Euroopan tietosuojaneuvosto myöntää: pk-yritykset tarvitsevat enemmän tukea

Lueskelin Euroopan komission teettämän raportin GDPR soveltamisesta Euroopassa. Tämä raportti on toinen laatuaan ja antaa varsin hyvän kuvan GDPR soveltamisen todellisuudesta. Vaikka raportti tarjoaa yleiskuvan, sieltä voi poimia esimerkkejä myös Suomen tilanteesta.

Esimerkiksi raportin keskeisiin löydöksiin kuuluu huomio, että maiden tietosuojaviranomaisten pitäisi tukea pk-yrityksiä enemmän niiden pyrkimyksissä noudattaa tietosuoja-asetusta. Suomessa tietosuojavaltuutetun ja hänen toimistonsa pitäisi siis tarjota enemmän tukea pk-yrityksille. Voit lukea koko raportin tästä!

Yrityksissä tehdään bisnestä – lainsäädäntöä sekä siihen liittyvää ohjeistusta noudatetaan, koska se on edellytys bisneksen tekemiselle tässä yhteiskunnassa.

GDPR:ää koskevan ohjeistuksen tulisi olla helposti ymmärrettävää

Euroopan tietosuojaviranomaisten yhteistyöelin on julkaissut aiheesta peräti 35 ohjeistusta. Raportin mukaan nämä ohjeistukset ovat olleet hyödyllisiä, mutta sidosryhmien mielestä liian teoreettisia. Ohjeet ovat liian pitkiä eivätkä ota riittävästi huomioon GDPR keskeistä periaatetta, eli riskiperustaista tarkastelua.

Tämä kuulostaa aivan minun ajatuksiltani. Noin 40-sivuiset juridiset selostukset, joissa on monimutkaisia kiertelyjä, eivät tue yritysten ja organisaatioiden tietosuojatyötä. Ne eivät lisää ymmärrystä vaan aiheuttavat ahdistusta ja herättävät kysymyksiä. Mitä siis oikeasti pitää tehdä ja mitä ei?

Kaiken GDPR-ohjeistuksen tulee olla ymmärrettävää ilman lainopillista koulutusta

Raportissa huomautetaan, että ohjeistusten pitäisi olla ymmärrettäviä ilman lainopillista koulutusta, erityisesti kun ne on tarkoitettu pk-yrityksissä ja vapaaehtoisorganisaatioissa työskenteleville.

Lisäksi ehdotetaan, että tietosuojaviranomaisten kannattaisi tuottaa pk-yrityksille käytännöllisiä työkaluja DPIA-työskentelyyn, tukipalveluita, tarkistuslistoja sekä selkeitä ohjeistuksia käytännön toimiin, kuten laskutukseen ja uutiskirjeiden lähettämiseen.

Ja vielä: näiden ohjeistusten pitäisi olla ymmärrettäviä aivan tavallisella arkijärjellä ilman juristin koulutusta. Siinäpä haastetta meille kaikille.

Jaanaliisa Kuoppa
Tietosuojakonsultti, GDPR Tech

Tietosuojatutkimus 2023: GDPR hyödyttää organisaatioita, mutta siihen ei panosteta riittävästi

Suomalaiset organisaatiot toteuttavat tietosuojatyötä ja noudattavat EU:n yleistä tietosuoja-asetusta, henkilötietojen suojaamiseksi. Organisaatiot myös kokevat hyötyvänsä tästä toiminnasta. Kuitenkin vain alle kolmasosassa organisaatioista harjoitellaan poikkeustilanteita.

Suomalainen yritys GDPR Tech Oy on yhdessä Garagelabs Oy:n kanssa toteuttanut vuodesta 2021 lähtien kyselytutkimuksen, joka keskittyy tietosuojan nykytilaan. Tutkimuksessa selvitetään, miten EU:n yleinen tietosuoja-asetus (EU GDPR), tietosuojalaki (TSA) tai vastaavat säännökset ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset tarjoavat ainutlaatuista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tämä data mahdollistaa tietosuojan nykytilan ja sen vastaanoton analysoinnin Suomessa. Kysely on ollut samanlainen vuodesta 2021 lähtien, jotta voimme seurata aiheen kehitystä ja muutoksia ajan myötä.

Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2023

      • Vastaajista enemmistö kokee, että GDPR sekä kansallinen tietosuojalaki, on parantanut vastaajan luottamusta hänen tietojensa käsittelyyn. Määrä on noussut vuoden 2021 71,4 prosentista vuoden 2023 78,0 % – merkittävä kasvu luottamuksen osalta.

      • Vain 60 % vastaajista kuitenkin kokee, että tietosuojasta huolehditaan riittävästi organisaatiossa

      • Erityisesti julkishallintoa, mutta myös muita sidosryhmiä, koskee tiedonhallintalaki, joka koski yli 43 prosenttia vastaajista vuonna 2023.

      • Pääosa vastaajista (yli 80 %) tietää, kuka on heidän organisaationsa tietosuojavastaava.

      • Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty, mutta silti vain noin kolmasosassa organisaatioista (vuonna 2023 31,4 %) toteuttaa niitä.


    Luottamus tietojenkäsittelyyn ja hyötyjen havaitseminen ovat edelleen kasvussa

    Vuonna 2023 lähes 80 prosenttia vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Tämä on kasvua vuoden 2021 71,4 prosentista vuoden 2023 78 prosenttiin.

    Vastaajista yli 68 prosenttia kokee GDPR:n hyödyttävän organisaatiota. Tämä on jatkoa vuoden 2021 trendille, jossa alun perin “GDPR kieltää kaiken” -asenteesta on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä näkyy selvästi myös vastaajien asenteissa, vaikka osa kokee edelleen GDPR:n haittana.

    Kyselyyn vastaaja
    Ymmärryksen puuttumisen seurauksena tehdään lukuisia turhia tietojenkäsittelysopimuksia, dokumentteja ja selvityksiä. Hyötynä näen kasvavan huomion tietosuoja-asioihin vaikkakin toimenpiteet ovat vielä pääosin tehty muodollisuuksien täyttämiseksi todellisen tietosuojan parantamisen sijasta.
    Kyselyyn vastaaja
    Kustannuksia syntyy ja toteutetaan tietojumppaa, digiloikkaa ja kartoituskävelyitä, mutta työ ei muutu, koska se ei voi muuttua.
    Kyselyyn vastaaja
    Datan käsittely on nykyään paljon järjestelmällisempää, joka on helpottanut mm. tiedon löytämistä. Haittana on dokumentointi ja tuon tiedon ylläpitäminen. Uhkana koen edelleen sen, että ihmiset eivät noudata näitä säädöksiä ja siten tulee tietovuotoja. Mahdollisuutena koen, että tiedosta yleisesti tulee paremmin järjesteltävää ja hallittavaa

    Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

     

    Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset

     

    Joka viides katsoo, että GDPR:n toteutus on pelkästään IT-osaston vastuulla

    Vuoden 2021 kyselyn perusteella eri yksiköt, kuten IT, talous, HR ja lakiyksiköt, vastasivat tietosuojatyöstä. Lakiyksikön osuus tietosuojatyöhön liittyvistä asioista oli jopa kolmasosa vastaajien mukaan. Vuosien 2022 ja 2023 kyselyissä lakiyksikön osuus putosi alle 28 prosenttiin.

    Vuoden 2023 kyselyssä noin viidennes vastaajista oli sitä mieltä, että GDPR oli jäänyt pelkästään IT:n vastuulle. Huolta herättää erityisesti riskienhallinta ja Vuonna 2023 havaittiinkin laskeva suuntaus, ettei riskejä ollut kartoitettu riittävästi. On myös tärkeää muistaa, että vaikka käytännön tietosuojatyötä, erityisesti teknisten suojausten osalta, tehdään pääasiassa IT:ssä, organisaation riskienhallinta ei yleisesti ottaen kuulu IT:n vastuualueisiin.

    Kuva 3: Onko GDPR jäänyt vain IT:n vastuulle?

     

    Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?


    Huolta herättävää on myös vastaus kysymykseen “Onko mielestänne teillä huolehdittu tietosuojasta riittävästi”, jossa neljäsosa vastaajista (25,5 %) vastasi kieltävästi.

    ”Olemme vuosien ajan tehneet organisaatioiden kanssa tietosuojan tilannekuvakartoituksia, ja tässä on nähtävissä henkilöstön tietoisuuden kasvaminen. Ihmiset ovat nyt kriittisempiä organisaation toimintatapojen suhteen ja he tuovat avoimemmin esiin havaintojaan. Erityisesti keskisuurissa yrityksissä riskienhallinta ei välttämättä kata tietosuojan riskejä osana jatkuvaa riskienhallintaa, vaan tietosuoja saattaa toimia omassa erillään olevassa prosessissaan.”

    Juha Sallinen, Toimitusjohtaja GDPR Tech

    Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?

    Kyselyyn vastaaja
    Tietoisuus tietosuojaan liittyvistä kysymyksistä on oleellisesti parantunut, prosesseja on kehitetty jne.
    Kyselyyn vastaaja
    Riski on vanhat järjestelmät, osittain ulkopuoliset järjestelmien käyttäjät, ihmiset eivät ymmärrä myöskään tietosuojalain tarkoitusta tai miten se vaikuttaa heidän työhönsä.

     

    Vähintään joka neljättä työntekijää ei perehdytetä tietosuojaan

    Vastaajista hieman yli 60 prosenttia ilmoittaa, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Huolestuttavaa on kuitenkin, että vuoden 2021 hyvistä tuloksista, jolloin lähes 90 prosenttia henkilöstöstä oli koulutettu GDPR:ään liittyen, luku on laskenut 75 prosenttiin vuonna 2023. Samalla neljäsosa vastaajista ei kouluta uusia työntekijöitä tietosuojan osalta osana perehdytystä.

    Osa vastaajista mainitsi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja lisäksi säännöllinen koulutus puuttuu. GDPR Techin toimitusjohtaja Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: “Olemme usein havainneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta sen jälkeen ei ole tapahtunut mitään. On myös yleistä, että GDPR- ja tietosuojakoulutuksia on saatavilla, mutta niiden suoritusta ei seurata.”

    Kyselyyn vastaaja
    Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
    Kyselyyn vastaaja
    GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.

    Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

     

    Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?

     

    Suomalaiset organisaatiot ovat tietoisia GDPR seuraamuksista ja sanktioista

    Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 100 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava luku oli noin 93 prosenttia, ja oletamme, että tietoisuuden lisääntymiseen ovat vaikuttaneet myös mediassa aika ajoin esillä olleet tietosuojarikkomuksia koskevat uutiset.

    Osa heistä koki, että organisaatiot ottavat GDPR-asian nyt vakavammin, kun taas osa vastaajista koki, että asian kanssa edelleen ollaan tietämättömiä. Yksi kyselyyn vastaaja muun muassa kommentoi: “Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.”

     

    Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta.

     

    Luottamus omien tietojen suojaamiseen organisaatiotasolla on yleisesti heikko

    Vastaajien osalta huolestuttavaa on luottamus organisaatioiden kykyyn suojata tietoja. Kun kysyttiin, oliko vastaajat huolissaan omien tietojensa käsittelystä, vain hieman yli 50 prosenttia ilmoitti, ettei ole huolissaan. Yli 40 prosenttia vastaajista vuosina 2021–2023 kuitenkin kertoi olevansa huolissaan omien tietojensa käsittelystä. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta voimme parantaa luottamusta tietojemme käsittelyyn.

    Kuva 9: Oletko huolissasi omista tiedoistasi?

     

    Verkkosivujen evästeet ja kävijäseuranta ei ole kaikille selvä asia

    Kysymys, jossa ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta” haettiin vastaajien tietoisuutta verkkosivujen seurantatekniikoista. Vastaukset antavat huolestuttavaa tietoa. Huolimatta evästeiden ja seurantahyväksyntöjen myöntämisestä, vastaajat ovat vähemmän tietoisia siitä, mitä verkkosivuilla tapahtuu ja siten myös vähemmän tietoisia siitä, miten heidän tietojaan käytetään.

    Tämä saattaa aiheuttaa hämmennystä, sillä Suomessa esimerkiksi verkkosivujen käyttäjien seuranta kuuluu Traficomin valvontaan ja ohjeistukseen eikä Tietosuojavaltuutetulle. Monilta on mahdollisesti jäänyt huomaamatta Traficomin vuonna 2021 antamat ohjeistukset sekä Suomessa näyttää siltä, että evästeiden käsittelystä ei ole tulossa sanktioita.

    Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?

    Kyselyyn vastaaja
    Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
    Kyselyyn vastaaja
    GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.

    Tietosuojatyössä riittää edelleen kehitettävää

    Kolmen vuoden aikana saadut vastaukset viittaavat siihen, että monissa organisaatioissa on toteutettu GDPR-toimia projektina, mutta nämä toimet ovat jääneet siirtämättä osaksi arkipäivän toimintaa. Vaikka GDPR on edelleen suhteellisen uusi asetus, käyttäjien tietoisuus siitä kasvaa jatkuvasti. Keskusteluissa ja mediassa käsitellään usein tietosuojalainsäädäntöä ja sen tiedottamista laajemmin.

    Suomessa tiedotusvälineisiin päätyneiden tietomurtojen ja niistä seuranneiden seuraamusten määrä on ollut verrattain pieni muihin Euroopan maihin verrattuna. Silti yhä useampi kuluttaja on kuitenkin huolissaan omista tiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.

    Ensimmäistä kertaa vastaajien kommenteissa nousee esiin myös tekoäly ja tiedonkäyttö – tämä oli hyvin mielenkiintoista. Vastaajien erilaiset näkemykset muistuttavat meitä projekteissa ja koulutuksissa näkemistämme haasteista. Olemme huomanneet väärinkäsityksiä aiheen suhteen, minkä vuoksi osa edelleen kokee GDPR:n “kieltävän kaiken”.

    Organisaatioissa, joissa toimintamallit on selvästi määritelty ja tietosuojatyö on osa päivittäistä toimintaa, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta ja selkeyttä. Prosessien tehostuminen ja toiminnan selkeytyminen on havaittu myös vastaajien keskuudessa. Luottamuksen merkitystä korostetaankin useissa vastauksissa – avoimuudella ja vastuullisella toiminnalla voidaan parantaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.

    Lisätietoja:

    Juha Sallinen
    Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
    GDPR Tech

    040 5666 900
    [email protected]

    Tietosuojatutkimuksen taustatiedot 2021-2023

    Tietosuojaan liittyvä kyselytutkimus on toteutettu vuodesta 2021 lähtien. Vastauksia kyselyyn on pyydetty sähköpostin sekä sosiaalisen median välityksellä.

    • Vuonna 2023 kyselyyn vastasi 51 henkilöä.
    • Vuonna 2022 kyselyyn vastasi 102 henkilöä.
    • Vuonna 2021 kyselyyn vastasi 56 henkilöä.


    Vastausaikaa on annettu noin 2kk ja vastaajien osalta ei suoritettu profilointia. Vastaajien profiili sekä organisaatioiden koko on säilynyt erittäin samankaltaisena ja siten tulokset ovat käytettävissä nyt jo kolmelta vuodelta. Näistä vastauksista saamme jo alkavaa suuntausta moneen kohtaan, kuten ”koulutetaanko henkilöstöä säännöllisesti” tai ”onko GDPR:stä hyötyä”.

    Tuloksia käsitellään raportissa tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä 3kk kuluessa. Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset ovat raportissa listattuna, niistä kyselyn koosteessa on joitakin nostoja.

    On oletettavaa, että kyselytutkimukseen vastaavien joukko edustaa henkilöitä, joita asia kiinnostaa ainakin jossain määrin. Toisaalta omasanaisista vastauksista voidaan päätellä osan suhtautuvan varsin kriittisesti tietosuojalain vaatimuksiin.

    Vastaajien taustat

    Vastaajien osalta organisaatioiden kokoluokan jakauma oli vastausvuosina hyvin samankaltainen. Huomattavaa on, että melkein 60 % vastaajista työskentelee organisaatiossa, joissa on yli 50 työntekijää ja vähän reilu 25 % vastaajista organisaatiossa, joissa on yli 1 000 työntekijää. GDPR asiat kiinnostavat niin pieniä kuin suuria organisaatioita. Katso kuva 1.

    Kuva 1: Organisaation henkilöstömäärä

    Samoin jakauma organisaation toimialan osalta oli vastausvuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

    Kuva 2: Yrityksen/organisaation toimiala

    Vastaajien asema oli hyvin samantyyppinen jakauman osalta näinä vuosina, ja vastaajat edustavat sekä päättäjiä että työtekijöitä. Katso kuva 3.

    Kuva 3: Vastaajien asema

    Toimintaympäristön osalta vastaajissa oli edustettuna Suomessa toimivia, lisäksi kansainvälisesti toimivia että myös kansainvälisiä, joiden päätoimipaikka on ulkomailla. Katso kuva 4.

    Kuva 4: Vastaajien toimialue

    Palaa tästä takaisin tutkimustuloksiin!

    Lisätietoja

    Juha Sallinen
    Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
    GDPR Tech

    040 5666 900
    [email protected]

    Tekoälyn, GPT:n ja Copilotin rooli tietosuojassa ja organisaatioiden tiedonhallinnassa

    Tekoäly, tunnetaan myös nimellä AI tai tukiäly, on ollut olennainen osa monien arkipäiväistä elämää vuosien ajan, mutta ei kovin näkyvänä osana. Erilaiset tekoälyn sovellukset, kuten OCR (optical character recognition, joka muuntaa kuvat tekstiksi, ovat olleet käytössä jo pitkään. Kuitenkin varsinaisen tekoälybuumin aloitti helposti ohjattava ChatGPT (Generative Pre-trained Transformer), joka toimii kehotteiden avulla. Sen yksinkertaistettu perusidea perustuu laajaan kielimalliin (Large Language Model, LLM), joka kerää valtavan määrän tekstiaineistoa ja oppii sen perusteella tunnistamaan tekstissä esiintyviä riippuvuuksia. Kun käyttäjä antaa kehotteen, esimerkiksi “Voisitko tiivistää Suomen vuodenajat?”, kielimalli hakee tekstistä avainsanoja ja ymmärtää aiheen. Sisällön ymmärtäminen on yksi osa vastauksen tuottamista ja perustuu ennustukseen siitä, mitkä sanat ovat todennäköisimpiä seuraaviin sanoihin tai lauseisiin liittyen. Esimerkiksi alussa mainittu OCR, kuvasta tekstiksi tunnistaminen, toimii paljon rajatummalla toiminta-alueella ja on toiminnekohtainen sovellus.

    Tekoälyn käytön turvallisuus ja tietoturvahaasteet

    Julkisesti saatavilla olevat tekoälyt, kuten Google Bard, OpenAI:n ChatGPT ja monet muut, oppivat jatkuvasti käyttäjiensä syötteiden perusteella. Tämä tarkoittaa, että jos syötät tällaisiin palveluihin esimerkiksi taloudellisia tietojasi, on mahdollista, että ne tallentuvat järjestelmään ja voivat olla saatavilla muillekin. Tällaisia tietoturvahaasteita on esiintynyt useita kertoja, kuten Samsungin insinöörien tapaus, kun he pyysivät ChatGPT:tä analysoimaan ohjelmiston lähdekoodia. OpenAI, ChatGPT:n kehittäjäorganisaatio, muistuttaa käyttäjiä siitä, että arkaluonteista tai luottamuksellista tietoa ei tule jakaa ChatGPT:n kanssa. Käytön helppous ja esimerkiksi ChatGPT:n mahdollisuudet ohittivat Samsunginkin tapauksessa ohjeistukset ja tietoturvallisen käytön.

    Tekoälyn avulla kuitenkin voidaan tehostaa rutiininomaisia töitä, suorittaa erilaisia testauksia ja saada tukea esimerkiksi ohjelmistokehitykseen. Kuitenkin lopputuloksen taso voi vaihdella suuresti eri sovelluksissa. Kuvien tuottamisessa on edelleen haasteita, esimerkiksi henkilön kädessä voi olla kuusi sormea ja kuvassa pyydetty teksti “Yritys XYZ” saattaa näkyä epätarkkana tai virheellisenä.

    Erityinen haaste LLM-kielimallien kohdalla liittyy siihen, millaisella aineistolla malli on koulutettu. Jos koulutusaineisto koostuu julkisesti saatavilla olevasta Internet-tietomassasta, se sisältää väistämättä myös virheellistä tai epätarkkaa tietoa. Tämä herättää pohdintaa siitä, mitä tapahtuisi, jos malli olisi koulutettu tai käyttäisi ainoastaan organisaation sisäistä tietoa?

    Sisäiseen käyttöön tarkoitetut tekoälyratkaisut

    Onko mahdollista rajoittaa kielimalli ja liittyvää tietoaineistoa vain sisäiseen käyttöön ja hyödyntää ainoastaan organisaation sisäisiä tietoresursseja? Tällaiset ratkaisut kehittyvät nopeasti ja esimerkiksi Microsoftin vastaus tähän haasteeseen on Copilot. Lisensoitu käyttäjä voi hyödyntää organisaation omaa dataa Copilotin avulla, mahdollistaen tehokkaat haut tiedoista ja datan uudelleenmuokkaamisen omiin tarpeisiinsa.

    Kuva: Copilot 365 Fabrikam (lähde: How Copilot for Microsoft 365 works video, YouTube)

    Sisäiseen tietoon liittyvät riskit: käyttöoikeudet, sisältö ja ajantasaisuus

    Mitä tapahtuu, jos organisaation tiedonhallinta ei olekaan kunnossa? Voiko käyttäjä esimerkiksi päästä käsiksi tietoon, johon hänellä ei pitäisi olla pääsyä, jos pääsynhallintaa ei ole asianmukaisesti varmistettu? Vastaus on usein kyllä ja se on tarkoituksellista tässä tapauksessa, sillä tietoa on tarkoitus hyödyntää. Ongelmana on kuitenkin usein se, että käyttöoikeuksia ei ole varmistettu asianmukaisesti ja Microsoft 365:sta löytyy tarpeettomia pääsyjä tai käyttäjiä, jotka voivat kuulua jopa satoihin eri ryhmiin, mikä saattaa johtaa tahattomiin tietoturvariskeihin.

    Entä jos tietoa on tallennettu väärään paikkaan? Esimerkiksi työtodistukset ovat päätyneet liikunnanohjaajien sivustolle HR-ohjelmiston sijaan. Hyvinvointialueet ovat eriytyneet ja dataa on jäänyt taakse, mukaan lukien potilaslistoja. Tai organisaation esittelyaineistossa on satoja henkilötunnuksia teknisen tiedonlinkityksen vuoksi. Myyntimateriaalin kansiosta löytyy myyjän avioliittoon liittyviä asiakirjoja, kuten avioehto ja testamentti. Valitettavasti nämä ovat vain muutamia esimerkkejä siitä, mitä löydämme organisaatioiden tietoaineistoista. Puhumattakaan tuhansista tai kymmenistä tuhansista dokumenteista sisältäen henkilötunnuksia.

    Ja entäpä jos aineisto on erittäin vanhaa? Onko meillä edes käsittelyperustetta tällaiselle tiedolle? Monissa organisaatioissa on ohjeita siitä, kuinka vanhaa tietoa saa säilyttää. Ongelmana on kuitenkin se, että näitä ohjeita ei usein valvota tai hallita asianmukaisesti. Niinpä esimerkiksi palkkalaskelmia voi olla tallennettuna vuodesta 1991 lähtien ja ne ovat yhä saatavilla. Tai yhteystietolista voi olla peräisin yli 30 vuoden takaa.

    Organisaation tiedonhallinnan tehostaminen: toimenpiteet, vinkit

    Varmista, että organisaatiossasi olevat tiedot ovat ajan tasalla ja asianmukaisesti suojattuja. Ota myös huomioon, että tiedon tallennusaikataulu vastaa suunniteltua. Tässä tiivistettynä toimenpiteet, joita sinun kannattaa seurata:

    1. Ymmärrä tiedostojen nykyiset käyttöoikeudet.
    2. Varmista käyttäjäryhmät ja niiden pääsyoikeudet.
    3. Tarkista erityisesti henkilökohtaisten tietojen tallennus ja aloita tiedonhallintatoimet, mukaan lukien tarpeettoman tiedon poistaminen tai arkistointi.
    4. Käy läpi mahdolliset tekijänoikeuslain vastaiset videot tai muut mediat ja poista ne.
    5. Raportoi mahdolliset vakavat poikkeamat organisaation tietosuojavastaavalle tai tarvittaessa kansalliselle Tietosuojavaltuutetun toimistolle.
    6. Korjaa havaitut poikkeamat ja varmista niiden korjaaminen.
    7. Laadi tiekartta, joka perustuu organisaatiosi nykytilanteeseen ja suunnittele tiedonhallinnan toimenpiteet seuraaville vuosille.
    8. Poista tarpeeton tietoaineisto.
    9. Ota toimet osaksi normaaleja prosesseja ja jatka niiden hallintaa
    10. Pidä organisaation yksiköt, johto ja tietosuojavastaava tietoisina prosessimuutoksista.

    Copilot for Microsoft 365 – toimenpiteet ennen käyttöönottoa työpaja

    Lisäksi voit helpottaa toimia tilaamalla GDPR Techin “Copilot ja AI Microsoft 365 ympäristössä – kartoitus ja toimenpiteet ennen käyttöönottoa” -työpajan.

    Kysy lisätietoja tästä!

    Tämä sinun on tiedettävä EU:n ja USA:n uudesta tietosuojasopimuksesta!

    Kerroimme heinäkuussa kuinka, Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen Euroopan Unionin (EU) ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös Data Privacy Framework (DPF) sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin niiden toimijoiden välillä, jotka ovat DPF:n piirissä.

    Mutta mitä “siirto” todella tarkoittaa? Voimmeko nyt luotettavasti käyttää yhdysvaltalaisia palveluntarjoajia? Ja kuinka tunnistaa, kuuluuko jokin toimija DPF-sopimuksen piiriin? Tässä artikkelissa käymme läpi nämä kysymykset ja tarjoamme selkeitä vastauksia.

    Termit tutuiksi – mitä tarkoittavat henkilötiedot ja henkilötietojen käsittely?

    Ennen tarkempaa syventymistä itse aiheeseen ja henkilötietojen siirtoon, on hyvä täsmentää, mitä henkilötiedot ja henkilötietojen käsittely tarkoittavat. Suomen tietosuojavaltuutetun toimisto ohjeistaa lyhyesti: ”Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi nimi, puhelinnumero ja sijaintitiedot. Lisäksi suuri joukko muuta tietoa voidaan lukea henkilötietojen alle, kuten asiakas-ID ja IP-osoite.”

    Henkilötietojen käsittely puolestaan tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Henkilötietojen siirtoa ja siirtoon liittyviä termejä sekä prosesseja avataan ja käsitellään myöhemmin tässä artikkelissa.

    Tietosuojalainsäädäntö koskee sinua ja organisaatiotasi

    Tietosuojalainsäädäntö ja tietosuojalaki koskee käytännössä kaikkia organisaatiota, joilla on jäseniä, asiakkaita tai työntekijöitä, koska tällöin organisaatio käsittelee henkilötietoja tai henkilöön liittyviä asioita. On yksin organisaation vastuulla huolehtia niin omalta kuin yhteistyökumppaneiden osalta henkilötietojen lainmukaisesta käsittelystä. Yhteistyökumppaneiden, toimittajien ja alihankkijoiden kohdalla kannattaa varmistaa sopimuksilla, että myös kumppanit toimivat lainmukaisesti.

    Suomessa on kuitenkin edelleen hyvin yleistä, että organisaatiot eivät tunnista EU:n yleisen tietosuoja-asetuksen koskevan myös heitä. Suomen Yrittäjät teetti helmikuussa 2022 tutkimuksen, jonka yhtenä aiheena käsiteltiin henkilötietoja. Tutkimuksessa kysyttiin muun muassa ”Käsitteleekö yrityksesi henkilötietoja?” ja huimat 40 % 1 049 vastaajasta vastasi, ettei käsittele tai ei ainakaan tiedä käsittelevänsä niitä.

    Kuva 1. Suomen Yrittäjät tutkimuksen kysymyksen ”Käsitteleekö yrityksesi henkilötietoja?” vastaus.

    Kuva 1. Suomen Yrittäjät tutkimuksen kysymyksen ”Käsitteleekö yrityksesi henkilötietoja?” vastaus.

    Digitaalinen kehitys on muokannut tietosuojavaatimuksia erilaisiksi eri maissa

    Viimeisen 30 vuoden aikana digitaalinen maailma on kokenut huimaa muutosta, mikä on vaikuttanut myös tietosuojalainsäädäntöön eri maissa. Vuonna 1995 Eurooppa otti käyttöön ensimmäisen tietosuojadirektiivin, kun digitaalinen maailma oli vasta heräämässä: Internet oli tuore ilmiö ja käytössä oli ohjelmistoja kuten Windows 95.

    Tämä direktiivi tarjosi jäsenvaltioilleen mahdollisuuden soveltaa tietosuojaa eri tavoin kansallisella tasolla. Suomessa tästä seurasi Henkilötietolaki (523/1999), kun taas esimerkiksi Englannissa tulkinta oli tiukempi ja mahdollisti jopa 500 000 punnan sakot. Vaikka Pohjoismaissa, kuten Suomessa, henkilötietolain tausta-ajatus olikin kunnianhimoinen, sakkoja ja sanktioita ei käytännössä jaettu.

    Vuoden 1995 jälkeen tietosuojan maisema on muuttunut moninaiseksi. Kanada on esimerkiksi ollut edelläkävijä henkilötietojen suojassa Pohjois-Amerikassa, ja maa on ottanut useita askelia varmistaakseen kansalaistensa tietosuojaoikeudet. Euroopassa puolestaan astui vuonna 2016 voimaan EU:n yleinen tietosuoja-asetus (GDPR), jota alettiin soveltaa kahden vuoden siirtymäajan jälkeen. Tämä asetus yhdenmukaisti tietosuojalainsäädäntöä EU:n sisällä merkittävästi. Kuten aiemmassa direktiivissä, henkilötietojen siirto Euroopan Unionin ja Euroopan talousalueen ulkopuolelle sallitaan vain, jos EU:n komissio on myöntänyt kyseiselle maalle niin sanotun vastaavuuspäätöksen.

    Euroopan ja Yhdysvaltojen välinen tietosuoja taival tähän päivään

    Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbor kumottiin vuonna 2015. Sen tilalle astui vuotta myöhemmin Data Privacy Shield, joka asetti organisaatioille tietyt vaatimukset tietosuojasta. Vaikka organisaatioiden oli määrä noudattaa näitä vaatimuksia, todellisuus ei aina vastannut näitä säännöksiä. Vuonna 2020 Privacy Shield -sopimus kumottiin, sillä oli huolta siitä, että Yhdysvaltojen viranomaiset voivat saada liian vapaasti pääsyn eurooppalaisten henkilötietoihin.

    Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuussa 2023 uusi EU-US Data Privacy Framework otettiin käyttöön, määritellen säännöt tietojen siirrolle. Sopimuksen piiriin kuuluvien toimijoiden, jotka ovat DPF:n hyväksyntälistalla, katsotaan tarjoavan riittävän tietosuojan. Kuitenkin uhkakuvana on mahdollisuus, että DPF voidaan kumota, mikäli Yhdysvaltojen presidentti vaihtuu tai jos NOYB, Max Schremsin johtama Euroopan digitaalisten oikeuksien keskus, haastaa sen. Molemmat skenaariot palauttaisivat tilanteen kolmen vuoden takaiseen.

    NOYB kommentoi vuonna 2023: “Uusi ‘Trans-Atlantic Data Privacy Framework’ on käytännössä kopio vuoden 2016 Privacy Shield -sopimuksesta, joka puolestaan perustui vuoden 2000 ‘Safe Harbor’ -sopimukseen. Koska nämä aiemmat lähestymistavat ovat jo kahdesti epäonnistuneet, uuden sopimuksen juridista pohjaa voidaan pitää kyseenalaisena. Sopimuksen olemassaolo perustui lähinnä poliittiseen logiikkaan.”

    Milloin ja miten siirrän tietoja ulkomaille?

    Tietojen siirtäminen ulkomaille saattaa tapahtua huomaamattasi. Tietosuojavaltuutetun määritelmän mukaan “siirron käsite” voi olla monitahoinen ja aiheuttaa väärinkäsityksiä. Käytännössä, kun käytät yhdysvaltalaista pilvipalvelua, saatat jo siirtää henkilötietoja Yhdysvaltoihin. Mielenkiintoinen yksityiskohta on, että pelkkä etäyhteyden mahdollisuus Yhdysvalloista käsin katsotaan tietojen siirroksi.

    Euroopan tietosuojaneuvoston (EDPB) mukaan: “Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolelle on usein tarpeellista kansainvälisissä liiketoimissa. Esimerkiksi pienet ja keskisuuret yritykset saattavat jakaa henkilötietoja liikekumppanien tai toimittajien kanssa, jotka sijaitsevat ETA:n ulkopuolella.” Tämän vuoksi yhteistyö suurten toimittajien, kuten Oracle, Microsoft ja Google, kanssa voi merkitä tietojen siirtoa Yhdysvaltoihin. Keskeistä on tunnistaa ja varmistaa, ettei tietojen käsittely riko tietosuojaan liittyvää lainsäädäntöä, erityisesti kun tietoihin pääsy etäyhteydellä on mahdollista Yhdysvalloista.

    Arkkitehtuurin ja sopimusten merkitys henkilötietojen siirtoriskien hallinnassa

    Arkkitehtuurikuvaukset ja järjestelmien sopimusarkistot, erityisesti tietojenkäsittelysopimukset (Data Processing Agreement – DPA), ovat korvaamattomia työkaluja henkilötietojen siirtojen hallinnassa. Tällaisilla kuvausmenetelmillä voidaan esimerkiksi havainnollistaa työnhakuprosessiin liittyviä järjestelmiä ja niiden yhteyksiä. Vaikka kuvaustapoja on useita, niiden avulla voidaan tehokkaasti ymmärtää toimittajien sijainnit ja niiden mahdolliset yhteydet muihin järjestelmiin. Jos esimerkiksi verkkosivusi on rakennettu suomalaisen toimittajan toimesta, mutta se toimii teknisesti Amazon AWS:n pilvipalvelussa, saattavat tiedot siirtyä Yhdysvaltoihin.

    Kuva 2. Esimerkki prosessikuvauksesta

    Kuva 2. Esimerkki prosessikuvauksesta

    Tarkastelemalla järjestelmien arkkitehtuurikuvauksia ja niiden toimittajalistaa voidaan selvittää mahdolliset riskikohdat ja henkilötietojen siirtoon liittyvät seikat. On olemassa myös automatisoituja työkaluja, jotka auttavat hahmottamaan järjestelmien ja palveluiden rakenteita, olivatpa ne sitten omalla palvelimella tai pilvessä.

    Alla oleva esimerkkikuva esittää suomalaisen yrityksen verkkosivuihin liittyviä toimittajia ja palveluita. Vaikka verkkosivujen tekninen alusta olisi yhden palveluntarjoajan hallussa, muut palvelut, kuten asiakkuudenhallintajärjestelmä Hubspot, Cookiebot sekä kolmannen osapuolen palvelut, kuten Facebook ja Google, voivat olla osa verkkosivun ekosysteemiä. Arkkitehtuurikuvaukset ja analyysit siis auttavat tunnistamaan ja varmistamaan, mihin tietoja todellisuudessa siirretään ja mitä seurauksia tällä voi olla tietosuojan näkökulmasta.

    Kuva 3. Esimerkki verkkosivujen toimittajakuvauksesta

    Kuva 3. Esimerkki verkkosivujen toimittajakuvauksesta

    Tietojen käsittelyn tarkistuslista

    Vaikka toimittajiin ja sopimuksiin on tärkeää luottaa, organisaatioilla on myös oma vastuunsa. Kun tarkastellaan olemassa olevia järjestelmiä, on tärkeä tarkistaa seuraavat kohdat:

    1. Käsiteltävät tiedot:
      • Mitä tietoja käsitellään?
      • Liittyykö käsittelyyn riskejä yksilölle?
      • Käsitelläänkö erityisiä henkilötietoryhmiä eli sensitiivisiä tietoja? Tällöin tietojen käsittelyssä on oltava erityisen varovainen.
    2. Tietojenkäsittelysopimus (DPA):
      • Onko toimittajan kanssa solmittu tietojenkäsittelysopimus?
    3. Toimittajan sijainti:
      • Missä maassa toimittaja sijaitsee?
      • EU:n sisällä tietojen siirto on yleensä laillista, kunhan kohdemaan tietosuojataso on riittävä EU GDPR:n mukaisesti.
    4. Toimittaja EU:n ulkopuolella:
      • Onko kohdemaalle myönnetty päätös tietosuojan riittävyydestä? Katso lista maista!
      • Jos riittävyyttä koskevaa päätöstä ei ole, onko käytössä muita asianmukaisia suojatoimenpiteitä? Esimerkkejä näistä:
        • Sitovat yrityssäännöt
        • Euroopan komission hyväksymät vakiosopimuslausekkeet
        • Sertifiointimekanismit
      • Erikoistapauksissa saattaa olla mahdollista käyttää poikkeuksia, kuten yksilön antamaa suostumusta.

    Tämän listauksen avulla voit helposti varmistaa, että organisaatiosi tietojen käsittely noudattaa voimassa olevia tietosuojalakeja ja -säädöksiä.

    Maat, jotka ovat saaneet EU:n tunnustuksen tietosuojan riittävyydestä

    Euroopan komissio on tunnustanut seuraavat maat ja alueet tarjoamaan riittävää tietosuojaa GDPR:n mukaisesti syyskuussa 2023. Nämä maat ja alueet ovat saaneet hyväksynnän siitä, että ne tarjoavat riittävän tason tietosuojan Euroopan unionin standardien mukaisesti:

    • Andorra
    • Argentiina
    • Kanada (kaupalliset organisaatiot)
    • Färsaaret
    • Guernsey
    • Israel
    • Mansaari
    • Japani
    • Jersey
    • Uusi-Seelanti
    • Etelä-Korea
    • Sveitsi
    • Iso-Britannia
    • Yhdysvallat (kaupalliset organisaatiot, jotka ovat liittyneet DPF-sopimuksen alaisuuteen)
    • Uruguay

    Vinkit tehokkaaseen tietosuojatyöhön

    • Varmista toimijan asema DPF-listalla.
    • Pidä silmällä toimijoiden listaa säännöllisesti, sillä sen sisältö päivittyy ja muuttuu
    • Jatka DPIA:n (Data Protection Impact Assesment) ja TIA:n (Transfer Impact Assessment) toteuttamista. Laadi suunnitelma ja harkitse varasuojatoimia mahdollisen DPF:n kumoamisen varalle.
    • Merkitse DPIA:han DPF:n voimassaolon ajankohta ja määritä itsellesi aikataulu sen tarkistamiselle. Jos toimittajasi ei uusi DPF-osallistumistaan, toimintasi voi olla ristiriidassa vaatimusten kanssa.

    Esimerkki:
    Verkkosivullasi näkyvät videot pyörivät teknisesti Vimeo-alustan kautta. Tarkastaessasi Vimeon tilaa DPF-hyväksyntälistalta, huomaat, ettei toimija ole aktiivinen jäsen. Käytön jatkamista on siis syytä punnita tarkkaan ja voi olla järkevää harkita toisen alustan käyttöönottoa. Huomio: Jos et löydä toimittajaa aktiivisista jäsenistä, älä unohda tarkistaa myös ei-aktiivisten listaa.

    Tietosuojan jatkuva merkitys organisaation toiminnoissa

    Tietosuojan vaatimukset edellyttävät jatkuvaa valppautta ja säännöllisiä tarkastuksia. Olipa tietosuojavastaava sisäinen tehtävä tai ulkoistettu, hänen vastuullaan on varmistaa tietosuojan noudattaminen kaikissa organisaation osa-alueissa, erityisesti hankinnoissa ja IT-toiminnoissa. DPF-sopimuksen mahdollinen kumoaminen tulevaisuudessa korostaa sopimusten ajantasaisuuden ja vaikutustenarviointien (DPIA) merkitystä.

    Tehokkain tapa vähentää riskejä on integroida tietosuojanäkökulma organisaation perusprosesseihin, kuten hankintoihin. Tämä varmistaa, että mahdolliset riskit, olivatpa ne sitten toimittajaan tai alustaan liittyviä, havaitaan ajoissa.

    Artikkeli julkaistiin Sytyke-lehdessä lokakuussa 2023.
    Artikkelin kirjoitti Juha Sallinen.

    Miten mitata tietosuojakoulutuksen vaikutusta ja kustannustehokkuutta organisaatioissa?

    Tietosuojakoulutusten merkitys organisaatioille on avainasemassa alati kehittyvässä lain säädännössä ja liiketoimintaympäristössä. Koulutusten kustannuksista ja vaikutuksista huolehtiminen on äärimmäisen tärkeää, mutta myös modernien ratkaisujen, kuten verkko-oppimisen hyödyntäminen voi tuoda organisaatiolle uusia mahdollisuuksia menestyä GDPR:n aikakaudella. Juha Sallinen Kouluttaja GDPR Tech

    Koulutus – se kauan keskusteltu aihe, joka on kuin kaksiteräinen miekka organisaatioiden arjessa. Koulutuksia tulee järjestää, jotta henkilökunnan ammattitaito pysyy ajan tasalla sekä kehittyy, mutta moni organisaatio pohtii miten ja kuinka usein koulutuksia tulisi järjestää? Mikä on se tavoitetaso, jolle esimerkiksi koko henkilöstön koulutuksilla pitäisi päästä ja miten sitä mitataan? Entä miten voisi arvioida koulutuksen vaikutusta suhteessa kustannuksiin? Kokenut kouluttaja, konsultti ja yrittäjä pohdiskelee nyt, kuinka esimerkiksi GDPR Techin järjestämät koulutukset ovat todella vaikuttaneet organisaatioiden henkilökunnan osaamiseen ja mikä koulutusten todellinen arvo on.

    Aseta selkeät tavoitteet

    Kouluttajana on hienoa saada hyvää palautetta koulutusten jälkeen ja kuulla, että asiakasorganisaatio on tyytyväinen koulutukseen tai että organisaatiossa on oivallettu jotain uutta: ”Koulutuksen jälkeen istuimme alas ja mietimme tietosuojan osalta, miten prosesseja pitäisi muuttaa organisaatiossamme turvallisemmiksi”. Ideaali tilanne olisi kuitenkin, että tietäisimme henkilökunnan lähtötason ja voisimme verrata oppimista ennen ja jälkeen koulutuksen. Nimittäin jo pienellä kyselyllä voimme todentaa oppimista ja koulutuksen suoraa vaikutusta henkilökunnan osaamiseen.

    Suosittelemme, että heti alkuun organisaatio valitsee tavoitetason, joka halutaan saavuttaa esimerkiksi tietosuojaan liittyvissä kysymyksissä. Eri henkilökunnan jäsenille on myös hyvä olla eri tavoitteet. Esimerkiksi johdolle ja esihenkilöille on usein järkevää järjestää täsmäkoulutuksia, jotka auttavat ymmärtämään syvällisemmin tietosuojaan liittyviä vastuita ja velvoitteita. On myös suositeltavaa, että esihenkilöillä on laajempi ymmärrys aiheesta, jotta he osaavat asian tiimoilta tukea muuta henkilökuntaa ja vastata aiheeseen liittyviin mahdollisiin käytännön kysymyksiin.

    Mittaa koulutuksen vaikuttavuus

    Teimme keväällä yhteistyökumppanimme kanssa parannuksia vuoden 2023 GDPR Tech koulutuksiin ja nyt sähköisissä koulutuksissamme mitataan aina lähtötilanne sekä lopputilanne. Näin saamme suoraa palautetta siitä, miten koulutus on vaikuttanut ja voimme raportoida tuloksia asiakasorganisaatioiden johdolle.

    Eräässä tietosuojakoulutuksessamme lähtötason mittaus näytti seuraavalta:

    Koulutuksen jälkeen osallistujien taso näytti parantuneen huomattavasti:

    Mittaamisen ansioista voimme todeta tietosuojan osaamisen kohentuneen ja koulutuksen toimineen. Lisäksi koulutuksen ansioista voidaan puuttua suoraan sellaisiin asioihin, jotka mahdollisesti kaipaavat lisätäsmennystä.

    Esimerkiksi organisaatio voi koulutuksen vastausten perusteella täsmentää omia ohjeitaan henkilökunnalle: ”Kiitos kaikille kurssille osallistuneille. Haluamme täsmentää, että toivomme kaikkien henkilökunnan jäsenten ottavan aina yhteyttä organisaation IT tukeen kollegan sijaan.”

    Perinteinen vs. Verkko-Oppiminen

    Mutta miten hoitaa laajemman henkilöstön koulutus? Perinteinen koulutus vaatii usein henkilöstön fyysistä läsnäoloa, tallenteiden käyttöä poissaolijoiden varalle ja vaikutus voi olla vaikeasti mitattavaa. Myös kustannukset ovat usein organisaatiolla suuria. Puolestaan verkko-oppiminen on osoittautunut huomattavan joustavaksi vaihtoehdoksi, koska voidaan varmistaa, että jokainen osallistuja voi liittyä koulutukseen itselleen sopivana ajankohtana. Verkko-oppiminen tarjoaa joustavuutta sekä selkeitä mittareita, kuten kurssin suoritusajan mittaamista ja mahdollisten testien tuloksia. Suuremmille tiimeille ja nykyaikaisille haasteille suosittelenkin moderneja ratkaisuja.

    Esimerkki organisaation kustannukset

    Otetaan esimerkiksi tähän 200 hengen organisaatio, jolle järjestetään tietosuojakoulutus. 20 hengen johdolle ja esihenkilöille pidetään oma täsmäkoulutus, jossa heille korostetaan muun muassa heidän vastuitansa sekä velvoitteita. Lopulle 180 työntekijälle pohditaan mikä koulutusmuoto olisi kustannustehokkain ja vaikuttavin? Erilaisten koulutusten vertailun lähtökohtana voisi toimia aika, joka työntekijällä menee suoritukseen ja koulutuksen kokonaiskustannus. Oletetaan, että työntekijän kustannus organisaatiolle on 60 €/h keskimäärin.

    • Koulutus A on ilmainen ja sen ilmoitettu kesto per osallistuja on noin 1,5 h. Työaika maksaa koulutus A:ssa 180 x (1,5 h x 60 €) = yhteensä 16 200 €.
    • Koulutus X on maksullinen 150 €/organisaatio ja sen ilmoitettu kesto on noin 3,5 h. Työaika koulutus X:ssä on hulppea – 180 x (3,5 x 60 €) = yhteensä 37 800 €.
    • Koulutus GDPR Tech:n yleinen tietosuoja koulutus on maksullinen 800 €/organisaatio + 40 €/hlö. Työaika koulutus GDPR Techissä on 180 x (0,5 x 60 €) = yhteensä 5 400 €.

    Tämän perusteella voimme todeta, että verkkokoulutus tietosuoja-asioissa on varsin kustannustehokas ja toimiva ratkaisu.

    Aika uudistaa tietosuojaan liittyvät koulutukset

    Tietosuojakoulutusten merkitys organisaatioille on avainasemassa alati kehittyvässä lain säädännössä ja liiketoimintaympäristössä. Koulutusten kustannuksista ja vaikutuksista huolehtiminen on äärimmäisen tärkeää, mutta myös modernien ratkaisujen, kuten verkko-oppimisen hyödyntäminen voi tuoda organisaatiolle uusia mahdollisuuksia menestyä GDPR:n aikakaudella.

    Asetetaan yhdessä tavoitteet ja mitataan koulutuksen vaikuttavuus. Harva työntekijä etsii itse aktiivisesti tietoa uusimmista tietosuoja tai tietoturva ohjeistuksista, joten tieto pitää tarjota helposti ja tehokkaasti. Tee digiloikka ja kouluta henkilöstösi kanssamme!

    Viimeisimmät muutokset tietosuoja- ja tietoturvakentällä. Pysy ajan tasalla!

    Tietosuojatyössä on tärkeää huomioida laaja-alaiset näkökulmat, jotta organisaatiossa voidaan varmistaa kattava ja tehokas tietosuoja. GDPR Tech on aina pitänyt tämän periaatteen ohjenuoranaan ja jatkaa samalla linjalla, koska tavoitteenamme on auttaa sinua onnistumaan tietosuojatyössäsi. Usein huomaamme tilanteita, joissa tietosuojaan panostetaan syvällisesti, esimerkiksi rekisteriselosteiden laatimisessa, mutta samalla unohdetaan ymmärrettävästi tiedottaminen tietosuojaan liittyvistä asioista. Helppotajuinen ja kansankielinen viestintä on tärkeää, jotta kaikki asianosaiset ymmärtävät tietosuojan merkityksen ja konkreettiset toimenpiteet.

    Hyviä esimerkkejä onnistuneesta viestinnästä tietosuojasta ovat selkeät videot ja “usein kysytyt kysymykset” -formaatti, joita hyödynnämme asiakkaidemme kanssa. Erään asiakkaamme kanssa olemme yhdistäneet useita erilaisia tietosuojaselosteita kahdeksi ymmärrettäväksi tiedotukseksi heidän verkkosivuillaan.

    Uusi hallitus, uudet tavoitteet – Mitä se tarkoittaa tietosuojalle?

    Paljon on tapahtunut viimeisimmän blogikirjoituksemme jälkeen. Suomi on saanut uuden hallituksen, joka asettaa uusia tavoitteita, kuten “tietosuojalainsäädännön kokonaisuudistuksen”. Yhtenä osana hallinnolliset sakot laajennetaan koskemaan myös julkista sektoria. Hallitusohjelmaan on sisällytetty myös painotuksia tekoälyn osalta. Oletko jo antanut ohjeistusta organisaatiollesi koskien tekoälyn käyttöä? Tekoälyyn liittyen on jo nimittäin tapahtunut tietosuojan sekä tietoturvan poikkeamia, esimerkiksi matkapuhelinvalmistajan työntekijät olivat ladanneet suosittuun ChatGPT:hen aineistoa, jota olisi pitänyt käsitellä erittäin luottamuksellisesti.

    Schrems II: Mitä seuraavaksi? Keskustelu jatkuu!

    Kolmas vuosi Schrems II -keskustelua on käynnissä, ja kysymys kuuluu, pitäisikö vielä tehdä lisää toimenpiteitä vai onko aihe jo ohi? Samaan tapaan kuin GDPR, tämä keskustelu ei ole vielä päätynyt tai hävinnyt. Päinvastoin henkilötietojen käsittely Yhdysvaltalaisilta palveluntarjoajilta on yhä tarkemman tarkastelun kohteena, ja organisaatioita on Suomessa ja muualla Euroopassa varoitettu ja sakotettu useista syistä.

    Keskustelussa on myös noussut esiin mahdollisen “Privacy Shield II” -sopimuksen tarve. On huomionarvoista, että Privacy Shield on edelleen käytössä Yhdysvalloissa, mutta se ei tällä hetkellä tarjoa riittävää suojaa Euroopan ja Yhdysvaltojen välillä. Mahdollinen uusi sopimus on nimeltään Data Privacy Framework (DPF), jossa määritellään tarkemmin tietojen suojaukseen liittyviä asioita. DPF perustuu presidentti Bidenin antamaan määräykseen, mutta tämä herättää huolta siitä, mitä tapahtuu, jos seuraava valittu presidentti kumoaa sopimuksen ja koko prosessi alkaa alusta. Organisaatioiden on kuitenkin huolehdittava tietojen asianmukaisesta suojaamisesta tänäkin aikana. Aiheeseen liittyen on tehty useita tutkintapyyntöjä ja mahdollisia tietojen käsittelykieltoja. Tietojen suojaamisen kannalta on tärkeää tietää, missä tiedot todellisuudessa tallennetaan. Tämän tukena on tietojen kuvauksen päivittäminen (data flow).

    Aika ratkaista tietosuojan rakenteettoman tiedon riskit

    Rakenteeton tieto ja siihen liittyvät haasteet ovat edelleen keskeisessä roolissa tietosuojatyössä, samoin kuin tietoturva ja suojaukset. Digi- ja väestötietoviraston (DVV) kesäkuun seminaaripäivässä puhuttiin juuri rakenteettoman tiedon riskeistä. Tähän liittyen tarkastellaan verkkolevyjä ja Teams-työtiloja: ovatko ohjeistukset noudatettu, onko vanhaa tietoa jäänyt talteen ja mikä on yleinen suojauksen taso?

    Jos rakenteettoman tiedon riskit huolestuttavat sinua, ota yhteyttä! Voimme vastata näihin ja moniin muihin kysymyksiin kartoituspalvelumme avulla. Olemme myös Kuntien Tieran toimittajalistalla, joten voimme tarjota kilpailutusmahdollisuuksia rakenteettoman tiedon konsultointiin.

    Tietosuojatyö ei pääse kesälomalle – Autamme sinua myös lomakaudella

    Tietosuojatyö ei pysähdy kesälomalla, joten jos tarvitset apua esimerkiksi tietosuojavastaavan poissaolon aikana, ota rohkeasti yhteyttä. Me teemme tiiminä niin tietosuojavastaavan kuin tietosuojavastaavan tukityötä ympäri Suomen koko lomakauden ajan.

    Tietosuojatutkimuksen taustatiedot 2021-2022

    Kyselytutkimus toteutettiin sähköisenä lomakekyselynä, jonka linkkiä jaettiin sähköpostitse ja sosiaalisessa mediassa vuosina 2021 ja 2022. Vuoden 2021 kyselyn osalta saatiin 56 vastausta ja vuoden 2022 osalta 102 vastausta. Kumpanakin vuonna vastausaikaa oli noin kaksi kuukautta eikä vastaajia profiloitu. Tuloksia käsitellään tutkimusraportissa ainoastaan tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä kolmen kuukauden kuluessa.

    Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset löytyvät listattuna ja niistä on tehty tutkimusraporttiin joitakin nostoja.

    Vastaajien taustatiedot

    Vastaajien osalta organisaatioiden kokoluokan jakauma oli molempina vuosina hyvin samankaltainen, joka on nähtävissä kuvassa 1. Samoin jakauma organisaatioiden toimialojen osalta oli molempina vuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

    Molempina vuosina vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3. Toimintaympäristön osalta vastaajissa oli edustettuna niin Suomessa kuin kansainvälisestikin toimivia yrityksiä, joiden päätoimipaikka sijaitsee ulkomailla. Vastaajien toimialueet löydät kuvasta 4.

    Kuva 1: Organisaation henkilöstömäärä
    Kuva 2: Yrityksen/organisaation toimiala
    Kuva 3: Vastaajien asema
    Kuva 4: Vastaajien toimialue

    Palaa tästä takaisin tutkimustuloksiin!


    Lisätietoja:

    Juha Sallinen
    Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti

    040 5666 900
    [email protected]

    GDPR-havaintoja: Terveisiä it-työläisen pöydältä

    GDPR-havaintoja: Terveisiä it-työläisen pöydältä

    Minä, pitkän linjan it-puurtaja, halusin tässä kohtaa työuraani oppia uutta uudesta tulokulmasta. Hain ja pääsin Sarasen Data Security Pro -koulutusohjelmaan ja sitä kautta hommiin GDPR Techiin kesäkuun lopulla.

    Koulutukset alkoivat kesäkuussa ja jatkuivat heinäkuussa juristin vetämällä yhteensä kolmen koulutuspäivän mittaisella tymäkällä ja paljon hyvää keskustelua sisältäneellä GDPR-lakiosuudella. Lupaava alku siis.

    GDPR on 88 sivua tulkintoja vaativaa lakitekstiä täynnä terminologiaa kuten ”riittävät organisatoriset ja tekniset toimenpiteet”, ”rekisterinpitäjä”, ”käsittelijä”, ”sisäänrakennettu ja oletusarvoinen tietosuoja”, ”osoitusvelvollisuus” ja ”seuraamukset”. Tulkintoja vaativaa kuten lakiteksti yleensäkin ja sinänsä kauhistelu on turhaa.

    Haaste: mitä teksti tarkoittaa käytäntöön sovellettuna? Miten asetusta tulee tulkita toimintaympäristö huomioon ottaen?

    Tai miten saavuttaa GDPR-yhteensopivuus? Tai pikemminkin miten osoittaa että prosessi/toimenpiteet GDPR-yhteensopivuuden saavuttamiseksi ovat käynnissä?

    Ei himmeleitä. Suhteellisuudentajuinen resursointi, käytännönläheisyys, tehokas toteutus, varautuminen ja seuranta.

    Ensimmäiset asiakastapaamiset, GDPR Techiin ja GDPR Techin palveluihin tutustuminen, Sarasen intensiivinen 3 päivän GDPR-lakikoulutus sekä yleinen aloitusrutistus todistetusti mahtuvat vajaaseen kahteen viikkoon. Kerron lisää tulevina viikkoina, pysy linjalla.

    Teksti: Mervi Hongisto

    GDPR ja asiakaspalvelu?

    GDPR ja asiakaspalvelu?

    Kuinka GDPR tulee ottaa huomioon asiakaspalvelussa? Katso video, jossa toimitusjohtajamme Juha Sallinen kertoo tietosuoja-asetuksesta asiakaspalvelun kannalta!

    Autamme yrityksiä samaan myös asiakaspalvelunsa GDPR:n mukaiseksi. Meiltä löytyvät monipuoliset palvelut konsultoinnista koulutukseen. Autamme myös videolla mainittujen tietopyyntöjen ja tietojen poiston kanssa. Ota meihin yhteyttä ja kerro kuinka voimme auttaa!