Google Analytics – lainmukaista käyttää vai ei? Kolme myyttiä käytöstä!

Tabletilla Google näkymä

Verkkosivujen kävijäseurantaan on käytetty jo vuosia Googlen tekemää ilmaista Google Analytics -palvelua. Nyt Euroopan tietosuojaviranomaiset ovat kuitenkin todenneet palvelun tietosuojalain vastaiseksi. Esimerkiksi Suomen pääkaupunkiseudun kirjastot ovat saaneet tästä huomautuksen apulaistietosuojavaltuutetulta tammikuussa 2023.

Jos verkkosivutoimittajasi toteaa aiheesta puhuttaessa, että kaikkihan Google Analyticsia käyttää ja neuvoo odottelemaan tarkennuksia, on hyvä huomioida muutama myytti asian osalta.

Kolme tietosuojamyyttiä ja niiden murtaminen

Ensimmäinen myytti onkin “kaikkihan Google Analyticsia käyttää”. Joidenkin lähdetietojen mukaan yli 50 % verkkosivustoista käyttää Google Analyticsia kävijäseurantaan, mutta se, että joku toinenkin käyttää sitä, ei tarkoita Google Analyticsin olevan ainoa vaihtoehto. Kilpailevia tekniikoita verkkosivun tekniseen kävijäseurantaan onkin runsaasti – Hotjar, Snowplow, Baidu Analytics, Cloudflare ja Matomo (entinen Piwik Web Analytics).

Toinen myytti on, että uusi versio Google Analyticsista (GA4) tulisi olemaan tietosuojalain säädännön mukainen. 

Heinäkuussa 2020 Euroopan unionin tuomioistuin kumosi niin sanotussa Schrems II -ratkaisussaan komission päätöksen EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä, joka koski henkilötietojen siirtoa Euroopan ja Yhdysvaltojen välillä.

Henkilötietojen siirtoa Yhdysvaltoihin on tähän asti tulkittu kahdella tavalla; 

A) jos yhdysvaltalaisella yhtiöllä on mahdollinen pääsy tietoon, on siirto mahdollista

B) jos data (tieto) tallennetaan eurooppalaiseen konesaliin, vaikka kyseessä olisi yhdysvaltalainen toimittaja, siirtoa ei tapahtuisi tämän tulkinnan mukaan

Tämä on johtanut hämmennykseen ja erilaisiin tulkintoihin tarvittavista toimenpiteistä. 

Otetaan esimerkiksi sähköpostimarkkinointi ja siinä yleisesti käytetty MailChimp-palvelu. Saksassa Bavarian alueen tietosuojavaltuutettu kielsi paikallista yritystä käyttämästä tätä suosittua yhdysvaltalaista palvelua. MailChimp kuitenkin viittaa edelleen verkkosivuillaan olevansa tietosuojalain mukainen ja toimivansa (2/2023 tarkistettaessa) Privacy Shield -järjestelyn mukaisesti. Kun järjestely ei ole ollut voimassa yli kahteen vuoteen, asettaa se organisaation kyseenalaiseen valoon – jos tämä ei pidä paikkaansa, voiko toiminnassa olla jotain muutakin epäselvää? 

Moni käyttäjä onkin vaihtanut MailChimpistä johonkin toiseen palveluun tietosuojalainsäädäntöä koskevien kysymysmerkkien takia. Palvelua vaihtamalla ei kuitenkaan välttämättä ratkaise lainmukaisuuden ongelmia. Asia on siis monimutkainen.

Kolmas myytti on, että kohta julkistetaan Privacy Shield II ja ongelmat voidaan taas unohtaa. On huomioitava, että tämänhetkisten tietojen mukaan asialla ei ole varmaa aikataulua. Aiheesta on ollut keskustelua jo keväästä 2022 mutta sopimusta ei vieläkään ole. Voi olla, että sopimus syntyisikin keväällä 2023, mutta sitä ennen yhdysvaltalaisten palveluiden käytön osalta on vähintäänkin tehtävä riskiarvio sekä henkilötietojen siirtoon liittyvä vaikutusten arviointi.

Organisaation vastuulla on toimia lainmukaisesti riippumatta siitä mitä yhdysvaltalaiset toimittajat sanovat. Vastuuta ei voi ulkoistaa.

Mitä siis pitäisi tehdä, jotta tietosuoja on huomioitu?

Suosittelen, että jos ette ole aiemmin tehneet yleiskuvaa tietojen käsittelystä ja tietovirroista (data flow), nyt on oikea hetki siihen. Selvittää käytössä olevat yhdysvaltalaiset palveluntarjoajat – esimerkiksi Google, Microsoft, Oracle ja moni muu.

Näiden lisäksi aiemmin mainitut sähköpostimarkkinointi-työkalut kannattaa selvittää. Onko palvelulla kunnossa tietosuojaa koskeva vaikutustenarviointi (DPIA), henkilötietojen käsittelyn sopimukset (DPA) ja siirron vaikutustenarviointi (TIA)?

Voi myös pohtia, löytyisikö eurooppalaista toimittajaa sähköpostimarkkinointiin tai konesalitoimittajaksi.

Julkisesti näkyvät verkkosivut ovatkin oiva paikka aloittaa – samalla kannattaa tarkistaa evästeiden käsittely Traficomin ohjeiden mukaiseksi, nekin päivittyivät syksyllä 2021.

Tietosuojalainsäädäntö muuttuu ympäri maailmaa ja tätäkin asiaa on seurattava – vastuuta et voi ulkoistaa, mutta seurannan voit.

Laitetaanko tietosuojasi kuntoon?

Yksin näiden asioiden parissa ei siis tarvitse painia. Saat meiltä avaimet käteen -paketin verkkosivuston osalta – muutama työpaja ja laitetaan asiat yhteistyökumppanimme kanssa kuntoon. Työpajassa käydään läpi verkkosivustonne tietosuojainformointi, käydään läpi käyttämänne yhdysvaltalaiset sovellukset, testataan sivustonne evästeiden hyväksyntä sekä käyttö ja laitetaan seuranta lainmukaiseksi.

Laita viestiä ja tilaa tästä!

Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

Viime vuosina on käyty vilkasta keskustelua tietosuojasta ja yksityisyydestä. Usein keskusteluissa pohditaan erityisesti teknologiajättejä, kuten Metaa ja Googlea, jotka käyvät kauppaa käyttäjädatalla. Euroopan Unioni on ollut tietosuojaliikkeen eturintamassa ja määrännyt muun muassa useille suuryrityksille useiden miljoonien sakkoja henkilötietojen väärinkäsittelyn vuoksi. Myös Suomessa on noussut esiin tapauksia, joissa henkilötietoja on päätynyt rikollisille. Esimerkiksi julkisuudessa laajasti esillä olleessa tapauksessa  psykoterapiakeskuksen ex-toimitusjohtaja asetettiin syytteeseen tietosuojarikoksesta. Tämä tapaus on vielä avoinna.

Suomalainen yritys GDPR Tech Oy toteutti yhteistyössä Tutkimusvoima Oy:n kanssa tietosuojan nykytilaa koskevan kyselytutkimuksen peräkkäisinä vuosina 2021 ja 2022. Tutkimus selvitti miten EU:n yleinen tietosuoja-asetus (EU GDPR, TSA tai Suomen tietosuojalaki) on vaikuttanut Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset antavat täysin uudenlaista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja vastaanottoa Suomessa. Kysely oli molempina vuosina sama, jotta voitiin seurata tilanteen kehitystä. Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä.

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2022

  • Yli 70 % vastaajista kokee tietosuojalainsäädännön parantaneen luottamusta tietojenkäsittelyyn. 
  • Enemmistö  eli yli 65 % kokee GDPR:n hyödyttävän organisaatiota.
  • Yli 80 % organisaatioista ovat kartoittaneet henkilötietojen käsittelyyn kohdistuvat riskit.
  • Noin 10 % vastaajaorganisaatioista tietosuojatyö on jäänyt vain IT:n osaksi. Tämä viittaa siihen, että suomalaiset organisaatiot ymmärtävät tietosuoja-asetusten laajuuden ja sen takia tietosuojatyötä käsitellään organisaatioiden eri yksiköissä.
  • Tiukentunut tietosuojalainsäädäntö otetaan Suomessa varsin positiivisesti vastaan ja siitä nähdään yleisesti olevan hyötyä niin organisaatioille kuin ihmisille.

Luottamus tietojenkäsittelyyn kasvussa ja hyödyt nähdään selkeämmin

Yli 70 % vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojenkäsittelyyn. Prosenttiosuus on myös kasvanut noin kahdella prosenttiyksiköllä vuodesta 2021 verrattuna vuoteen 2022. 

Vastaajien enemmistö (yli 65 %) kokee GDPR:n hyödyttävän organisaatiota. Vuosien 2021 ja 2022 välillä etenkin EI-vastausten määrä on olennaisesti pienentynyt sekä lisäksi KYLLÄ-vastauksia on 10 % yksikköä enemmän. Tämä heijastuu myös avoimissa vastauksissa, joissa osa huomauttaa GDPR:n tuottavan lisätöitä, mutta samaan aikaan tunnustetaan GDPR:ää koskevat hyödyt ja asennemuutos organisaatioiden sisällä.

Luottamus tietojen käsittelyyn - taulukko
Hyödyttääkö GDPR organisaatiotanne - taulukko
Kyselyyn vastaaja
"GDPR:ää tulkitaan usein todella väärin ja siitä lähtökohdasta, että kaikkien henkilötietojen jakaminen on absoluuttisen kiellettyä ja rangaistavaa. Tämä aiheuttaa suurimmat ongelmat. GDPR:n tulkintoja on yhtä paljon kuin tulkitsijoitakin."
Kyselyyn vastaaja
"Lisää työmäärää, hidastaa työntekoa - hyötynä se, että tietoja säilytetään huolellisemmin - kaikki miettivät työssään tietosuoja-asioita, joten tuntuu turvallisemmalta."
Kyselyyn vastaaja
"Tietosuojaa ja tietoturvaa käsitellään vakavammin kuin esimerkiksi 20 vuotta sitten. On jalkautettu koko henkilökunnalle ja pidetään tietosuojan päiviä koko henkilökunnalle. Myös johto ottaa asian vakavasti. Tehtävää on vielä paljon ja keskeneräisiä asioita myös."
Previous slide
Next slide

Tietosuojariskien hallinta on osa suomalaisten organisaatioiden toimintaa

Henkilötietojen käsittelyn osalta tietosuojalainsäädäntö (ja GDPR) nostaa voimakkaasti esille riskienhallinnan. Riippumatta siitä, missä roolissa tietoja käsitellään, on organisaation  arvioitava mahdollisia riskejä sekä  riittäviä teknisiä ja organisatorisia toimia riskien minimoimiseksi. Yli 80 % vastaajaorganisaatiosta on kartoitettu henkilötietojen käsittelyyn kohdistuvat riskit. Edellisvuoteen verrattuna  EI-vastausten määrä on noin viisi prosenttiyksikköä suurempi vuonna 2022. Usein PK-sektorilla juuri riskien tunnistamista erilaisissa projekteissa ei hallita prosessina tai osana säännöllistä toimintaa.

Riskien kartoitustilanne- taulukko

Vähintään joka viides työntekijä jää ilman tietosuojaperehdytystä

Vastaajista yli 60 % kertoo, että tietosuojaohjeistus kuluu uusien työntekijöiden perehdytykseen. On kuitenkin huolestuttavaa, että lähes 20 % organisaatioista ei perehdytä uutta työntekijää tietosuojan osalta ja toiset lähemmäs 20 % ei tiedä tapahtuuko perehdytystä.

Osa vastaajista kertoi, ettei työntekijöitä aina muisteta perehdyttää tietosuojaan, mutta myös säännöllinen koulutus puuttuu. GDPR Tech Oy:n toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat usein organisaatiossa hajanaisia: ”Yhdessä tietosuojan tilannekuva-projektissa kävi ilmi, että kaikki työntekijät oli koulutettu eri maissa vuonna 2018. Ei kuitenkaan ketään sen jälkeen. Tällainen kerran tehty koulutus tuo toki ”tick in the box” merkinnän, mutta ei todellisuudessa muuta toimintatapoja organisaatiossa tai tuo tietoisuutta käytännön toimiin. Kuka muistaa mitä neljä vuotta sitten käydyssä koulutuksessa puhuttiin?”

Onko GDPR-ohjeistus osana perehdytystä - taulukko
Kyselyyn vastaaja
"GDPR on tuonut tietosuojan näkyvyyttä laajemmin toimijoille Suomessa. Meillä toteutetaan henkilöstölle tietosuojakokeet säännöllisin väliajoin tietoturvallisuuden ja tietosuojan asioista. Myös tietojenkäsittelystä ja tietosuojasta tiedotetaan aika ajoin."
Kyselyyn vastaaja
"Enimmäkseen IT-puolen hallussa, mutta yksittäisissä asioissa esim. oman yksikön omat lomakkeet, minut on jätetty ihan yksin GDPR-asioissa. Oletetaan, että ne ovat hoidossa, ikään kuin GDPR tulisi itsestään. En edes tiedä olenko hoitanut GDPR-asiat niin kuin pitää, mutta se ei kiinnosta ketään."
Previous slide
Next slide

Suomalaiset organisaatiot ovat hyvin tietoisia GDPR-seuraamuksista ja sanktioista

Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 95 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla ja ainoastaan noin 5 % ei osaa sanoa tai ei tiedä sanktioista tai mahdollisista muista seuraamuksista.

Vastaajat kommentoivat myös kysymystä hyvin eri lähtökohdista. Osasta vastaajista tuntuu, että organisaatiot ottavat GDPR-asiat nyt enemmän vakavasti ja osa vastaajista koki, että asian kanssa ollaan edelleen tietämättömiä. Sallinen kommentoi asiaa asiantuntijan näkökulmasta: ”Tietosuojaa koskevat asiat ovat vielä hyvin eri tasoilla eri organisaatiossa. Osalle GDPR näyttäytyy ainoastaan pakollisena verkkosivujen evästehyväksyntä-kyselynä, kun taas toisissa organisaatiossa on tehty erinomaisen hienoa työtä ja muutettu toimintatapoja. Tietosuoja-asioista huolehtimalla saadaan toiminnasta kustannustehokkaampaa sekä turvallisempaa – vastuullisuudesta puhumattakaan. Olennaista tietosuojan kannalta on läpinäkyvyys: jokaisen on tiedettävä miten heidän tietoja käsitellään.”

Tietoisuus seuraamuksista, jos lakia ei noudateta - taulukko
Kyselyyn vastaaja
"Pakottaa kaikki toimijat markkinoilla samalle viivalle. Ennen oli toimijoita, jotka lepsuilivat tietosuojan kanssa. Lisää käyttäjien luottamusta."
Kyselyyn vastaaja
"GDPR on täysin väärinymmärretty. Jos oikeasti tehtäisiin tarkastuksia niin kokemuksen mukaan kaikki toimivat vastoin ohjeistuksia jokaisessa yrityksessä, jossa olen toiminut. Tietosuojan ymmärrys, valvonta ja toteutus on edelleen lasten kengissä."
Previous slide
Next slide

Luottamus organisaation omien tietojen suojaamiseen on kuitenkin yleisesti heikko

Vastaajien osalta huolestuttavaa on puutteellinen luottamus organisaatioiden kykyyn suojata omia tietojaan. Kun kysyttiin, oletko huolissasi omista tiedoistasi, vain hieman yli 50 % ei ollut huolissaan. Yli 40 % on ollut huolissaan kumpanakin vuonna,  ja vuoden 2022 osalta määrä on kasvanut parilla prosenttiyksiköllä. Tietosuojan jalkautus ja riskienhallinta vaatii selvästi lisää työtä, jotta saamme luottamusta tietojemme käsittelyyn parannettua.

Oletko huolissasi omista tiedoistasi - taulukko

2020 voimaan tullut tiedonhallintalaki vaikuttaa julkishallintoon

Tutkimuksessa keskityttiin tietosuojalakiin (EU GDPR, TSA tai Suomen tietosuojalaki), mutta haluttiin myös saada tilannekuva tiedonhallintalain vaikutuksesta. Vastaajista osa on töissä julkishallinnossa tai toimittaa palveluita julkishallinnolle. Näissä tapauksissa vuonna 2020 voimaan tullut tiedonhallintalaki vaikuttaa myös osaltaan vastaajaorganisaatioihin. Taustakyselyn tarkoitus oli selvittää, miten isossa osassa joudutaan miettimään kahden varsin suuren muutoksia aiheuttavan lainsäädännön resursointia toimenpiteiden osalta.

Vastaajista yli 40 % koskee myös tiedonhallintalaki, jossa on omia vaatimuksia niin dokumentointiin kuin käytännön toimiin liittyen. ”On huomattava se, että vaikka kyselyssä keskityttiin tietosuoja- ja tiedonhallintalakeihin, niin organisaatioissa henkilötietojen käsittelyä ohjaa monet muutkin lait, kuten osakeyhtiölaki, kirjanpitolaki ja työaikalaki. Näissä laissa on usein tarkentavia ohjeita esimerkiksi tiedonsäilytysaikoihin liittyen.”, Sallinen toteaa.

Koskeeko teitä myös tiedonhallintalaki - taulukko

Tietosuojatyössä riittää yhä kehitettävää

GDPR on varsin nuori asetus ja Suomessa tietosuojalaki on ollut voimassa vasta vuodesta 2019 lähtien. Keskusteluissa ja mediassa nousee esille kuitenkin usein tietosuojalainsäädäntö ja siitä laajemmin tiedottaminen. Yhä useampi kuluttaja on huolissaan omista tiedoistaan ja vaatii organisaatioilta lainmukaisia GDPR-toimia. Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on ollut hyvin pieni verrattuna muihin Euroopan maihin, mutta tämä osittain johtuu maamme pienestä väkiluvusta.

”Vastaajien erilaiset näkemykset ovat samankaltaisia kuin me näemme projekteissa sekä koulutuksissa. Huomattavan paljon on vääriä tulkintoja aiheen osalta ja sen takia koetaan GDPR:n ”kieltävän kaiken”. Niissä organisaatioissa, joissa selvästi on käyty myös toimintamalleja ja otettu tietosuojatyö mukaan arkeen, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta sekä selkiytymistä. Myös luottamus on nostettu useassa vastauksessa esiin – toimimalla avoimesti ja vastuullisesti voidaan parantaa asiakkaiden luottamusta yrityksen toimintaa kohti.”, summaa Sallinen lopuksi.

Lisätietoja

Juha Sallinen | Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti | 040 566 6900 | [email protected]

Katso vinkit GDPR-riskikartoitukseen ja paranna yrityksesi liiketoimintaa

Monet yritykset pitävät GDPR:ää edelleen hankalana vaatimuksena ja pakollisena pahana. Usein GDPR:ää lähestytäänkin kertaharjoituksena, joka kirjoitetaan paperille, mapitetaan ja unohdetaan. Valtaosa yrityksistä kuitenkin niin B2B kuin C2B puolella käsittelee ja tallentaa asiakkaiden henkilötietoja päivittäin.

Henkilötietojen käsittelyyn liittyy aina riskejä. Pahimmillaan yritys voi saada merkittäviä maine ja taloudellisia haittoja. Johto voi myös joutua raskaiden syytösten kohteeksi, jos asiakkaan henkilötietoja on esimerkiksi vuotanut kolmannelle osapuolelle tai julkisuuteen ilman lupaa. Parhaimmillaan GDPR-asetus voi kuitenkin tukea liiketoimintaa virtaviivaistamalla ja parantamalla useita yrityksen ydinliiketoimintoja.

Sama malli ei sovi kaikille

Yrityksellesi on tärkeää tunnistaa oman liiketoiminnan riskit ja varmistaa, että toiminta on tietosuojalain mukaista oikeita työkaluja käyttäen. Riskienhallinta on oltava oikeasuhteinen ja sopiva organisaation kokoon nähden, ja avainasemassa on ymmärtää yleinen riskinottohalu. Eri yrityksillä on erimuotoisia ja -tasoisia riskejä ja organisaation tulee suojata niin pääoma- kuin asiakastietoja. Riskienkartoitus ei ole tärkeää vain GDPR:n kannalta, vaan se auttaa parantamaan myös asiakassuhteiden hallintaa.

Yrityksen on mietittävä mitä ja kenen tietoja he käsittelevät.

Tämän päivän kuluttajat ja asiakkaat ovat yhä enemmän tietoisia oikeuksistaan. He seuraavat tapaa, jolla heidän tietojaan hallitaan, ja siten painostavat yrityksiä vahvistamaan tietoturvainfrastruktuuriaan. Valitettavan usein yritykset käyttävät paljon rahaa yrityskuvan korjaamiseen tietomurron jälkeen, mutta eivät ota proaktiivista roolia riskinhallinnan ehkäisevien toimenpiteiden rakentamisessa.

Riskikartoituksen avulla voidaan välttyä tietomurroilta

GDPR-riskiarviointi on kaiken lähtökohta vaatimustenmukaisuuden puutteiden tunnistaminen, jotka voivat olla huolestuttavia asiakkaiden tietojen suojaamisessa esimerkiksi tietomurroilta. Tarkoituksena on tunnistaa, analysoida ja arvioida mahdolliset uhat. Tämän jälkeen yritys voi suunnitella yleisen toimintamallin tietojen suojaamiseksi. Samalla tavalla kuin yritys vaihtaa fyysisiä lukkoja toimitiloissaan tulee tietosuojalukot olla kunnossa. Riskejä ovat muun muassa heikot suojausmekanismit kuten salasanat, huolimattomuus ja hakkerit. Tietovuoto ja tietosuojaloukkaus ovat mahdollisia suojauksen pettäessä. Julkisuudessa tällä hetkellä laajasti esillä olleen Psykoterapiakeskuksen johto on esimerkiksi asetettu rikosoikeudelliseen vastuuseen tietovuodosta.

Mahdollisia seurauksia yritykselle suojauksen pettäessä on:

  • Taloudelliset haitat, kuten sanktiot tai sakkorangaistukset
  • Mainehaitat ja brändin arvon lasku
  • Tyytymättömiä asiakkaita
  • Asiakkaiden menetys

Riskikartoituksen vinkit

Riskienkartoitus edellyttää, että kaikki yrityksesi osastot tarkastelevat tarkasti tietojaan. Mitä tietoja heillä on, miten niitä käsitellään ja mitä tapahtuisi, jos ulkopuolinen pääsisi tietoihin käsiksi. Mieti miten kyberrikolliset ja työntekijät voivat vaarantaa yrityksesi arkaluonteisia tietoja.

Tässä muutamia vinkkejä, joilla pääset alkuun:

1. Kartoita yrityksesi tiedot

Kartoita, mistä kaikki yrityksesi henkilötiedot ovat peräisin, miten ne on dokumentoitu ja mitä teet tiedoilla. Tunnista, missä tiedot sijaitsevat, kenellä on pääsy niihin ja voiko tiedot vuotaa.

2. Selvitä, mitä tietoja sinun on säilytettävä

Älä säilytä sen enempää tietoja kuin on tarpeellista ja poista kaikki tiedot, joita et käytä. Jos yrityksesi on kerännyt paljon dataa ilman todellista hyötyä, nyt on aika pohtia, mitkä tiedot ovat tärkeitä yrityksellesi.

Kysy itseltäsi puhdistusprosessin aikana:

  • Miksi juuri arkistoimme nämä tiedot sen sijaan, että vain poistaisimme ne?
  • Miksi tallennamme kaikki nämä tiedot?
  • Mitä yritämme saavuttaa keräämällä esimerkiksi nämä henkilötiedot?
  • Onko taloudellinen hyöty suurempi suojattujen tietojen pitämisessä kuin poistamisessa?

3. Ota turvatoimenpiteet käyttöön

Ota käyttöön suojatoimet, jotta tietoturvaloukkaukset voidaan estää. Tämä tarkoittaa tietoturvatoimien käyttöönottoa tietoturvaloukkauksilta ja nopean toiminnan ilmoittamista henkilöille ja viranomaisille, jos tietoturvaloukkaus tapahtuu.

Tarvitsetko apua?

Eikö aika tai osaaminen riitä? Me tarjoamme riskienkartoituspalvelua. Voimme auttaa yritystäsi tunnistamaan ja analysoimaan riskit. Ydintoimintaamme kuuluu prosessien suoraviivaistaminen ja selkeän toimintasuunnitelman tuottaminen. Me olemme täällä tukemassa liiketoimintaasi. Järjenkäyttö on aina sallittua ja usein tarvittavat toimenpiteet voivat olla hyvin pieniä.

Schrems II – Muutos joka koskettaa sinua

Schrems II – Muutos joka koskettaa sinua

Mikä on Schrems II?

  • Euroopan unionin tuomioistuin antoi 16. heinäkuuta 2020 tuomion, jonka mukaan EU:n ja Yhdysvaltojen välinen Data Privacy Shield -sopimus mitätöitiin. Monet yritykset luottivat tähän sopimukseen mm. siirtäessään tietojaan Yhdysvaltojen ja EU:n välillä.
  • Päätöksen seurauksena henkilötietojen siirrot Euroopan talousalueen ulkopuolelle edellyttävät aiempaa kattavampaa riskiarviointia ja mahdollisia lisätoimia. 
  • Henkilötietojen käsittelyllä EU alueen ulkopuolella tarkoitetaan tilannetta, jossa tiedot on tallennettu EU alueen ulkopuolelle ja lisäksi tilannetta, jossa EU alueen sisälle tallennettuun tietoon pääsee etäyhteydellä EU alueen ulkopuolelta. 
  • Tämä tuomio tuli myöhemmin tunnetuksi puhekielenä Schrems II, joka on nimetty Max Schremsin, aktivisti ja asianajajan mukaan, joka aloitti tämän juridisen taistelun Privacy Shield sopimusta vastaan.

Mitä nyt?

  • Päätöksestä on nyt kulunut lähes kaksi vuotta. Eurooppalaisten yritysten on suoritettava yksilölliset arvioinnit jokaisesta tiedonsiirrosta EU alueen ulkopuoliseen maahan varmistaakseen vaatimustenmukaisuuden. Käytännössä tämä tarkoittaa DPIA ja TIA tiedonsiirtoja koskevaa riskiarviointia.
  • Schrems II päätöksen huomiotta jättäminen voi aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.
  • Operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja, mutta yritysten pitää miettiä mitä työkaluja he voivat käyttää.

Suomalaiset yritykset saattavat siirtää valtavia määriä tietoa koko ajan kaukaisille palvelimille. Pilvipalveluiden avulla säilytetään esimerkiksi dokumentteja, valokuvia, videoita, kalenterimerkintöjä ja muita tiedostoja. Monet yritykset saattavat myös käyttää Yhdysvalloissa sijaitsevan yrityksen tarjoamaa työkalua vaikkapa sähköpostimarkkinointiin.

Pilvipalveluiden etuina ovat usein joustavuus ja nopeus. Käyttäjä pääsee lähes mistä tahansa kätevästi käsiksi tietoon, jota on helppo siirrellä ja tarvittaessa jakaa muille. Yritykset myös usein ajattelevat tekevänsä kustannussäästöjä, kun valitsevat esimerkiksi edullisen ja tunnetun työkalun joka toimii pilviteknologialla. Helppouden takana voi kuitenkin vaania vaara, jos palvelu sijaitsee Yhdysvalloissa ja ei oteta huomioon Schrems II päätöksen vaikutuksia. Schrems II päätöksen huomiotta jättäminen voikin aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.

Yhdysvaltain tietosuojalainsäädäntö ei vastaa Euroopan tasoa

Euroopan ja Yhdysvaltojen välillä oli aikaisemmin henkilösuojasopimus nimeltään Safe Harbor. Safe Harbor sopimuksen ollessa voimassa yritykset pystyivät helposti siirtämään tietojaan Eurooppalaisen tietosuojalain mukaisesti. Eurooppalaisten henkilötietoja voitiin käsitellä lain mukaisesti Yhdysvalloissa ja toisin päin. 

Safe Harbor sopimus kuitenkin mitätöitiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Data Privacy Shield. Kuitenkin jo heinäkuussa 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Itävaltalainen lakimies ja oikeusaktivisti nimeltä Maximilian Schrems haastoi Privacy Shield sopimuksen. Tuli ilmi, että Yhdysvaltain lainsäädäntö mahdollistaa viranomaisten pääsyn tarvittaessa Yhdysvalloissa sijaitsevaan henkilötieto dataan.

Tämän jälkeen tietosuojalainsäädännön osalta on todettu eri dokumenteissa, että Yhdysvaltain tietosuojalainsäädäntö ei ole riittävällä tasolla verrattuna Eurooppalaiseen GDPR:ään. Tästä johtuen henkilötietojen käsittely yhdysvaltalaisten toimijoiden osalta ei siis ole eurooppalaisen tietosuojalainsäädännön mukaista eikä sitä kautta hyväksyttävää.

Myös EU:n sisällä tietosuojalainsäädäntö ja tietosuojan taso on erilainen.

Euroopan sisällä nykytilannetta tulkitaan eri tavoin, koska eri maiden lainsäädännöt ovat erilaisia. Myös erilaisia päätöksiä on tehty pitkin Eurooppaa mm. Tukholman kaupunki teki muutaman kuukauden takaisen päätöksen, jossa he totesivat etteivät voi käyttää Microsoft 365 palvelua, Ranska totesi keväällä 2022, että Google Analyticsin käyttö rikkoo tietosuojalainsäädäntöä ja Saksassa Baijerin osavaltion tietosuojaviranomainen on todennut uutiskirjepalvelu Mailchimpin laittomaksi Schrems II -tuomion myötä.

Kolme toimintamallia

Privacy Shield ei ole ollut voimassa nyt lähes kahteen vuoteen. Mitä tämä käytännössä tarkoittaa ja miten tämä vaikuttaa yrityksen operatiivisiin toimintoihin? Tarkoittaako tämä sitä että, yhdysvaltalaisia pilvi- tai SaaS (Software-as-a-Service) palvelutoimittajia ei voi enää käyttää? Olemme listanneet alle kolme mahdollista toimintamallia:

  1. En tiedä, enkä aio tehdä asialle mitään:
    Miksi en voisi jatkaa tai ottaa palveluita käyttöön, koska kaikki muutkin niin tekevät? Naapurin Sepollakin tämä toimii vallan mainiosti, ainakin kaiman kummin mukaan. Jatkan entiseen malliin Schrems II sopimuksesta välittämättä. Otan siis riskin.

  2. Pienennän riskiä:
    Kartoitan riskini ja jatkan joidenkin yhdysvaltalaisten palvelujen tarjoajien käyttöä, mutta teen toimenpiteitä, jolla pienennän tietoturvariskiä. Teen mm. erilaisia teknisiä suojatoimenpiteitä suojellakseni dataani. Tarvittaessa lisään tai korvaan palveluita myös eurooppalaisilla ja suomalaisilla työkaluilla.

  3. Pelaan täysin varman päälle:
    Poistan kaikki yhdysvaltalaiset palvelujentarjoajat ja käytän pelkästään eurooppalaisia tai suomalaisia työkaluja. Luulo ei ole tiedon väärti.

Ei toimintojen kieltämistä vaan henkilötietojen suojaamista!

Itse operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja. Riskialtista on kuitenkin käyttää yhdysvaltalaista palvelujen tarjoajaa toimenpiteisiin, jossa liikkuu henkilötietoja, koska silloin rikotaan tietosuojalainsäädäntöä. Esimerkiksi myös yhdysvaltalainen laskentatyökalu voi olla täysin laillinen, jos sen alaisuudessa ei käsitellä henkilötietoja.

Kartoitetaan riskit yhdessä

Sinulle on tärkeää tunnistaa liiketoimintasi riskit ja varmistaa, että yrityksesi toimii tietosuojalain mukaisesti oikeilla työkaluilla. Varmista, ettet tee turhaa työtä valitsemalla tai kouluttamalla henkilökuntaa uusiin työkaluihin, jotka ovat tietosuoja lainvastaisia.

Riskejä, joita saatat kohdata:

  • Mainehaitta ja brändin arvon lasku
  • Tyytymättömät asiakkaat, jotka ovat huolissaan tietosuojasta
  • Tietovuoto ja tietosuojaloukkaus
  • Kaikki riskit voivat johtaa asiakkaiden menetykseen, sanktioihin tai sakkorangaistuksiin!

Mieti seuraavia kohtia:

  • Miten tieto yrityksessäsi kulkee?
  • Mitä palveluita ja työkaluja on käytössä, mikä on niiden rooli sekä mahdolliset riskit?
  • Mitä muita palveluita tai työkaluja voitaisiin käyttää?

Jos kaipaat apua kartoitukseen suosittelemme sinulle meidän Schrems II työpajaa, jossa vastaamme yllä oleviin kysymyksiin. Katsomme yhdessä yrityksesi tiedonkulun, käytetyt palvelut ja työkalut sekä kartoitamme riskit. Työpajasta syntyy käytännön suunnitelma, jota yrityksesi voi turvallisesti noudattaa.

Tilaa kevyt Schrems II työpaja tästä!

Eettinen ja arvoperäinen toiminta on nykypäivänä entistä tärkeämpää jokaisen yrityksen maineen kannalta. Muista suojella omaa sekä asiakkaidesi dataa. GDPR ei ole katoamassa tai menossa pois – tämä on vasta ensimmäinen kierros, joten mukaan kannattaa hypätä jo nyt!

Selviydytään yhdessä Schrems II:n aiheuttamista haasteista!


Takkatulikeskustelua Huttusen kanssa tietosuojasta ja -turvasta

Kansainvälistä tietosuojapäivää vietettiin 28.1. Ajankohtaisia aiheita käytiin viikolla ja lisäksi otimme haastatteluun yritysturvallisuuden parissa vuosia toimineen konsultti Hannu Huttusen HPH Consultingistä. GDPR Techiltä keskustelussa mukana oli konsultti Juha Sallinen, ja teemoina sopivasti tietosuoja sekä tiedonhallinta.

Järjestimme yhteistyössä Tutkimusvoiman kanssa viime vuoden lopulla kyselyn, jolla kartoitimme organisaatioissa toimivien ihmisten käsitystä GDPR:stä, EU:n tietosuoja-asetuksesta. Yllättävän moni piti asetuksen mukanaan tuomaa muutosta hyvänä: kyselyssä yli 70 % vastaajista koki luottamuksensa kasvaneen henkilötietojen käsittelyyn.

Juha: Tietosuojaan liittyy saumattomasti yritysturva. Olemme muun muassa projekteissamme huomanneet, että etenkin PK-yrityksistä puuttuu riskienhallinta – tai ainakaan riskejä ei ole tunnistettu. Usein projektien jälkeen huomataan, että GDPR-projekti on samalla parantanut yritysturvallisuutta, esim. toimitilojen suojauksien osalta. Tuntuu oudolta, että vielä 2020-luvulla tällaiset asiat eivät ole kunnossa.

Mitä mieltä Hannu olet, mistä tämä johtuu: otetaanko yrityksissä tarpeettomia riskejä?

Hannu: Kun mietitään nykyistä maailmankuvaa ja miten kansainvälinen yrityksiin kohdistuva rikollisuus on rantautunut myös Suomeen, ihan kotimaisinkin voimin, on outoa miten yritykset eivät suhtaudu asiaan vakavasti. Erityisesti siksi, että viranomaiset ovat viime vuosina varoittaneet aktiivisesti lisääntyvästä yritysrikollisuudesta, joten asia ei ole voinut mennä silmien ja korvien ohi.

Kyllä, tarpeettomia riskejä otetaan luvattoman paljon.

Kun olen kysellyt yrityksiltä, miksi riittävään riskienhallintaa ei nähdä tarpeen panostaa, edelleenkin useimmiten vastauksena on, ettei ennenkään ole sattunut mitään tai että yrityksen toiminta on niin pientä/huomaamatonta, ettei se kiinnosta ketään. Ristiriitaista tuosta tekee sen, että miten yritys edes kykenee huomaamaan niihin kohdistuneet rikokset, jos niiden havainnointiin ei ole mitään suunnitelmallisia keinoja ja varautumista.

Juha: Tietosuojalainsäädäntö on aika uutta ja ymmärrän siksi, että riskejä henkilötiedon suojalle ei osata oikein tunnistaa. Kyselyssä tuli esille kuitenkin sekin, että ihmiset ovat aika laajasti huolissaan omien henkilötietojensa käsittelystä, sillä yli 40 % oli huolissaan tietojen päätymisestä rikollisille. Vaikka Suomessa joka vuosi päätyy jopa potilastietoja roskiin ja kaatopaikalle, ajatellaan ”ei tämä varmaan juuri minulle satu”. Eräässä koulutuksessa tuli esiin yrittäjä, joka halusi pystyttää verkkokaupan mahdollisimman helposti ja halvalla kysyen ”mitkä ovat GDPR:n minimit”, joilla pääsee liikkeelle. Kun puhuin verkkorikollisuudesta sekä erilaisista automaateista, joissa kuka tahansa voi jäädä ”alle”, niin selkeästi puhuttiin eri kieltä. Nopeasti ja halvalla, laadusta ja riskeistä viis.

Osasyy näihin riskeihin, mitä me näemme mutta moni ei, on ehkä se, että puhumme eri kieltä eikä ehkä osata tuoda liiketoiminnalle hyötyjä uhkien sijaan. Mitä olet tästä mieltä?

Hannu: Tämä on mielenkiintoinen kysymys, enkä tiedä onko siihen selkeää vastausta? Varmasti yksi syy on eri kielen puhuminen, mutta varmasti myös ymmärtämättömyys siitä, miten luvattomasti hankittua tietoa voidaan hyödyntää tiedon luvallisen haltijan/omistajan haitaksi. Tieto on valtaa ja myös arvokkainta kauppatavaraa, vaikka se kuulostaakin kliseeltä.

Rikolliset ovat entistä kekseliäämpiä tiedon hyödyntäjiä. Tietoyhteiskunnassa tietoa voidaan käyttää materiaalisen omaisuuden hankintaan, jolloin esim. henkilötiedot ovat tavallaan valuutta, jolla tuota omaisuutta hankitaan. Näin yhdistetään vanhan ajan rikollisuus, jolloin omaisuutta hankittiin tekemällä murtoja, nykyaikaan hankkimalla omaisuutta hyödyntämällä tietoa, esim. henkilötietoja verkkorikollisuudessa, jolloin ei tarvitse lähteä kylmään yöhön murtokeikalle.

Juha: Kiitos Hannu keskustelutuokiosta. Yritysturvallisuuteen liittyvissä asioissa kannattaa hoitaa asiantuntijan kanssa: otapa yhteyttä Hannu Huttuseen.

Tietosuoja-asioissa niin me kuin verkostomme voimme auttaa!

Vuoden 2021 tietosuojavaikuttaja on Ari Andreasson

Wakarun ja GDPR Techin järjestämässä GDPR-päivässä on kuultu vuosien aikana monta erinomaista puhujaa. Vuonna 2021 neljättä kertaa pidetyssä GDPR-päivässä nostettiin ensimmäistä kertaa esiin vuoden tietosuojavaikuttaja. Hän on Tampereen kaupungin tietosuojavastaava, tietosuojakirjailija Ari Andreasson.

  • Tietosuoja-asetusta tulkitaan usein väärin ja liiankin kirjaimellisesti. Tästä syystä haluamme nostaa esiin valtakunnallisia toimijoita, jotka osaavat tulkita asetuksen vaatimuksia organisaatioiden todellisuus huomioiden. Ari Andreasson on tunnettu asiantuntevista, ajankohtaisista ja selkeistä esityksistä myös vaikeimmista tietosuoja-asetuksen soveltamisen osista. Tästä syystä on ilo valita hänet vuoden tietosuojavaikuttajaksi, sanoo GDPR Techin perustaja ja toimitusjohtaja Juha Sallinen.

Tampereen kaupungin tietosuojavastaavana toimiva Ari Andreasson tuo esille käytännön toimien tarpeellisuuden tietosuojatyön jalkauttamisen kautta. Hän osallistuu kansallisiin työryhmiin vaikuttaen tietosuoja-asiantuntijana myös valtakunnallisella tasolla. Sivutoiminen kirjoittaminen on tuottanut useita käytännön oppaita kokemuksista niin johdolle kuin tietosuojavastaaville. 

Ari on myös toinen OpiTietosuojaa.fi verkkosivuston perustajista. Sivusto toimii tietosuojavastaavien verkostoitumispaikkana, niin yksityisen kuin julkisen toiminnan linkkinä. Hän on tunnettu asiantuntevista, ajankohtaisista ja selkeistä esityksistä myös vaikeimmista tietosuoja-asetuksen soveltamisen osista.

Ari Andreassonissa asetus kohtaa käytännön toimet: onkin ilo onnitella vuoden 2021 Tietosuojavaikuttajaa. Ari on vastaanottanut asianmukaisen pokaalin Tampereella joulukuun alussa.

GDPR-päivä on kerran vuodessa pidettävä tietosuojaan keskittynyt seminaaripäivä. Puhujat valitaan tarkasti päivän teemaan sovittaen. 

Kuka pelkää DPIAa?

GDPR tech

Stanislav Jerzy Lec kirjoitti (vapaasti mukaellen), että pykälän merkki muistuttaa teloitusvälinettä.

Monelle meistä englanninkieliset lyhenteet synnyttävät saman mielikuvan. Yksi tällainen värisyttävä on DPIA (Data Protection Impact Assessment) eli vaikutustenarviointi. Värinä on tarpeetonta: DPIA on taipuisa työkalu, joka oikein käytettynä säästää päivätolkulla työaikaa monessa järjestelmäprojektissa ja toisaalla luo varmuutta uusien prosessien käyttöönottoon.

DPIA on oma miniprosessinsa. Työskentelyn pohjaksi valitaan yleensä joko organisaation oma tai netistä kalastettu excel-dokumentti, jossa on lista aika peruskysymyksiä työn alla olevasta järjestelmän kehittämisestä, sen käyttöönotosta loppuasiakkaalla tai uuden prosessin käyttöönotosta omassa organisaatiossa.

Ja siitä se ralli alkaa: parhaassa tapauksessa yhteinen pohdinta siitä, mitä henkilötietoja tähän järjestelmään kertyy ja ennen kaikkea: tarvitaanko niitä? Millä perusteella niitä kerätään? Mitä niillä tehdään ja miten niistä pidetään huolta.

Henkilötietojen suojan osalta voidaan kylmästi todeta, että näiden kysymysten kera ollaan perimmäisten asioiden äärellä. Vastausten pohdinnan jälkeen alkaa varsinainen sauna, kun aletaan miettiä mitä riskejä uudistus tuo mukanaan.

Se VOI olla epämiellyttävä sauna, mikäli mahtavasti visioidun järjestelmän tai kaiken uudistavan – jopa virtaviivaistavan! – prosessin alta paljastuu ominaisuuksia, jotka eivät kestä DPIA:n myllyttäessä tarkkoja kysymyksiään. Parhaimmassa tapauksessa muutos tai kehitystyö pitää pohtia uudestaan, ja etsiä vaihtoehtoisia, riskittömiä tapoja toteuttaa tavoitteet.

Tämä, jos mikä, on tehokasta. Järjestelmäprojekteissa se säästää työaikaa ja toteuttamisaikaa. Ja mikäli loppuasiakas tyrmää järjestelmän hyödyntämisen omassa DPIA:ssaan, huolellisesti laadittu DPIA pelastaa asiakkuuden ja maineen.

Tietosuojavaltuutetun toimiston verkkosivuilla (tietosuoja.fi) sanotaan näin: ”Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.”

Somasti sanottu. Ja vieläpä totta.

Jaanaliisa Kuoppa

Konsultti

Schrems II, evästehässäkkä ja sanktiot – kuka pysyy perässä?

Viime vuosien aikana on tietosuoja-asioissa tapahtunut paljon – ja jatkuvalla syötöllä lisää! 

EU GDPR vuonna 2016, Suomen tietosuojalaki sitä tukemaan tammikuussa 2019 ja lisäksi etenkin julkishallintoa koskevana tiedonhallintalaki tammikuussa 2020. UK:n Brexit, UK GDPR, eri maiden omat tietosuojalait kuten Etelä-Afrikan POPIA ja Kiinan PIPL (vedos) kasaavat organisaatioille paineita. 

Lisäksi pilvi- sekä SaaS-palveluiden käyttö kasvaa. Toisaalta vanha sopimus Yhdysvaltojen kanssa, Privacy Shield, kumottiin heinäkuussa 2020. Evästehässäkän osalta Helsingin hallinto-oikeus kumosi keväällä 2021 Liikenne- ja viestintäviraston (Traficom) tekemät päätökset koskien verkkosivujen evästekäytänteitä ja ristiriitaiset ohjeistukset ehkä saavat tänä vuonna selvyyttä.

Miten nämä vaikuttavat tietojen ja sovellusten käyttöön? Kuka pysyy perässä näissä muutoksissa, kun osa organisaatioista ei ole aloittanut edes GDPR:n minimitoimia? Etene osissa osoitusvelvollisuuden osalta. Alla muutama ajankohtainen huomio. Jos jää kysyttävää, ota yhteyttä!

Schrems II – loppuuko pilvipalveluiden käyttö?

Varsinainen soppa, jossa taustalla Itävaltalainen tietosuoja-aktivisti Max Schrems, joka pani ensin Facebookin polvilleen henkilötietojensa käsittelystä (Schrems I), ja seuraavaksi hän puuttui henkilötietojen siirtoon Yhdysvaltoihin ensin ”Safe Harbour” ja myöhemmin ns. ”Privacy Shild” -sopimuksen osalta. Kesällä 2020 tuli päätös, jossa mukana EU-tuomioistuin sekä Euroopan tietosuojaneuvosto (EDPB). Pitkä tarina lyhyenä ja lopputulos – Privacy Shield -sopimus kumottiin, mistä EDPB on todennut näin.

Tuomioistuin totesi Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyyttä koskevan päätöksen pätemättömäksi, koska tietojen siirtäminen kyseiseen kolmanteen maahan merkitsee puuttumista niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään.

Tämä päätös astui voimaan ilman siirtymäaikaa kesällä 2020. Niinpä Yhdysvaltoihin ”siirrettävä data on suojattava EU GDPR:n tasoisesti, muuten siirto on laiton”. Tähän taas liittyy käsite ”siirto”, josta keskustellaan, onko ”käsittely” siirtoa eli jos Yhdysvalloista on pääsy dataan, onko tämä siirtoa. Tiukasti tulkinnut Saksan tietosuojaviranomainen on esimerkiksi kieltänyt Mailchimp nimisen sähköpostimarkkinointiohjelman käytön. 

Tämä taas on joidenkin yritysten keskuudessa tulkittu Mailchimp ongelmaksi, joka se ei ole. Tiukimpien tulkintojen mukaan minkä tahansa palvelun, jossa henkilötietoon on pääsy Yhdysvalloista, käyttö tulisi joko lopettaa tai miettiä ”lisäsuojauksia” tai mahdollisesti uusien mallisopimuslausekkeiden käyttöä. Näissä taas ongelmana on se, että jos maan lainsäädäntö esimerkiksi edellyttää pääsyä dataan, se täytyisi antaa – riippumatta miten se on suojattu tai millainen sopimus on tehty. 

Miten tästä nyt selvitään? Ensimmäiseksi on tiedettävä, mitä sovelluksia on käytössä ja missä dataa käsitellään.

Mitä suosittelemme tehtäväksi?

Olennaista on muodostaa todellinen kuva tietojen käsittelystä. Moneen yllä mainittuun nimittäin liittyy tietojenkäsittelyn kuvauksien päivittäminen ajan tasalle (seloste käsittelytoimista, siis sisäinen dokumentaatio). Lisäksi vaikutustenarvioinnit (DPIA), tietojenkäsittelysopimukset (DPA, data processing agreement) ja mahdollisesti muut sopimukset kuten mallisopimuslausekkeet tai siirtoihin liittyvät vaikutustenarvioinnit (TIA) on saatettava kuntoon.

Etene siis vaiheittain

Käytännön toimien osalta suosituksemme on siis edetä vaiheittain. Sitä voisi kuvata esimerkiksi tällä tavalla:

  • Selvitä missä järjestelmä käsittelee tietoja (toimittaja, maa)
  • Jos dataa käsitellään tai siihen on pääsy EU:n ulkopuolelta, selvitä käsitelläänkö siinä EU GDPR:n alaisia tietoja
  • Selvitä, onko sinulla vaihtoehtoa siirtää palvelua EU:n sisälle – esimerkin Mailchimp tai ActiveCampaign löytyy kyllä vaihtoehtoja, jopa Suomesta
  • Seuraava järjestelmä – käy läpi kaikki järjestelmäsi – jos niitä on paljon, niin priorisoi tärkeimmät aluksi

Me teemme myös näitä selvityksiä, joten tarvittaessa ota yhteyttä, laitetaan Schrems II ja GDPR asiat kuntoon!

Evästeistä, Vastaamosta ja ylitulkinnoista: asiantuntijamme keskustelevat

GDPR Techin asiantuntijat vaihtoivat ajatuksia viime vuodesta ja myös nykyisestä. Kävimme keskustelua tiimin kanssa viime vuodesta, viestinnästä sekä tietosuojatyön nykytilasta. Mukana keskustelussa oli tiimistämme Jaanaliisa, Mervi ja Juha.

JUHA: Minulla on sellainen tunne, kun on viime aikoina puhuttu mm. evästeistä ja markkinoinnista ja markkinoinnin seurannasta, että se jakaa laajasti yrityksiä. Osa käsittelee tietoja vähän törkeästi ja osa edes yrittää miettiä, miten markkinoida lainmukaisesti. Pääosa ei edes tiedä mitään jostain ePrivacystä, mutta evästeisiin kuulemma pitää olla joku hyväksyntä. Kuulemma lain mukaan pitää myös sivulla olla joku rekisteriseloste.

Näitä on sitten nettisivut täynnä, mutta teknisesti evästebannereista noin 99 % ei toimi. Kysymys kuuluu, onko tehty riittäviä ”teknisiä ja organisatorisia toimia” laittamalla joku cookie-popup sivustolle. Sehän vain ärsyttää. ”Rekisteriseloste” ja sen pakollisuuskin on ymmärretty väärin – kysehän on informointivelvoitteesta, jossa verkkosivu on näppärä paikka. Nimenä voisi olla ”lupaus tietojen käsittelystä” tai ”Tietosuojalupaus”.

JAANALIISA: Traficomin lepsu ohjeistus antaa luvan painaa löysää kaasua. Tässä siis teille automiehille!

Mietin, tuleeko tänä vuonna asenteeseen jokin muutos: viime vuosi ainakin jätti kovan perinnön Vastaamo-keisin takia. Kaipa yritykset vain käpertyivät tilanteessa eivätkä halua lähteä penkomaan ja kyseenalaistamaan tekemiään ratkaisuja.

MERVI: Mieleen tulee lähinnä maturiteetin kasvun GDPR:n voimassaoloajan funktiona. Eli selkokielellä se, että alun yli- ja alilyönneistä (uhkakuvien maalailu, GDPR-ylitulkinnat ja misinterpretaatiot vs. se, että ollaan niin kuin GDPR:ää ei olisikaan) ollaan toivon mukaan päästy tasaisemmalle maaperälle. Uhkakuvat ja kiusanteonomaiset GDPR-tulkinnat eivät toteutuneetkaan, vaikka GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

JUHA: Tuo Traficom-ohjeistus on todella erikoinen. Nyt ollaan taas tilanteessa, jossa yritys toimiessaan Suomessa tai kansainvälisesti, ei ihan tiedä mitä ohjeita pitää noudattaa. Traficom-ohjeilla voi päätyä sanktioille esim. Belgiassa tai Espanjassa.

Mervin huomioon lisänä, että nyt on yritysten kauppojen yhteydessä alettu Due Diligence -prosessissa kiinnittää huomiota siihen, ovatko asiat kunnossa. Syksyn psykoterapiakeskuksen case näyttää alustavasti siltä, ettei ole. Tästä on noussut nostoja myös muuhun toimintaan liittyen.

JAANALIISA: Yrityksissä ja myös organisaatioissa ovat pohdinta- ja päätöksentekoprosessit usein hitaita. Tämä monelle tuttu kokemus tuli mieleeni Mervin maturiteetti-maininnasta. Haluan ajatella, että erityisesti Vastaamon tapauksen jälkeen muissakin kuin sote-yrityksissä on alettu epäillä oman organisaation tietojen tilaa ja siksi suunnitella tarpeellisia GDPR-aktiviteetteja.

Näin ajattelen, ja toivon myös.

JUHA: Niinpä – organisaation valmiuteen tai maturiteettiin liittyvää on myös GDPR-koulutus ja usein sen räikeä puute.

Jostain syystä edelleen GDPR nähdään pakkona, uhkana ja työnteon estäjänä. Sen sijaan pitäisi miettiä, miten suojataan ihan tavallisten ihmisten tietoja ja siinä samalla liiketoimintaa. Valitettavasti näyttää siltä, että Suomessa Vastaamosta yhtiönä tulee ensimmäinen GDPR:n ”uhri” vaikka todelliset uhrit ovat asiakkaat, joiden tietoja on julkisten tietojen mukaan käsitelty leväperäisesti.

Asia on sama, mistä on puhuttu aiemmin: joku yksittäinen paperidokumentti ei todellakaan riitä, vaan tämä on jatkuvaa työtä samaan tapaan kuin osakeyhtiön kirjanpito.

JAANALIISA, MERVI ja JUHA: Tietosuojatyö ei siis hävinnyt minnekään, GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

Tietosuojatyössä on varmasti kaikilla kehitettävää, tärkeää on havaita ja aikatauluttaa tärkeimmät.

Pienenkin muutoksen jalkauttamiseen kannattaa panostaa

GDPRTech

Juha kirjoitti Marraskuun blogissaan suunnittelun ja valvonnan merkityksestä tietosuojan tason takaajina – tärkeitä asioita molemmat. Hyvin suunniteltu tarkoittaa, että palveluita ja järjestelmiä on myös helppo käyttää. Ylivoimaisesti suurin osa yritysten ja yhteisöjen työntekijöistä ei GDPR:stä juurikaan tiedä tai välitä: tämä on ihan normaalia eikö fanaattisinkaan tietoturvapiällikkö tai tietosuojavastaava voi enempää toivoa.

Juuri siksi suunnitteluvaiheessa on tärkeätä pohtia, miten GDPR:n vaatimukset organisaation sisäisesti kommunikoidaan, koulutetaan ja toteutetaan.

Kommunikointi olisi hyvä aloittaa jo hankkeen siinä vaiheessa, jossa tiedetään mitä ja minkälaista dataa säilötään ja käytetään, eli juuri kun datan tila ja tarve on kartoitettu. Valitettavan usein viestintä jää pariin sähköpostiin, joissa voivotellaan kiusaa, jonka lainsäätäjä on meille yksipuolisella ilmoituksella antanut ja jota nyt vaan on pakko noudattaa. Ohjeistuksessa kerrotaan sitten muutamalla ranskalaisella viivalla vain se mitä ei saa tehdä.

 Mielestäni tässä vaiheessa on riski tehdä ensimmäinen virhe, ja aika kallis sellainen. Pakko on huono motivaattori: jos henkilökunnalle edes pääpiirteittäin selitetään, mistä on kyse ja miten väärinkäytökset voivat vaikuttaa liiketoimintaan, ihmismielen on vaivattomampaa omaksua asia ja motivoitua tietosuojatyöhön. GDPR on hankalasti tulkittavaa lakitekstiä ilman suoranaisia ohjeita siitä, miten asiat pitää hoitaa. Silti siitä voidaan tunnistaa tarpeellisia käytännön toimia, jotka voidaan organisaatiossa myös suunnitella käytettävyydeltään vaivattomiksi.

Henkilökunnalle suunnattu koulutus pitäisi aina muokata asiakkaan tarpeita ja tilannetta vastaavaksi eikä oikoa mutkia ja kopioida suoraan mitä on aikaisemmin tehty. Tällöin otetaan huomioon perustelut tietosuojatyölle, jolloin henkilökunnan on helpompi ymmärtää ja hyväksyä sille asetetut vaatimukset. Tietosuoja on toki yrityksen vastuulla, mutta töppäily omassa työssä yleensä tekee hallaa urakehitykselle tai voi jopa olla sen loppu. Tietämättömyys ei ole enää käyttökelpoinen peruste.

Käytettävyys valitettavan usein jää kauniiden esitysten ja kaavioiden tasolle, joita laadittaessa henkilökunnan kokemuksia ja osaamista ei kuunnella. Kuka tietää paremmin kuin henkilökunta miten yrityksessä hoidetaan asiat? Palvelumuotoilun oma perisynti taas on testauksen puute jo suunnitteluvaiheessa; käytännössä prosessit usein kopioidaan eivätkä välttämättä sovi kyseisiin tarpeisiin.

Summa summarum: yhteistyössä asiantuntijan kanssa suunniteltu ja toteutettu GDPR- tai tiedonkartoitusprojekti onnistuu aina paremmin kuin googlettamalla kasattu lista toimenpiteistä, joiden tulkitseminen ja toteuttaminen loppukädessä jää suurelta osin henkilökunnan tehtäväksi. Pahimmassa tapauksessa, jäävät osittain tekemättä.

Meillä GDPR Tech:ssä on osaajia myös kommunikaation, koulutuksen ja palveluiden käytettävyyden suunnittelussa. Kohtuullinen lisäpanostus muutoksen jalkauttamiseen maksaa kyllä itsensä takaisin, kun projektin tuloksia arvioidaan jälkeenpäin.

Pelkkä päiväkäsky toimia niin tai näin jää todennäköisesti otsikkotason suoritukseksi eikä turvallista henkilötietojen käsittelyä saada osaksi yrityksen tai yhteisön toimintakulttuuria.

Kirjoittaja on yritystietoturvan moniottelija joka viimeaikoina on hurahtanut palvelumuotoilun koukeroihin ja kokenut valaistumisen käytettävyydestä olennaisena osana kokonaisuutta.