutkimuksen kysymyksen ”Käsitteleekö yrityksesi henkilötietoja?” vastaus.

Kuva 1. Suomen Yrittäjät tutkimuksen kysymyksen ”Käsitteleekö yrityksesi henkilötietoja?” vastaus.

Digitaalinen kehitys on muokannut tietosuojavaatimuksia erilaisiksi eri maissa

Viimeisen 30 vuoden aikana digitaalinen maailma on kokenut huimaa muutosta, mikä on vaikuttanut myös tietosuojalainsäädäntöön eri maissa. Vuonna 1995 Eurooppa otti käyttöön ensimmäisen tietosuojadirektiivin, kun digitaalinen maailma oli vasta heräämässä: Internet oli tuore ilmiö ja käytössä oli ohjelmistoja kuten Windows 95.

Tämä direktiivi tarjosi jäsenvaltioilleen mahdollisuuden soveltaa tietosuojaa eri tavoin kansallisella tasolla. Suomessa tästä seurasi Henkilötietolaki (523/1999), kun taas esimerkiksi Englannissa tulkinta oli tiukempi ja mahdollisti jopa 500 000 punnan sakot. Vaikka Pohjoismaissa, kuten Suomessa, henkilötietolain tausta-ajatus olikin kunnianhimoinen, sakkoja ja sanktioita ei käytännössä jaettu.

Vuoden 1995 jälkeen tietosuojan maisema on muuttunut moninaiseksi. Kanada on esimerkiksi ollut edelläkävijä henkilötietojen suojassa Pohjois-Amerikassa, ja maa on ottanut useita askelia varmistaakseen kansalaistensa tietosuojaoikeudet. Euroopassa puolestaan astui vuonna 2016 voimaan EU:n yleinen tietosuoja-asetus (GDPR), jota alettiin soveltaa kahden vuoden siirtymäajan jälkeen. Tämä asetus yhdenmukaisti tietosuojalainsäädäntöä EU:n sisällä merkittävästi. Kuten aiemmassa direktiivissä, henkilötietojen siirto Euroopan Unionin ja Euroopan talousalueen ulkopuolelle sallitaan vain, jos EU:n komissio on myöntänyt kyseiselle maalle niin sanotun vastaavuuspäätöksen.

Euroopan ja Yhdysvaltojen välinen tietosuoja taival tähän päivään

Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbor kumottiin vuonna 2015. Sen tilalle astui vuotta myöhemmin Data Privacy Shield, joka asetti organisaatioille tietyt vaatimukset tietosuojasta. Vaikka organisaatioiden oli määrä noudattaa näitä vaatimuksia, todellisuus ei aina vastannut näitä säännöksiä. Vuonna 2020 Privacy Shield -sopimus kumottiin, sillä oli huolta siitä, että Yhdysvaltojen viranomaiset voivat saada liian vapaasti pääsyn eurooppalaisten henkilötietoihin.

Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuussa 2023 uusi EU-US Data Privacy Framework otettiin käyttöön, määritellen säännöt tietojen siirrolle. Sopimuksen piiriin kuuluvien toimijoiden, jotka ovat DPF:n hyväksyntälistalla, katsotaan tarjoavan riittävän tietosuojan. Kuitenkin uhkakuvana on mahdollisuus, että DPF voidaan kumota, mikäli Yhdysvaltojen presidentti vaihtuu tai jos NOYB, Max Schremsin johtama Euroopan digitaalisten oikeuksien keskus, haastaa sen. Molemmat skenaariot palauttaisivat tilanteen kolmen vuoden takaiseen.

NOYB kommentoi vuonna 2023: ”Uusi ’Trans-Atlantic Data Privacy Framework’ on käytännössä kopio vuoden 2016 Privacy Shield -sopimuksesta, joka puolestaan perustui vuoden 2000 ’Safe Harbor’ -sopimukseen. Koska nämä aiemmat lähestymistavat ovat jo kahdesti epäonnistuneet, uuden sopimuksen juridista pohjaa voidaan pitää kyseenalaisena. Sopimuksen olemassaolo perustui lähinnä poliittiseen logiikkaan.”

Milloin ja miten siirrän tietoja ulkomaille?

Tietojen siirtäminen ulkomaille saattaa tapahtua huomaamattasi. Tietosuojavaltuutetun määritelmän mukaan ”siirron käsite” voi olla monitahoinen ja aiheuttaa väärinkäsityksiä. Käytännössä, kun käytät yhdysvaltalaista pilvipalvelua, saatat jo siirtää henkilötietoja Yhdysvaltoihin. Mielenkiintoinen yksityiskohta on, että pelkkä etäyhteyden mahdollisuus Yhdysvalloista käsin katsotaan tietojen siirroksi.

Euroopan tietosuojaneuvoston (EDPB) mukaan: ”Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolelle on usein tarpeellista kansainvälisissä liiketoimissa. Esimerkiksi pienet ja keskisuuret yritykset saattavat jakaa henkilötietoja liikekumppanien tai toimittajien kanssa, jotka sijaitsevat ETA:n ulkopuolella.” Tämän vuoksi yhteistyö suurten toimittajien, kuten Oracle, Microsoft ja Google, kanssa voi merkitä tietojen siirtoa Yhdysvaltoihin. Keskeistä on tunnistaa ja varmistaa, ettei tietojen käsittely riko tietosuojaan liittyvää lainsäädäntöä, erityisesti kun tietoihin pääsy etäyhteydellä on mahdollista Yhdysvalloista.

Arkkitehtuurin ja sopimusten merkitys henkilötietojen siirtoriskien hallinnassa

Arkkitehtuurikuvaukset ja järjestelmien sopimusarkistot, erityisesti tietojenkäsittelysopimukset (Data Processing Agreement – DPA), ovat korvaamattomia työkaluja henkilötietojen siirtojen hallinnassa. Tällaisilla kuvausmenetelmillä voidaan esimerkiksi havainnollistaa työnhakuprosessiin liittyviä järjestelmiä ja niiden yhteyksiä. Vaikka kuvaustapoja on useita, niiden avulla voidaan tehokkaasti ymmärtää toimittajien sijainnit ja niiden mahdolliset yhteydet muihin järjestelmiin. Jos esimerkiksi verkkosivusi on rakennettu suomalaisen toimittajan toimesta, mutta se toimii teknisesti Amazon AWS:n pilvipalvelussa, saattavat tiedot siirtyä Yhdysvaltoihin.

Kuva 2. Esimerkki prosessikuvauksesta

Kuva 2. Esimerkki prosessikuvauksesta

Tarkastelemalla järjestelmien arkkitehtuurikuvauksia ja niiden toimittajalistaa voidaan selvittää mahdolliset riskikohdat ja henkilötietojen siirtoon liittyvät seikat. On olemassa myös automatisoituja työkaluja, jotka auttavat hahmottamaan järjestelmien ja palveluiden rakenteita, olivatpa ne sitten omalla palvelimella tai pilvessä.

Alla oleva esimerkkikuva esittää suomalaisen yrityksen verkkosivuihin liittyviä toimittajia ja palveluita. Vaikka verkkosivujen tekninen alusta olisi yhden palveluntarjoajan hallussa, muut palvelut, kuten asiakkuudenhallintajärjestelmä Hubspot, Cookiebot sekä kolmannen osapuolen palvelut, kuten Facebook ja Google, voivat olla osa verkkosivun ekosysteemiä. Arkkitehtuurikuvaukset ja analyysit siis auttavat tunnistamaan ja varmistamaan, mihin tietoja todellisuudessa siirretään ja mitä seurauksia tällä voi olla tietosuojan näkökulmasta.

Kuva 3. Esimerkki verkkosivujen toimittajakuvauksesta

Kuva 3. Esimerkki verkkosivujen toimittajakuvauksesta

Tietojen käsittelyn tarkistuslista

Vaikka toimittajiin ja sopimuksiin on tärkeää luottaa, organisaatioilla on myös oma vastuunsa. Kun tarkastellaan olemassa olevia järjestelmiä, on tärkeä tarkistaa seuraavat kohdat:

  1. Käsiteltävät tiedot:
    • Mitä tietoja käsitellään?
    • Liittyykö käsittelyyn riskejä yksilölle?
    • Käsitelläänkö erityisiä henkilötietoryhmiä eli sensitiivisiä tietoja? Tällöin tietojen käsittelyssä on oltava erityisen varovainen.
  2. Tietojenkäsittelysopimus (DPA):
    • Onko toimittajan kanssa solmittu tietojenkäsittelysopimus?
  3. Toimittajan sijainti:
    • Missä maassa toimittaja sijaitsee?
    • EU:n sisällä tietojen siirto on yleensä laillista, kunhan kohdemaan tietosuojataso on riittävä EU GDPR:n mukaisesti.
  4. Toimittaja EU:n ulkopuolella:
    • Onko kohdemaalle myönnetty päätös tietosuojan riittävyydestä? Katso lista maista!
    • Jos riittävyyttä koskevaa päätöstä ei ole, onko käytössä muita asianmukaisia suojatoimenpiteitä? Esimerkkejä näistä:
      • Sitovat yrityssäännöt
      • Euroopan komission hyväksymät vakiosopimuslausekkeet
      • Sertifiointimekanismit
    • Erikoistapauksissa saattaa olla mahdollista käyttää poikkeuksia, kuten yksilön antamaa suostumusta.

Tämän listauksen avulla voit helposti varmistaa, että organisaatiosi tietojen käsittely noudattaa voimassa olevia tietosuojalakeja ja -säädöksiä.

Maat, jotka ovat saaneet EU:n tunnustuksen tietosuojan riittävyydestä

Euroopan komissio on tunnustanut seuraavat maat ja alueet tarjoamaan riittävää tietosuojaa GDPR:n mukaisesti syyskuussa 2023. Nämä maat ja alueet ovat saaneet hyväksynnän siitä, että ne tarjoavat riittävän tason tietosuojan Euroopan unionin standardien mukaisesti:

• Andorra
• Argentiina
• Kanada (kaupalliset organisaatiot)
• Färsaaret
• Guernsey
• Israel
• Mansaari
• Japani
• Jersey
• Uusi-Seelanti
• Etelä-Korea
• Sveitsi
• Iso-Britannia
• Yhdysvallat (kaupalliset organisaatiot, jotka ovat liittyneet DPF-sopimuksen alaisuuteen)
• Uruguay

Vinkit tehokkaaseen tietosuojatyöhön

• Varmista toimijan asema DPF-listalla.
• Pidä silmällä toimijoiden listaa säännöllisesti, sillä sen sisältö päivittyy ja muuttuu
• Jatka DPIA:n (Data Protection Impact Assesment) ja TIA:n (Transfer Impact Assessment) toteuttamista. Laadi suunnitelma ja harkitse varasuojatoimia mahdollisen DPF:n kumoamisen varalle.
• Merkitse DPIA:han DPF:n voimassaolon ajankohta ja määritä itsellesi aikataulu sen tarkistamiselle. Jos toimittajasi ei uusi DPF-osallistumistaan, toimintasi voi olla ristiriidassa vaatimusten kanssa.

Esimerkki:
Verkkosivullasi näkyvät videot pyörivät teknisesti Vimeo-alustan kautta. Tarkastaessasi Vimeon tilaa DPF-hyväksyntälistalta, huomaat, ettei toimija ole aktiivinen jäsen. Käytön jatkamista on siis syytä punnita tarkkaan ja voi olla järkevää harkita toisen alustan käyttöönottoa. Huomio: Jos et löydä toimittajaa aktiivisista jäsenistä, älä unohda tarkistaa myös ei-aktiivisten listaa.

Tietosuojan jatkuva merkitys organisaation toiminnoissa

Tietosuojan vaatimukset edellyttävät jatkuvaa valppautta ja säännöllisiä tarkastuksia. Olipa tietosuojavastaava sisäinen tehtävä tai ulkoistettu, hänen vastuullaan on varmistaa tietosuojan noudattaminen kaikissa organisaation osa-alueissa, erityisesti hankinnoissa ja IT-toiminnoissa. DPF-sopimuksen mahdollinen kumoaminen tulevaisuudessa korostaa sopimusten ajantasaisuuden ja vaikutustenarviointien (DPIA) merkitystä.

Tehokkain tapa vähentää riskejä on integroida tietosuojanäkökulma organisaation perusprosesseihin, kuten hankintoihin. Tämä varmistaa, että mahdolliset riskit, olivatpa ne sitten toimittajaan tai alustaan liittyviä, havaitaan ajoissa.

Artikkeli julkaistiin Sytyke-lehdessä lokakuussa 2023.
Artikkelin kirjoitti Juha Sallinen.

Uusi tietosuojasopimus EU:n ja Yhdysvaltojen välille

Tietosuojataikurin hatusta kani – Data Privacy Framework

Heinäkuussa koimme varsinaisen yllätyksen, kun tietosuojataikuri esitteli Data Privacy Framework (DPF) sopimuksen kuin kanin hatustaan. DPF-sopimus korvaa vuonna 2020 kumotun Privacy Shield -sopimuksen henkilötietojen siirrosta Euroopan ja Yhdysvaltojen välillä.

Euroopan komission riittävyys päätös

Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös eli DPF-sopimus sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin, mutta päätöksellä on suora vaikutus vain niihin käyttämiisi toimittajiin, jotka ovat liittyneet DPF:ään. Sopimus koskeekin siis vain niitä yhdysvaltalaisyrityksiä, jotka ovat sitoutuneet tietosuojakehykseen ja sen mukaisiin suojatoimiin. Sopimus ei koske yhdysvaltalaisia yrityksiä, jotka eivät ole liittyneet DPF:ään.

Miten tähän päädyttiin?

Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbour kumottiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Privacy Shield. Privacy Shield sopimuksen mukaan organisaatioille laitettiin vaatimuslista, johon heidän piti vastata, enemmän ja vähemmän todellisuuden mukaisesti. Kuitenkin jo vuonna 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Yhdysvaltojen viranomaiset pääsivät tai saattoivat vaatia pääsyä tietoihimme. Klikkaa tästä ja lue lisää sopimusten historiasta!

Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuusta 2023 alkaen EU-US Data Privacy Framework toimii virallisena sopimuksena koskien tietojen siirtoa. Sopimuksen mukaan ne toimijat, jotka ovat DPF:n hyväksyntälistalla aktiivisia, ovat riittäviä suojaamaan tietojamme.
Riski on kuitenkin olemassa, että asetus kumotaan, jos Yhdysvalloissa presidentti vaihtuu tai Max Schremsin johtama NOYB (Euroopan digitaalisten oikeuksien keskus) haastaa DPF:n. Kumpi tahansa tapahtuma johtaisi takaisin kolmen vuoden takaiseen tilanteeseen.

Ota nämä seikat huomioon omassa tietosuojatyössä

  • Tarkista huolellisesti toimijan DPF-listalla olo tästä!
  • Varmista toimijan tai palvelutuottajan aktiivisuus sekä voimassaoloaika.
  • Älä lopeta DPIA työtä!
  • TIA:n suhteen käytä aika pääosin DPIA ja riskien hallitsemiseen. Varaudu, että DPF voi kumoutua ja siten palataan taas siirtojen arviointiin (TIA). Jos DPF kaatuu, mieti mitä suojatoimia teillä voisi olla käytettävissä?
  • Seuraa tilannetta meidän kanavillamme.

Miten mitata tietosuojakoulutuksen vaikutusta ja kustannustehokkuutta organisaatioissa?

Tietosuojakoulutusten merkitys organisaatioille on avainasemassa alati kehittyvässä lain säädännössä ja liiketoimintaympäristössä. Koulutusten kustannuksista ja vaikutuksista huolehtiminen on äärimmäisen tärkeää, mutta myös modernien ratkaisujen, kuten verkko-oppimisen hyödyntäminen voi tuoda organisaatiolle uusia mahdollisuuksia menestyä GDPR:n aikakaudella. Juha Sallinen Kouluttaja GDPR Tech

Koulutus – se kauan keskusteltu aihe, joka on kuin kaksiteräinen miekka organisaatioiden arjessa. Koulutuksia tulee järjestää, jotta henkilökunnan ammattitaito pysyy ajan tasalla sekä kehittyy, mutta moni organisaatio pohtii miten ja kuinka usein koulutuksia tulisi järjestää? Mikä on se tavoitetaso, jolle esimerkiksi koko henkilöstön koulutuksilla pitäisi päästä ja miten sitä mitataan? Entä miten voisi arvioida koulutuksen vaikutusta suhteessa kustannuksiin? Kokenut kouluttaja, konsultti ja yrittäjä pohdiskelee nyt, kuinka esimerkiksi GDPR Techin järjestämät koulutukset ovat todella vaikuttaneet organisaatioiden henkilökunnan osaamiseen ja mikä koulutusten todellinen arvo on.

Aseta selkeät tavoitteet

Kouluttajana on hienoa saada hyvää palautetta koulutusten jälkeen ja kuulla, että asiakasorganisaatio on tyytyväinen koulutukseen tai että organisaatiossa on oivallettu jotain uutta: ”Koulutuksen jälkeen istuimme alas ja mietimme tietosuojan osalta, miten prosesseja pitäisi muuttaa organisaatiossamme turvallisemmiksi”. Ideaali tilanne olisi kuitenkin, että tietäisimme henkilökunnan lähtötason ja voisimme verrata oppimista ennen ja jälkeen koulutuksen. Nimittäin jo pienellä kyselyllä voimme todentaa oppimista ja koulutuksen suoraa vaikutusta henkilökunnan osaamiseen.

Suosittelemme, että heti alkuun organisaatio valitsee tavoitetason, joka halutaan saavuttaa esimerkiksi tietosuojaan liittyvissä kysymyksissä. Eri henkilökunnan jäsenille on myös hyvä olla eri tavoitteet. Esimerkiksi johdolle ja esihenkilöille on usein järkevää järjestää täsmäkoulutuksia, jotka auttavat ymmärtämään syvällisemmin tietosuojaan liittyviä vastuita ja velvoitteita. On myös suositeltavaa, että esihenkilöillä on laajempi ymmärrys aiheesta, jotta he osaavat asian tiimoilta tukea muuta henkilökuntaa ja vastata aiheeseen liittyviin mahdollisiin käytännön kysymyksiin.

Mittaa koulutuksen vaikuttavuus

Teimme keväällä yhteistyökumppanimme kanssa parannuksia vuoden 2023 GDPR Tech koulutuksiin ja nyt sähköisissä koulutuksissamme mitataan aina lähtötilanne sekä lopputilanne. Näin saamme suoraa palautetta siitä, miten koulutus on vaikuttanut ja voimme raportoida tuloksia asiakasorganisaatioiden johdolle.

Eräässä tietosuojakoulutuksessamme lähtötason mittaus näytti seuraavalta:

Koulutuksen jälkeen osallistujien taso näytti parantuneen huomattavasti:

Mittaamisen ansioista voimme todeta tietosuojan osaamisen kohentuneen ja koulutuksen toimineen. Lisäksi koulutuksen ansioista voidaan puuttua suoraan sellaisiin asioihin, jotka mahdollisesti kaipaavat lisätäsmennystä.

Esimerkiksi organisaatio voi koulutuksen vastausten perusteella täsmentää omia ohjeitaan henkilökunnalle: ”Kiitos kaikille kurssille osallistuneille. Haluamme täsmentää, että toivomme kaikkien henkilökunnan jäsenten ottavan aina yhteyttä organisaation IT tukeen kollegan sijaan.”

Perinteinen vs. Verkko-Oppiminen

Mutta miten hoitaa laajemman henkilöstön koulutus? Perinteinen koulutus vaatii usein henkilöstön fyysistä läsnäoloa, tallenteiden käyttöä poissaolijoiden varalle ja vaikutus voi olla vaikeasti mitattavaa. Myös kustannukset ovat usein organisaatiolla suuria. Puolestaan verkko-oppiminen on osoittautunut huomattavan joustavaksi vaihtoehdoksi, koska voidaan varmistaa, että jokainen osallistuja voi liittyä koulutukseen itselleen sopivana ajankohtana. Verkko-oppiminen tarjoaa joustavuutta sekä selkeitä mittareita, kuten kurssin suoritusajan mittaamista ja mahdollisten testien tuloksia. Suuremmille tiimeille ja nykyaikaisille haasteille suosittelenkin moderneja ratkaisuja.

Esimerkki organisaation kustannukset

Otetaan esimerkiksi tähän 200 hengen organisaatio, jolle järjestetään tietosuojakoulutus. 20 hengen johdolle ja esihenkilöille pidetään oma täsmäkoulutus, jossa heille korostetaan muun muassa heidän vastuitansa sekä velvoitteita. Lopulle 180 työntekijälle pohditaan mikä koulutusmuoto olisi kustannustehokkain ja vaikuttavin? Erilaisten koulutusten vertailun lähtökohtana voisi toimia aika, joka työntekijällä menee suoritukseen ja koulutuksen kokonaiskustannus. Oletetaan, että työntekijän kustannus organisaatiolle on 60 €/h keskimäärin.

  • Koulutus A on ilmainen ja sen ilmoitettu kesto per osallistuja on noin 1,5 h. Työaika maksaa koulutus A:ssa 180 x (1,5 h x 60 €) = yhteensä 16 200 €.
  • Koulutus X on maksullinen 150 €/organisaatio ja sen ilmoitettu kesto on noin 3,5 h. Työaika koulutus X:ssä on hulppea – 180 x (3,5 x 60 €) = yhteensä 37 800 €.
  • Koulutus GDPR Tech:n yleinen tietosuoja koulutus on maksullinen 800 €/organisaatio + 40 €/hlö. Työaika koulutus GDPR Techissä on 180 x (0,5 x 60 €) = yhteensä 5 400 €.

Tämän perusteella voimme todeta, että verkkokoulutus tietosuoja-asioissa on varsin kustannustehokas ja toimiva ratkaisu.

Aika uudistaa tietosuojaan liittyvät koulutukset

Tietosuojakoulutusten merkitys organisaatioille on avainasemassa alati kehittyvässä lain säädännössä ja liiketoimintaympäristössä. Koulutusten kustannuksista ja vaikutuksista huolehtiminen on äärimmäisen tärkeää, mutta myös modernien ratkaisujen, kuten verkko-oppimisen hyödyntäminen voi tuoda organisaatiolle uusia mahdollisuuksia menestyä GDPR:n aikakaudella.

Asetetaan yhdessä tavoitteet ja mitataan koulutuksen vaikuttavuus. Harva työntekijä etsii itse aktiivisesti tietoa uusimmista tietosuoja tai tietoturva ohjeistuksista, joten tieto pitää tarjota helposti ja tehokkaasti. Tee digiloikka ja kouluta henkilöstösi kanssamme!

Viimeisimmät muutokset tietosuoja- ja tietoturvakentällä. Pysy ajan tasalla!

Tietosuojatyössä on tärkeää huomioida laaja-alaiset näkökulmat, jotta organisaatiossa voidaan varmistaa kattava ja tehokas tietosuoja. GDPR Tech on aina pitänyt tämän periaatteen ohjenuoranaan ja jatkaa samalla linjalla, koska tavoitteenamme on auttaa sinua onnistumaan tietosuojatyössäsi. Usein huomaamme tilanteita, joissa tietosuojaan panostetaan syvällisesti, esimerkiksi rekisteriselosteiden laatimisessa, mutta samalla unohdetaan ymmärrettävästi tiedottaminen tietosuojaan liittyvistä asioista. Helppotajuinen ja kansankielinen viestintä on tärkeää, jotta kaikki asianosaiset ymmärtävät tietosuojan merkityksen ja konkreettiset toimenpiteet.

Hyviä esimerkkejä onnistuneesta viestinnästä tietosuojasta ovat selkeät videot ja ”usein kysytyt kysymykset” -formaatti, joita hyödynnämme asiakkaidemme kanssa. Erään asiakkaamme kanssa olemme yhdistäneet useita erilaisia tietosuojaselosteita kahdeksi ymmärrettäväksi tiedotukseksi heidän verkkosivuillaan.

Uusi hallitus, uudet tavoitteet – Mitä se tarkoittaa tietosuojalle?

Paljon on tapahtunut viimeisimmän blogikirjoituksemme jälkeen. Suomi on saanut uuden hallituksen, joka asettaa uusia tavoitteita, kuten ”tietosuojalainsäädännön kokonaisuudistuksen”. Yhtenä osana hallinnolliset sakot laajennetaan koskemaan myös julkista sektoria. Hallitusohjelmaan on sisällytetty myös painotuksia tekoälyn osalta. Oletko jo antanut ohjeistusta organisaatiollesi koskien tekoälyn käyttöä? Tekoälyyn liittyen on jo nimittäin tapahtunut tietosuojan sekä tietoturvan poikkeamia, esimerkiksi matkapuhelinvalmistajan työntekijät olivat ladanneet suosittuun ChatGPT:hen aineistoa, jota olisi pitänyt käsitellä erittäin luottamuksellisesti.

Schrems II: Mitä seuraavaksi? Keskustelu jatkuu!

Kolmas vuosi Schrems II -keskustelua on käynnissä, ja kysymys kuuluu, pitäisikö vielä tehdä lisää toimenpiteitä vai onko aihe jo ohi? Samaan tapaan kuin GDPR, tämä keskustelu ei ole vielä päätynyt tai hävinnyt. Päinvastoin henkilötietojen käsittely Yhdysvaltalaisilta palveluntarjoajilta on yhä tarkemman tarkastelun kohteena, ja organisaatioita on Suomessa ja muualla Euroopassa varoitettu ja sakotettu useista syistä.

Keskustelussa on myös noussut esiin mahdollisen ”Privacy Shield II” -sopimuksen tarve. On huomionarvoista, että Privacy Shield on edelleen käytössä Yhdysvalloissa, mutta se ei tällä hetkellä tarjoa riittävää suojaa Euroopan ja Yhdysvaltojen välillä. Mahdollinen uusi sopimus on nimeltään Data Privacy Framework (DPF), jossa määritellään tarkemmin tietojen suojaukseen liittyviä asioita. DPF perustuu presidentti Bidenin antamaan määräykseen, mutta tämä herättää huolta siitä, mitä tapahtuu, jos seuraava valittu presidentti kumoaa sopimuksen ja koko prosessi alkaa alusta. Organisaatioiden on kuitenkin huolehdittava tietojen asianmukaisesta suojaamisesta tänäkin aikana. Aiheeseen liittyen on tehty useita tutkintapyyntöjä ja mahdollisia tietojen käsittelykieltoja. Tietojen suojaamisen kannalta on tärkeää tietää, missä tiedot todellisuudessa tallennetaan. Tämän tukena on tietojen kuvauksen päivittäminen (data flow).

Aika ratkaista tietosuojan rakenteettoman tiedon riskit

Rakenteeton tieto ja siihen liittyvät haasteet ovat edelleen keskeisessä roolissa tietosuojatyössä, samoin kuin tietoturva ja suojaukset. Digi- ja väestötietoviraston (DVV) kesäkuun seminaaripäivässä puhuttiin juuri rakenteettoman tiedon riskeistä. Tähän liittyen tarkastellaan verkkolevyjä ja Teams-työtiloja: ovatko ohjeistukset noudatettu, onko vanhaa tietoa jäänyt talteen ja mikä on yleinen suojauksen taso?

Jos rakenteettoman tiedon riskit huolestuttavat sinua, ota yhteyttä! Voimme vastata näihin ja moniin muihin kysymyksiin kartoituspalvelumme avulla. Olemme myös Kuntien Tieran toimittajalistalla, joten voimme tarjota kilpailutusmahdollisuuksia rakenteettoman tiedon konsultointiin.

Tietosuojatyö ei pääse kesälomalle – Autamme sinua myös lomakaudella

Tietosuojatyö ei pysähdy kesälomalla, joten jos tarvitset apua esimerkiksi tietosuojavastaavan poissaolon aikana, ota rohkeasti yhteyttä. Me teemme tiiminä niin tietosuojavastaavan kuin tietosuojavastaavan tukityötä ympäri Suomen koko lomakauden ajan.