Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

Monet yritykset pitävät GDPR:ää edelleen hankalana vaatimuksena ja pakollisena pahana. Usein GDPR:ää lähestytäänkin kertaharjoituksena, joka kirjoitetaan paperille, mapitetaan ja unohdetaan. Valtaosa yrityksistä kuitenkin niin B2B kuin C2B puolella käsittelee ja tallentaa asiakkaiden henkilötietoja päivittäin.

Henkilötietojen käsittelyyn liittyy aina riskejä. Pahimmillaan yritys voi saada merkittäviä maine ja taloudellisia haittoja. Johto voi myös joutua raskaiden syytösten kohteeksi, jos asiakkaan henkilötietoja on esimerkiksi vuotanut kolmannelle osapuolelle tai julkisuuteen ilman lupaa. Parhaimmillaan GDPR-asetus voi kuitenkin tukea liiketoimintaa virtaviivaistamalla ja parantamalla useita yrityksen ydinliiketoimintoja.

Sama malli ei sovi kaikille

Yrityksellesi on tärkeää tunnistaa oman liiketoiminnan riskit ja varmistaa, että toiminta on tietosuojalain mukaista oikeita työkaluja käyttäen. Riskienhallinta on oltava oikeasuhteinen ja sopiva organisaation kokoon nähden, ja avainasemassa on ymmärtää yleinen riskinottohalu. Eri yrityksillä on erimuotoisia ja -tasoisia riskejä ja organisaation tulee suojata niin pääoma- kuin asiakastietoja. Riskienkartoitus ei ole tärkeää vain GDPR:n kannalta, vaan se auttaa parantamaan myös asiakassuhteiden hallintaa.

Tämän päivän kuluttajat ja asiakkaat ovat yhä enemmän tietoisia oikeuksistaan. He seuraavat tapaa, jolla heidän tietojaan hallitaan, ja siten painostavat yrityksiä vahvistamaan tietoturvainfrastruktuuriaan. Valitettavan usein yritykset käyttävät paljon rahaa yrityskuvan korjaamiseen tietomurron jälkeen, mutta eivät ota proaktiivista roolia riskinhallinnan ehkäisevien toimenpiteiden rakentamisessa.

Riskikartoituksen avulla voidaan välttyä tietomurroilta

GDPR-riskiarviointi on kaiken lähtökohta vaatimustenmukaisuuden puutteiden tunnistaminen, jotka voivat olla huolestuttavia asiakkaiden tietojen suojaamisessa esimerkiksi tietomurroilta. Tarkoituksena on tunnistaa, analysoida ja arvioida mahdolliset uhat. Tämän jälkeen yritys voi suunnitella yleisen toimintamallin tietojen suojaamiseksi. Samalla tavalla kuin yritys vaihtaa fyysisiä lukkoja toimitiloissaan tulee tietosuojalukot olla kunnossa. Riskejä ovat muun muassa heikot suojausmekanismit kuten salasanat, huolimattomuus ja hakkerit. Tietovuoto ja tietosuojaloukkaus ovat mahdollisia suojauksen pettäessä. Julkisuudessa tällä hetkellä laajasti esillä olleen Psykoterapiakeskuksen johto on esimerkiksi asetettu rikosoikeudelliseen vastuuseen tietovuodosta.

Mahdollisia seurauksia yritykselle suojauksen pettäessä on:

• Taloudelliset haitat, kuten sanktiot tai sakkorangaistukset
• Mainehaitat ja brändin arvon lasku
• Tyytymättömiä asiakkaita
• Asiakkaiden menetys

Riskikartoituksen vinkit

Riskienkartoitus edellyttää, että kaikki yrityksesi osastot tarkastelevat tarkasti tietojaan. Mitä tietoja heillä on, miten niitä käsitellään ja mitä tapahtuisi, jos ulkopuolinen pääsisi tietoihin käsiksi. Mieti miten kyberrikolliset ja työntekijät voivat vaarantaa yrityksesi arkaluonteisia tietoja.

Tässä muutamia vinkkejä, joilla pääset alkuun:

1. Kartoita yrityksesi tiedot

Kartoita, mistä kaikki yrityksesi henkilötiedot ovat peräisin, miten ne on dokumentoitu ja mitä teet tiedoilla. Tunnista, missä tiedot sijaitsevat, kenellä on pääsy niihin ja voiko tiedot vuotaa.

2. Selvitä, mitä tietoja sinun on säilytettävä

Älä säilytä sen enempää tietoja kuin on tarpeellista ja poista kaikki tiedot, joita et käytä. Jos yrityksesi on kerännyt paljon dataa ilman todellista hyötyä, nyt on aika pohtia, mitkä tiedot ovat tärkeitä yrityksellesi.

Kysy itseltäsi puhdistusprosessin aikana:

• Miksi juuri arkistoimme nämä tiedot sen sijaan, että vain poistaisimme ne?
• Miksi tallennamme kaikki nämä tiedot?
• Mitä yritämme saavuttaa keräämällä esimerkiksi nämä henkilötiedot?
• Onko taloudellinen hyöty suurempi suojattujen tietojen pitämisessä kuin poistamisessa?

3. Ota turvatoimenpiteet käyttöön

Ota käyttöön suojatoimet, jotta tietoturvaloukkaukset voidaan estää. Tämä tarkoittaa tietoturvatoimien käyttöönottoa tietoturvaloukkauksilta ja nopean toiminnan ilmoittamista henkilöille ja viranomaisille, jos tietoturvaloukkaus tapahtuu.

Tarvitsetko apua?

Eikö aika tai osaaminen riitä? Me tarjoamme riskienkartoituspalvelua. Voimme auttaa yritystäsi tunnistamaan ja analysoimaan riskit. Ydintoimintaamme kuuluu prosessien suoraviivaistaminen ja selkeän toimintasuunnitelman tuottaminen. Me olemme täällä tukemassa liiketoimintaasi. Järjenkäyttö on aina sallittua ja usein tarvittavat toimenpiteet voivat olla hyvin pieniä.

Mikä on Schrems II?

• Euroopan unionin tuomioistuin antoi 16. heinäkuuta 2020 tuomion, jonka mukaan EU:n ja Yhdysvaltojen välinen Data Privacy Shield -sopimus mitätöitiin. Monet yritykset luottivat tähän sopimukseen mm. siirtäessään tietojaan Yhdysvaltojen ja EU:n välillä.

• Päätöksen seurauksena henkilötietojen siirrot Euroopan talousalueen ulkopuolelle edellyttävät aiempaa kattavampaa riskiarviointia ja mahdollisia lisätoimia. 

• Henkilötietojen käsittelyllä EU alueen ulkopuolella tarkoitetaan tilannetta, jossa tiedot on tallennettu EU alueen ulkopuolelle ja lisäksi tilannetta, jossa EU alueen sisälle tallennettuun tietoon pääsee etäyhteydellä EU alueen ulkopuolelta. 

• Tämä tuomio tuli myöhemmin tunnetuksi puhekielenä Schrems II, joka on nimetty Max Schremsin, aktivisti ja asianajajan mukaan, joka aloitti tämän juridisen taistelun Privacy Shield sopimusta vastaan.

Mitä nyt?

• Päätöksestä on nyt kulunut lähes kaksi vuotta. Eurooppalaisten yritysten on suoritettava yksilölliset arvioinnit jokaisesta tiedonsiirrosta EU alueen ulkopuoliseen maahan varmistaakseen vaatimustenmukaisuuden. Käytännössä tämä tarkoittaa DPIA ja TIA tiedonsiirtoja koskevaa riskiarviointia.
  
• Schrems II päätöksen huomiotta jättäminen voi aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.

• Operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja, mutta yritysten pitää miettiä mitä työkaluja he voivat käyttää.

Suomalaiset yritykset saattavat siirtää valtavia määriä tietoa koko ajan kaukaisille palvelimille. Pilvipalveluiden avulla säilytetään esimerkiksi dokumentteja, valokuvia, videoita, kalenterimerkintöjä ja muita tiedostoja. Monet yritykset saattavat myös käyttää Yhdysvalloissa sijaitsevan yrityksen tarjoamaa työkalua vaikkapa sähköpostimarkkinointiin.

Pilvipalveluiden etuina ovat usein joustavuus ja nopeus. Käyttäjä pääsee lähes mistä tahansa kätevästi käsiksi tietoon, jota on helppo siirrellä ja tarvittaessa jakaa muille. Yritykset myös usein ajattelevat tekevänsä kustannussäästöjä, kun valitsevat esimerkiksi edullisen ja tunnetun työkalun joka toimii pilviteknologialla. Helppouden takana voi kuitenkin vaania vaara, jos palvelu sijaitsee Yhdysvalloissa ja ei oteta huomioon Schrems II päätöksen vaikutuksia. Schrems II päätöksen huomiotta jättäminen voikin aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.

Yhdysvaltain tietosuojalainsäädäntö ei vastaa Euroopan tasoa

Euroopan ja Yhdysvaltojen välillä oli aikaisemmin henkilösuojasopimus nimeltään Safe Harbor. Safe Harbor sopimuksen ollessa voimassa yritykset pystyivät helposti siirtämään tietojaan Eurooppalaisen tietosuojalain mukaisesti. Eurooppalaisten henkilötietoja voitiin käsitellä lain mukaisesti Yhdysvalloissa ja toisin päin. 

Safe Harbor sopimus kuitenkin mitätöitiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Data Privacy Shield. Kuitenkin jo heinäkuussa 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Itävaltalainen lakimies ja oikeusaktivisti nimeltä Maximilian Schrems haastoi Privacy Shield sopimuksen. Tuli ilmi, että Yhdysvaltain lainsäädäntö mahdollistaa viranomaisten pääsyn tarvittaessa Yhdysvalloissa sijaitsevaan henkilötieto dataan.

Tämän jälkeen tietosuojalainsäädännön osalta on todettu eri dokumenteissa, että Yhdysvaltain tietosuojalainsäädäntö ei ole riittävällä tasolla verrattuna Eurooppalaiseen GDPR:ään. Tästä johtuen henkilötietojen käsittely yhdysvaltalaisten toimijoiden osalta ei siis ole eurooppalaisen tietosuojalainsäädännön mukaista eikä sitä kautta hyväksyttävää.

Myös EU:n sisällä tietosuojalainsäädäntö ja tietosuojan taso on erilainen.

Euroopan sisällä nykytilannetta tulkitaan eri tavoin, koska eri maiden lainsäädännöt ovat erilaisia. Myös erilaisia päätöksiä on tehty pitkin Eurooppaa mm. Tukholman kaupunki teki muutaman kuukauden takaisen päätöksen, jossa he totesivat etteivät voi käyttää Microsoft 365 palvelua, Ranska totesi keväällä 2022, että Google Analyticsin käyttö rikkoo tietosuojalainsäädäntöä ja Saksassa Baijerin osavaltion tietosuojaviranomainen on todennut uutiskirjepalvelu Mailchimpin laittomaksi Schrems II -tuomion myötä.

Kolme toimintamallia

Privacy Shield ei ole ollut voimassa nyt lähes kahteen vuoteen. Mitä tämä käytännössä tarkoittaa ja miten tämä vaikuttaa yrityksen operatiivisiin toimintoihin? Tarkoittaako tämä sitä että, yhdysvaltalaisia pilvi- tai SaaS (Software-as-a-Service) palvelutoimittajia ei voi enää käyttää? Olemme listanneet alle kolme mahdollista toimintamallia:

1. En tiedä, enkä aio tehdä asialle mitään:
   Miksi en voisi jatkaa tai ottaa palveluita käyttöön, koska kaikki muutkin niin tekevät? Naapurin Sepollakin tämä toimii vallan mainiosti, ainakin kaiman kummin mukaan. Jatkan entiseen malliin Schrems II sopimuksesta välittämättä. Otan siis riskin.
   
   
2. Pienennän riskiä:
   Kartoitan riskini ja jatkan joidenkin yhdysvaltalaisten palvelujen tarjoajien käyttöä, mutta teen toimenpiteitä, jolla pienennän tietoturvariskiä. Teen mm. erilaisia teknisiä suojatoimenpiteitä suojellakseni dataani. Tarvittaessa lisään tai korvaan palveluita myös eurooppalaisilla ja suomalaisilla työkaluilla.
   
   
3. Pelaan täysin varman päälle:
   Poistan kaikki yhdysvaltalaiset palvelujentarjoajat ja käytän pelkästään eurooppalaisia tai suomalaisia työkaluja. Luulo ei ole tiedon väärti.

Ei toimintojen kieltämistä vaan henkilötietojen suojaamista!

Itse operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja. Riskialtista on kuitenkin käyttää yhdysvaltalaista palvelujen tarjoajaa toimenpiteisiin, jossa liikkuu henkilötietoja, koska silloin rikotaan tietosuojalainsäädäntöä. Esimerkiksi myös yhdysvaltalainen laskentatyökalu voi olla täysin laillinen, jos sen alaisuudessa ei käsitellä henkilötietoja.

Kartoitetaan riskit yhdessä

Sinulle on tärkeää tunnistaa liiketoimintasi riskit ja varmistaa, että yrityksesi toimii tietosuojalain mukaisesti oikeilla työkaluilla. Varmista, ettet tee turhaa työtä valitsemalla tai kouluttamalla henkilökuntaa uusiin työkaluihin, jotka ovat tietosuoja lainvastaisia.

Riskejä, joita saatat kohdata:

• Mainehaitta ja brändin arvon lasku
• Tyytymättömät asiakkaat, jotka ovat huolissaan tietosuojasta
• Tietovuoto ja tietosuojaloukkaus
• Kaikki riskit voivat johtaa asiakkaiden menetykseen, sanktioihin tai sakkorangaistuksiin!

Mieti seuraavia kohtia:

• Miten tieto yrityksessäsi kulkee?
• Mitä palveluita ja työkaluja on käytössä, mikä on niiden rooli sekä mahdolliset riskit?
• Mitä muita palveluita tai työkaluja voitaisiin käyttää?

Jos kaipaat apua kartoitukseen suosittelemme sinulle meidän Schrems II työpajaa, jossa vastaamme yllä oleviin kysymyksiin. Katsomme yhdessä yrityksesi tiedonkulun, käytetyt palvelut ja työkalut sekä kartoitamme riskit. Työpajasta syntyy käytännön suunnitelma, jota yrityksesi voi turvallisesti noudattaa.

Tilaa kevyt Schrems II työpaja tästä!

Eettinen ja arvoperäinen toiminta on nykypäivänä entistä tärkeämpää jokaisen yrityksen maineen kannalta. Muista suojella omaa sekä asiakkaidesi dataa. GDPR ei ole katoamassa tai menossa pois – tämä on vasta ensimmäinen kierros, joten mukaan kannattaa hypätä jo nyt!

Selviydytään yhdessä Schrems II:n aiheuttamista haasteista!

Kansainvälistä tietosuojapäivää vietettiin 28.1. Ajankohtaisia aiheita käytiin viikolla ja lisäksi otimme haastatteluun yritysturvallisuuden parissa vuosia toimineen konsultti Hannu Huttusen HPH Consultingistä. GDPR Techiltä keskustelussa mukana oli konsultti Juha Sallinen, ja teemoina sopivasti tietosuoja sekä tiedonhallinta.

Järjestimme yhteistyössä Tutkimusvoiman kanssa viime vuoden lopulla kyselyn, jolla kartoitimme organisaatioissa toimivien ihmisten käsitystä GDPR:stä, EU:n tietosuoja-asetuksesta. Yllättävän moni piti asetuksen mukanaan tuomaa muutosta hyvänä: kyselyssä yli 70 % vastaajista koki luottamuksensa kasvaneen henkilötietojen käsittelyyn.

Juha: Tietosuojaan liittyy saumattomasti yritysturva. Olemme muun muassa projekteissamme huomanneet, että etenkin PK-yrityksistä puuttuu riskienhallinta – tai ainakaan riskejä ei ole tunnistettu. Usein projektien jälkeen huomataan, että GDPR-projekti on samalla parantanut yritysturvallisuutta, esim. toimitilojen suojauksien osalta. Tuntuu oudolta, että vielä 2020-luvulla tällaiset asiat eivät ole kunnossa.

Mitä mieltä Hannu olet, mistä tämä johtuu: otetaanko yrityksissä tarpeettomia riskejä?

Hannu: Kun mietitään nykyistä maailmankuvaa ja miten kansainvälinen yrityksiin kohdistuva rikollisuus on rantautunut myös Suomeen, ihan kotimaisinkin voimin, on outoa miten yritykset eivät suhtaudu asiaan vakavasti. Erityisesti siksi, että viranomaiset ovat viime vuosina varoittaneet aktiivisesti lisääntyvästä yritysrikollisuudesta, joten asia ei ole voinut mennä silmien ja korvien ohi.

Kyllä, tarpeettomia riskejä otetaan luvattoman paljon.

Kun olen kysellyt yrityksiltä, miksi riittävään riskienhallintaa ei nähdä tarpeen panostaa, edelleenkin useimmiten vastauksena on, ettei ennenkään ole sattunut mitään tai että yrityksen toiminta on niin pientä/huomaamatonta, ettei se kiinnosta ketään. Ristiriitaista tuosta tekee sen, että miten yritys edes kykenee huomaamaan niihin kohdistuneet rikokset, jos niiden havainnointiin ei ole mitään suunnitelmallisia keinoja ja varautumista.

Juha: Tietosuojalainsäädäntö on aika uutta ja ymmärrän siksi, että riskejä henkilötiedon suojalle ei osata oikein tunnistaa. Kyselyssä tuli esille kuitenkin sekin, että ihmiset ovat aika laajasti huolissaan omien henkilötietojensa käsittelystä, sillä yli 40 % oli huolissaan tietojen päätymisestä rikollisille. Vaikka Suomessa joka vuosi päätyy jopa potilastietoja roskiin ja kaatopaikalle, ajatellaan ”ei tämä varmaan juuri minulle satu”. Eräässä koulutuksessa tuli esiin yrittäjä, joka halusi pystyttää verkkokaupan mahdollisimman helposti ja halvalla kysyen ”mitkä ovat GDPR:n minimit”, joilla pääsee liikkeelle. Kun puhuin verkkorikollisuudesta sekä erilaisista automaateista, joissa kuka tahansa voi jäädä ”alle”, niin selkeästi puhuttiin eri kieltä. Nopeasti ja halvalla, laadusta ja riskeistä viis.

Osasyy näihin riskeihin, mitä me näemme mutta moni ei, on ehkä se, että puhumme eri kieltä eikä ehkä osata tuoda liiketoiminnalle hyötyjä uhkien sijaan. Mitä olet tästä mieltä?

Hannu: Tämä on mielenkiintoinen kysymys, enkä tiedä onko siihen selkeää vastausta? Varmasti yksi syy on eri kielen puhuminen, mutta varmasti myös ymmärtämättömyys siitä, miten luvattomasti hankittua tietoa voidaan hyödyntää tiedon luvallisen haltijan/omistajan haitaksi. Tieto on valtaa ja myös arvokkainta kauppatavaraa, vaikka se kuulostaakin kliseeltä.

Rikolliset ovat entistä kekseliäämpiä tiedon hyödyntäjiä. Tietoyhteiskunnassa tietoa voidaan käyttää materiaalisen omaisuuden hankintaan, jolloin esim. henkilötiedot ovat tavallaan valuutta, jolla tuota omaisuutta hankitaan. Näin yhdistetään vanhan ajan rikollisuus, jolloin omaisuutta hankittiin tekemällä murtoja, nykyaikaan hankkimalla omaisuutta hyödyntämällä tietoa, esim. henkilötietoja verkkorikollisuudessa, jolloin ei tarvitse lähteä kylmään yöhön murtokeikalle.

Juha: Kiitos Hannu keskustelutuokiosta. Yritysturvallisuuteen liittyvissä asioissa kannattaa hoitaa asiantuntijan kanssa: otapa yhteyttä Hannu Huttuseen.

Tietosuoja-asioissa niin me kuin verkostomme voimme auttaa!

Wakarun ja GDPR Techin järjestämässä GDPR-päivässä on kuultu vuosien aikana monta erinomaista puhujaa. Vuonna 2021 neljättä kertaa pidetyssä GDPR-päivässä nostettiin ensimmäistä kertaa esiin vuoden tietosuojavaikuttaja. Hän on Tampereen kaupungin tietosuojavastaava, tietosuojakirjailija Ari Andreasson.

• Tietosuoja-asetusta tulkitaan usein väärin ja liiankin kirjaimellisesti. Tästä syystä haluamme nostaa esiin valtakunnallisia toimijoita, jotka osaavat tulkita asetuksen vaatimuksia organisaatioiden todellisuus huomioiden. Ari Andreasson on tunnettu asiantuntevista, ajankohtaisista ja selkeistä esityksistä myös vaikeimmista tietosuoja-asetuksen soveltamisen osista. Tästä syystä on ilo valita hänet vuoden tietosuojavaikuttajaksi, sanoo GDPR Techin perustaja ja toimitusjohtaja Juha Sallinen.

Tampereen kaupungin tietosuojavastaavana toimiva Ari Andreasson tuo esille käytännön toimien tarpeellisuuden tietosuojatyön jalkauttamisen kautta. Hän osallistuu kansallisiin työryhmiin vaikuttaen tietosuoja-asiantuntijana myös valtakunnallisella tasolla. Sivutoiminen kirjoittaminen on tuottanut useita käytännön oppaita kokemuksista niin johdolle kuin tietosuojavastaaville. 

Ari on myös toinen OpiTietosuojaa.fi verkkosivuston perustajista. Sivusto toimii tietosuojavastaavien verkostoitumispaikkana, niin yksityisen kuin julkisen toiminnan linkkinä. Hän on tunnettu asiantuntevista, ajankohtaisista ja selkeistä esityksistä myös vaikeimmista tietosuoja-asetuksen soveltamisen osista.

Ari Andreassonissa asetus kohtaa käytännön toimet: onkin ilo onnitella vuoden 2021 Tietosuojavaikuttajaa. Ari on vastaanottanut asianmukaisen pokaalin Tampereella joulukuun alussa.

GDPR-päivä on kerran vuodessa pidettävä tietosuojaan keskittynyt seminaaripäivä. Puhujat valitaan tarkasti päivän teemaan sovittaen. 

Stanislav Jerzy Lec kirjoitti (vapaasti mukaellen), että pykälän merkki muistuttaa teloitusvälinettä.

Monelle meistä englanninkieliset lyhenteet synnyttävät saman mielikuvan. Yksi tällainen värisyttävä on DPIA (Data Protection Impact Assessment) eli vaikutustenarviointi. Värinä on tarpeetonta: DPIA on taipuisa työkalu, joka oikein käytettynä säästää päivätolkulla työaikaa monessa järjestelmäprojektissa ja toisaalla luo varmuutta uusien prosessien käyttöönottoon.

DPIA on oma miniprosessinsa. Työskentelyn pohjaksi valitaan yleensä joko organisaation oma tai netistä kalastettu excel-dokumentti, jossa on lista aika peruskysymyksiä työn alla olevasta järjestelmän kehittämisestä, sen käyttöönotosta loppuasiakkaalla tai uuden prosessin käyttöönotosta omassa organisaatiossa.

Ja siitä se ralli alkaa: parhaassa tapauksessa yhteinen pohdinta siitä, mitä henkilötietoja tähän järjestelmään kertyy ja ennen kaikkea: tarvitaanko niitä? Millä perusteella niitä kerätään? Mitä niillä tehdään ja miten niistä pidetään huolta.

Henkilötietojen suojan osalta voidaan kylmästi todeta, että näiden kysymysten kera ollaan perimmäisten asioiden äärellä. Vastausten pohdinnan jälkeen alkaa varsinainen sauna, kun aletaan miettiä mitä riskejä uudistus tuo mukanaan.

Se VOI olla epämiellyttävä sauna, mikäli mahtavasti visioidun järjestelmän tai kaiken uudistavan – jopa virtaviivaistavan! – prosessin alta paljastuu ominaisuuksia, jotka eivät kestä DPIA:n myllyttäessä tarkkoja kysymyksiään. Parhaimmassa tapauksessa muutos tai kehitystyö pitää pohtia uudestaan, ja etsiä vaihtoehtoisia, riskittömiä tapoja toteuttaa tavoitteet.

Tämä, jos mikä, on tehokasta. Järjestelmäprojekteissa se säästää työaikaa ja toteuttamisaikaa. Ja mikäli loppuasiakas tyrmää järjestelmän hyödyntämisen omassa DPIA:ssaan, huolellisesti laadittu DPIA pelastaa asiakkuuden ja maineen.

Tietosuojavaltuutetun toimiston verkkosivuilla (tietosuoja.fi) sanotaan näin: ”Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.”

Somasti sanottu. Ja vieläpä totta.

Jaanaliisa Kuoppa

Konsultti

Viime vuosien aikana on tietosuoja-asioissa tapahtunut paljon – ja jatkuvalla syötöllä lisää! 

EU GDPR vuonna 2016, Suomen tietosuojalaki sitä tukemaan tammikuussa 2019 ja lisäksi etenkin julkishallintoa koskevana tiedonhallintalaki tammikuussa 2020. UK:n Brexit, UK GDPR, eri maiden omat tietosuojalait kuten Etelä-Afrikan POPIA ja Kiinan PIPL (vedos) kasaavat organisaatioille paineita. 

Lisäksi pilvi- sekä SaaS-palveluiden käyttö kasvaa. Toisaalta vanha sopimus Yhdysvaltojen kanssa, Privacy Shield, kumottiin heinäkuussa 2020. Evästehässäkän osalta Helsingin hallinto-oikeus kumosi keväällä 2021 Liikenne- ja viestintäviraston (Traficom) tekemät päätökset koskien verkkosivujen evästekäytänteitä ja ristiriitaiset ohjeistukset ehkä saavat tänä vuonna selvyyttä.

Miten nämä vaikuttavat tietojen ja sovellusten käyttöön? Kuka pysyy perässä näissä muutoksissa, kun osa organisaatioista ei ole aloittanut edes GDPR:n minimitoimia? Etene osissa osoitusvelvollisuuden osalta. Alla muutama ajankohtainen huomio. Jos jää kysyttävää, ota yhteyttä!

Schrems II – loppuuko pilvipalveluiden käyttö?

Varsinainen soppa, jossa taustalla Itävaltalainen tietosuoja-aktivisti Max Schrems, joka pani ensin Facebookin polvilleen henkilötietojensa käsittelystä (Schrems I), ja seuraavaksi hän puuttui henkilötietojen siirtoon Yhdysvaltoihin ensin ”Safe Harbour” ja myöhemmin ns. ”Privacy Shild” -sopimuksen osalta. Kesällä 2020 tuli päätös, jossa mukana EU-tuomioistuin sekä Euroopan tietosuojaneuvosto (EDPB). Pitkä tarina lyhyenä ja lopputulos – Privacy Shield -sopimus kumottiin, mistä EDPB on todennut näin.

Tuomioistuin totesi Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyyttä koskevan päätöksen pätemättömäksi, koska tietojen siirtäminen kyseiseen kolmanteen maahan merkitsee puuttumista niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään.

Tämä päätös astui voimaan ilman siirtymäaikaa kesällä 2020. Niinpä Yhdysvaltoihin ”siirrettävä data on suojattava EU GDPR:n tasoisesti, muuten siirto on laiton”. Tähän taas liittyy käsite ”siirto”, josta keskustellaan, onko ”käsittely” siirtoa eli jos Yhdysvalloista on pääsy dataan, onko tämä siirtoa. Tiukasti tulkinnut Saksan tietosuojaviranomainen on esimerkiksi kieltänyt Mailchimp nimisen sähköpostimarkkinointiohjelman käytön. 

Tämä taas on joidenkin yritysten keskuudessa tulkittu Mailchimp ongelmaksi, joka se ei ole. Tiukimpien tulkintojen mukaan minkä tahansa palvelun, jossa henkilötietoon on pääsy Yhdysvalloista, käyttö tulisi joko lopettaa tai miettiä ”lisäsuojauksia” tai mahdollisesti uusien mallisopimuslausekkeiden käyttöä. Näissä taas ongelmana on se, että jos maan lainsäädäntö esimerkiksi edellyttää pääsyä dataan, se täytyisi antaa – riippumatta miten se on suojattu tai millainen sopimus on tehty. 

Miten tästä nyt selvitään? Ensimmäiseksi on tiedettävä, mitä sovelluksia on käytössä ja missä dataa käsitellään.

Mitä suosittelemme tehtäväksi?

Olennaista on muodostaa todellinen kuva tietojen käsittelystä. Moneen yllä mainittuun nimittäin liittyy tietojenkäsittelyn kuvauksien päivittäminen ajan tasalle (seloste käsittelytoimista, siis sisäinen dokumentaatio). Lisäksi vaikutustenarvioinnit (DPIA), tietojenkäsittelysopimukset (DPA, data processing agreement) ja mahdollisesti muut sopimukset kuten mallisopimuslausekkeet tai siirtoihin liittyvät vaikutustenarvioinnit (TIA) on saatettava kuntoon.

Etene siis vaiheittain

Käytännön toimien osalta suosituksemme on siis edetä vaiheittain. Sitä voisi kuvata esimerkiksi tällä tavalla:

• Selvitä missä järjestelmä käsittelee tietoja (toimittaja, maa)
• Jos dataa käsitellään tai siihen on pääsy EU:n ulkopuolelta, selvitä käsitelläänkö siinä EU GDPR:n alaisia tietoja
• Selvitä, onko sinulla vaihtoehtoa siirtää palvelua EU:n sisälle – esimerkin Mailchimp tai ActiveCampaign löytyy kyllä vaihtoehtoja, jopa Suomesta
• Seuraava järjestelmä – käy läpi kaikki järjestelmäsi – jos niitä on paljon, niin priorisoi tärkeimmät aluksi

Me teemme myös näitä selvityksiä, joten tarvittaessa ota yhteyttä, laitetaan Schrems II ja GDPR asiat kuntoon!

GDPR Techin asiantuntijat vaihtoivat ajatuksia viime vuodesta ja myös nykyisestä. Kävimme keskustelua tiimin kanssa viime vuodesta, viestinnästä sekä tietosuojatyön nykytilasta. Mukana keskustelussa oli tiimistämme Jaanaliisa, Mervi ja Juha.

JUHA: Minulla on sellainen tunne, kun on viime aikoina puhuttu mm. evästeistä ja markkinoinnista ja markkinoinnin seurannasta, että se jakaa laajasti yrityksiä. Osa käsittelee tietoja vähän törkeästi ja osa edes yrittää miettiä, miten markkinoida lainmukaisesti. Pääosa ei edes tiedä mitään jostain ePrivacystä, mutta evästeisiin kuulemma pitää olla joku hyväksyntä. Kuulemma lain mukaan pitää myös sivulla olla joku rekisteriseloste.

Näitä on sitten nettisivut täynnä, mutta teknisesti evästebannereista noin 99 % ei toimi. Kysymys kuuluu, onko tehty riittäviä ”teknisiä ja organisatorisia toimia” laittamalla joku cookie-popup sivustolle. Sehän vain ärsyttää. ”Rekisteriseloste” ja sen pakollisuuskin on ymmärretty väärin – kysehän on informointivelvoitteesta, jossa verkkosivu on näppärä paikka. Nimenä voisi olla ”lupaus tietojen käsittelystä” tai ”Tietosuojalupaus”.

JAANALIISA: Traficomin lepsu ohjeistus antaa luvan painaa löysää kaasua. Tässä siis teille automiehille!

Mietin, tuleeko tänä vuonna asenteeseen jokin muutos: viime vuosi ainakin jätti kovan perinnön Vastaamo-keisin takia. Kaipa yritykset vain käpertyivät tilanteessa eivätkä halua lähteä penkomaan ja kyseenalaistamaan tekemiään ratkaisuja.

MERVI: Mieleen tulee lähinnä maturiteetin kasvun GDPR:n voimassaoloajan funktiona. Eli selkokielellä se, että alun yli- ja alilyönneistä (uhkakuvien maalailu, GDPR-ylitulkinnat ja misinterpretaatiot vs. se, että ollaan niin kuin GDPR:ää ei olisikaan) ollaan toivon mukaan päästy tasaisemmalle maaperälle. Uhkakuvat ja kiusanteonomaiset GDPR-tulkinnat eivät toteutuneetkaan, vaikka GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

JUHA: Tuo Traficom-ohjeistus on todella erikoinen. Nyt ollaan taas tilanteessa, jossa yritys toimiessaan Suomessa tai kansainvälisesti, ei ihan tiedä mitä ohjeita pitää noudattaa. Traficom-ohjeilla voi päätyä sanktioille esim. Belgiassa tai Espanjassa.

Mervin huomioon lisänä, että nyt on yritysten kauppojen yhteydessä alettu Due Diligence -prosessissa kiinnittää huomiota siihen, ovatko asiat kunnossa. Syksyn psykoterapiakeskuksen case näyttää alustavasti siltä, ettei ole. Tästä on noussut nostoja myös muuhun toimintaan liittyen.

JAANALIISA: Yrityksissä ja myös organisaatioissa ovat pohdinta- ja päätöksentekoprosessit usein hitaita. Tämä monelle tuttu kokemus tuli mieleeni Mervin maturiteetti-maininnasta. Haluan ajatella, että erityisesti Vastaamon tapauksen jälkeen muissakin kuin sote-yrityksissä on alettu epäillä oman organisaation tietojen tilaa ja siksi suunnitella tarpeellisia GDPR-aktiviteetteja.

Näin ajattelen, ja toivon myös.

JUHA: Niinpä – organisaation valmiuteen tai maturiteettiin liittyvää on myös GDPR-koulutus ja usein sen räikeä puute.

Jostain syystä edelleen GDPR nähdään pakkona, uhkana ja työnteon estäjänä. Sen sijaan pitäisi miettiä, miten suojataan ihan tavallisten ihmisten tietoja ja siinä samalla liiketoimintaa. Valitettavasti näyttää siltä, että Suomessa Vastaamosta yhtiönä tulee ensimmäinen GDPR:n ”uhri” vaikka todelliset uhrit ovat asiakkaat, joiden tietoja on julkisten tietojen mukaan käsitelty leväperäisesti.

Asia on sama, mistä on puhuttu aiemmin: joku yksittäinen paperidokumentti ei todellakaan riitä, vaan tämä on jatkuvaa työtä samaan tapaan kuin osakeyhtiön kirjanpito.

JAANALIISA, MERVI ja JUHA: Tietosuojatyö ei siis hävinnyt minnekään, GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

Tietosuojatyössä on varmasti kaikilla kehitettävää, tärkeää on havaita ja aikatauluttaa tärkeimmät.

Juha kirjoitti Marraskuun blogissaan suunnittelun ja valvonnan merkityksestä tietosuojan tason takaajina – tärkeitä asioita molemmat. Hyvin suunniteltu tarkoittaa, että palveluita ja järjestelmiä on myös helppo käyttää. Ylivoimaisesti suurin osa yritysten ja yhteisöjen työntekijöistä ei GDPR:stä juurikaan tiedä tai välitä: tämä on ihan normaalia eikö fanaattisinkaan tietoturvapiällikkö tai tietosuojavastaava voi enempää toivoa.

Juuri siksi suunnitteluvaiheessa on tärkeätä pohtia, miten GDPR:n vaatimukset organisaation sisäisesti kommunikoidaan, koulutetaan ja toteutetaan.

Kommunikointi olisi hyvä aloittaa jo hankkeen siinä vaiheessa, jossa tiedetään mitä ja minkälaista dataa säilötään ja käytetään, eli juuri kun datan tila ja tarve on kartoitettu. Valitettavan usein viestintä jää pariin sähköpostiin, joissa voivotellaan kiusaa, jonka lainsäätäjä on meille yksipuolisella ilmoituksella antanut ja jota nyt vaan on pakko noudattaa. Ohjeistuksessa kerrotaan sitten muutamalla ranskalaisella viivalla vain se mitä ei saa tehdä.

 Mielestäni tässä vaiheessa on riski tehdä ensimmäinen virhe, ja aika kallis sellainen. Pakko on huono motivaattori: jos henkilökunnalle edes pääpiirteittäin selitetään, mistä on kyse ja miten väärinkäytökset voivat vaikuttaa liiketoimintaan, ihmismielen on vaivattomampaa omaksua asia ja motivoitua tietosuojatyöhön. GDPR on hankalasti tulkittavaa lakitekstiä ilman suoranaisia ohjeita siitä, miten asiat pitää hoitaa. Silti siitä voidaan tunnistaa tarpeellisia käytännön toimia, jotka voidaan organisaatiossa myös suunnitella käytettävyydeltään vaivattomiksi.

Henkilökunnalle suunnattu koulutus pitäisi aina muokata asiakkaan tarpeita ja tilannetta vastaavaksi eikä oikoa mutkia ja kopioida suoraan mitä on aikaisemmin tehty. Tällöin otetaan huomioon perustelut tietosuojatyölle, jolloin henkilökunnan on helpompi ymmärtää ja hyväksyä sille asetetut vaatimukset. Tietosuoja on toki yrityksen vastuulla, mutta töppäily omassa työssä yleensä tekee hallaa urakehitykselle tai voi jopa olla sen loppu. Tietämättömyys ei ole enää käyttökelpoinen peruste.

Käytettävyys valitettavan usein jää kauniiden esitysten ja kaavioiden tasolle, joita laadittaessa henkilökunnan kokemuksia ja osaamista ei kuunnella. Kuka tietää paremmin kuin henkilökunta miten yrityksessä hoidetaan asiat? Palvelumuotoilun oma perisynti taas on testauksen puute jo suunnitteluvaiheessa; käytännössä prosessit usein kopioidaan eivätkä välttämättä sovi kyseisiin tarpeisiin.

Summa summarum: yhteistyössä asiantuntijan kanssa suunniteltu ja toteutettu GDPR- tai tiedonkartoitusprojekti onnistuu aina paremmin kuin googlettamalla kasattu lista toimenpiteistä, joiden tulkitseminen ja toteuttaminen loppukädessä jää suurelta osin henkilökunnan tehtäväksi. Pahimmassa tapauksessa, jäävät osittain tekemättä.

Meillä GDPR Tech:ssä on osaajia myös kommunikaation, koulutuksen ja palveluiden käytettävyyden suunnittelussa. Kohtuullinen lisäpanostus muutoksen jalkauttamiseen maksaa kyllä itsensä takaisin, kun projektin tuloksia arvioidaan jälkeenpäin.

Pelkkä päiväkäsky toimia niin tai näin jää todennäköisesti otsikkotason suoritukseksi eikä turvallista henkilötietojen käsittelyä saada osaksi yrityksen tai yhteisön toimintakulttuuria.

Kirjoittaja on yritystietoturvan moniottelija joka viimeaikoina on hurahtanut palvelumuotoilun koukeroihin ja kokenut valaistumisen käytettävyydestä olennaisena osana kokonaisuutta.