Tietosuojatutkimus 2023: GDPR hyödyttää organisaatioita, mutta siihen ei panosteta riittävästi

Suomalaiset organisaatiot toteuttavat tietosuojatyötä ja noudattavat EU:n yleistä tietosuoja-asetusta, henkilötietojen suojaamiseksi. Organisaatiot myös kokevat hyötyvänsä tästä toiminnasta. Kuitenkin vain alle kolmasosassa organisaatioista harjoitellaan poikkeustilanteita.

Suomalainen yritys GDPR Tech Oy on yhdessä Garagelabs Oy:n kanssa toteuttanut vuodesta 2021 lähtien kyselytutkimuksen, joka keskittyy tietosuojan nykytilaan. Tutkimuksessa selvitetään, miten EU:n yleinen tietosuoja-asetus (EU GDPR), tietosuojalaki (TSA) tai vastaavat säännökset ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset tarjoavat ainutlaatuista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tämä data mahdollistaa tietosuojan nykytilan ja sen vastaanoton analysoinnin Suomessa. Kysely on ollut samanlainen vuodesta 2021 lähtien, jotta voimme seurata aiheen kehitystä ja muutoksia ajan myötä.

Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2023

    • Vastaajista enemmistö kokee, että GDPR sekä kansallinen tietosuojalaki, on parantanut vastaajan luottamusta hänen tietojensa käsittelyyn. Määrä on noussut vuoden 2021 71,4 prosentista vuoden 2023 78,0 % – merkittävä kasvu luottamuksen osalta.

    • Vain 60 % vastaajista kuitenkin kokee, että tietosuojasta huolehditaan riittävästi organisaatiossa

    • Erityisesti julkishallintoa, mutta myös muita sidosryhmiä, koskee tiedonhallintalaki, joka koski yli 43 prosenttia vastaajista vuonna 2023.

    • Pääosa vastaajista (yli 80 %) tietää, kuka on heidän organisaationsa tietosuojavastaava.

    • Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty, mutta silti vain noin kolmasosassa organisaatioista (vuonna 2023 31,4 %) toteuttaa niitä.


Luottamus tietojenkäsittelyyn ja hyötyjen havaitseminen ovat edelleen kasvussa

Vuonna 2023 lähes 80 prosenttia vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Tämä on kasvua vuoden 2021 71,4 prosentista vuoden 2023 78 prosenttiin.

Vastaajista yli 68 prosenttia kokee GDPR:n hyödyttävän organisaatiota. Tämä on jatkoa vuoden 2021 trendille, jossa alun perin ”GDPR kieltää kaiken” -asenteesta on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä näkyy selvästi myös vastaajien asenteissa, vaikka osa kokee edelleen GDPR:n haittana.

Kyselyyn vastaaja
Ymmärryksen puuttumisen seurauksena tehdään lukuisia turhia tietojenkäsittelysopimuksia, dokumentteja ja selvityksiä. Hyötynä näen kasvavan huomion tietosuoja-asioihin vaikkakin toimenpiteet ovat vielä pääosin tehty muodollisuuksien täyttämiseksi todellisen tietosuojan parantamisen sijasta.
Kyselyyn vastaaja
Kustannuksia syntyy ja toteutetaan tietojumppaa, digiloikkaa ja kartoituskävelyitä, mutta työ ei muutu, koska se ei voi muuttua.
Kyselyyn vastaaja
Datan käsittely on nykyään paljon järjestelmällisempää, joka on helpottanut mm. tiedon löytämistä. Haittana on dokumentointi ja tuon tiedon ylläpitäminen. Uhkana koen edelleen sen, että ihmiset eivät noudata näitä säädöksiä ja siten tulee tietovuotoja. Mahdollisuutena koen, että tiedosta yleisesti tulee paremmin järjesteltävää ja hallittavaa
Previous slide
Next slide

Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

 

Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset

 

Joka viides katsoo, että GDPR:n toteutus on pelkästään IT-osaston vastuulla

Vuoden 2021 kyselyn perusteella eri yksiköt, kuten IT, talous, HR ja lakiyksiköt, vastasivat tietosuojatyöstä. Lakiyksikön osuus tietosuojatyöhön liittyvistä asioista oli jopa kolmasosa vastaajien mukaan. Vuosien 2022 ja 2023 kyselyissä lakiyksikön osuus putosi alle 28 prosenttiin.

Vuoden 2023 kyselyssä noin viidennes vastaajista oli sitä mieltä, että GDPR oli jäänyt pelkästään IT:n vastuulle. Huolta herättää erityisesti riskienhallinta ja Vuonna 2023 havaittiinkin laskeva suuntaus, ettei riskejä ollut kartoitettu riittävästi. On myös tärkeää muistaa, että vaikka käytännön tietosuojatyötä, erityisesti teknisten suojausten osalta, tehdään pääasiassa IT:ssä, organisaation riskienhallinta ei yleisesti ottaen kuulu IT:n vastuualueisiin.

Kuva 3: Onko GDPR jäänyt vain IT:n vastuulle?

 

Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?


Huolta herättävää on myös vastaus kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi”, jossa neljäsosa vastaajista (25,5 %) vastasi kieltävästi.

”Olemme vuosien ajan tehneet organisaatioiden kanssa tietosuojan tilannekuvakartoituksia, ja tässä on nähtävissä henkilöstön tietoisuuden kasvaminen. Ihmiset ovat nyt kriittisempiä organisaation toimintatapojen suhteen ja he tuovat avoimemmin esiin havaintojaan. Erityisesti keskisuurissa yrityksissä riskienhallinta ei välttämättä kata tietosuojan riskejä osana jatkuvaa riskienhallintaa, vaan tietosuoja saattaa toimia omassa erillään olevassa prosessissaan.”

Juha Sallinen, Toimitusjohtaja GDPR Tech

Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?

Kyselyyn vastaaja
Tietoisuus tietosuojaan liittyvistä kysymyksistä on oleellisesti parantunut, prosesseja on kehitetty jne.
Kyselyyn vastaaja
Riski on vanhat järjestelmät, osittain ulkopuoliset järjestelmien käyttäjät, ihmiset eivät ymmärrä myöskään tietosuojalain tarkoitusta tai miten se vaikuttaa heidän työhönsä.
Previous slide
Next slide

 

Vähintään joka neljättä työntekijää ei perehdytetä tietosuojaan

Vastaajista hieman yli 60 prosenttia ilmoittaa, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Huolestuttavaa on kuitenkin, että vuoden 2021 hyvistä tuloksista, jolloin lähes 90 prosenttia henkilöstöstä oli koulutettu GDPR:ään liittyen, luku on laskenut 75 prosenttiin vuonna 2023. Samalla neljäsosa vastaajista ei kouluta uusia työntekijöitä tietosuojan osalta osana perehdytystä.

Osa vastaajista mainitsi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja lisäksi säännöllinen koulutus puuttuu. GDPR Techin toimitusjohtaja Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Olemme usein havainneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta sen jälkeen ei ole tapahtunut mitään. On myös yleistä, että GDPR- ja tietosuojakoulutuksia on saatavilla, mutta niiden suoritusta ei seurata.”

Kyselyyn vastaaja
Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
Kyselyyn vastaaja
GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
Previous slide
Next slide

Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

 

Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?

 

Suomalaiset organisaatiot ovat tietoisia GDPR seuraamuksista ja sanktioista

Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 100 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava luku oli noin 93 prosenttia, ja oletamme, että tietoisuuden lisääntymiseen ovat vaikuttaneet myös mediassa aika ajoin esillä olleet tietosuojarikkomuksia koskevat uutiset.

Osa heistä koki, että organisaatiot ottavat GDPR-asian nyt vakavammin, kun taas osa vastaajista koki, että asian kanssa edelleen ollaan tietämättömiä. Yksi kyselyyn vastaaja muun muassa kommentoi: ”Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.”

 

Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta.

 

Luottamus omien tietojen suojaamiseen organisaatiotasolla on yleisesti heikko

Vastaajien osalta huolestuttavaa on luottamus organisaatioiden kykyyn suojata tietoja. Kun kysyttiin, oliko vastaajat huolissaan omien tietojensa käsittelystä, vain hieman yli 50 prosenttia ilmoitti, ettei ole huolissaan. Yli 40 prosenttia vastaajista vuosina 2021–2023 kuitenkin kertoi olevansa huolissaan omien tietojensa käsittelystä. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta voimme parantaa luottamusta tietojemme käsittelyyn.

Kuva 9: Oletko huolissasi omista tiedoistasi?

 

Verkkosivujen evästeet ja kävijäseuranta ei ole kaikille selvä asia

Kysymys, jossa ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta” haettiin vastaajien tietoisuutta verkkosivujen seurantatekniikoista. Vastaukset antavat huolestuttavaa tietoa. Huolimatta evästeiden ja seurantahyväksyntöjen myöntämisestä, vastaajat ovat vähemmän tietoisia siitä, mitä verkkosivuilla tapahtuu ja siten myös vähemmän tietoisia siitä, miten heidän tietojaan käytetään.

Tämä saattaa aiheuttaa hämmennystä, sillä Suomessa esimerkiksi verkkosivujen käyttäjien seuranta kuuluu Traficomin valvontaan ja ohjeistukseen eikä Tietosuojavaltuutetulle. Monilta on mahdollisesti jäänyt huomaamatta Traficomin vuonna 2021 antamat ohjeistukset sekä Suomessa näyttää siltä, että evästeiden käsittelystä ei ole tulossa sanktioita.

Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?

Kyselyyn vastaaja
Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
Kyselyyn vastaaja
GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
Previous slide
Next slide

Tietosuojatyössä riittää edelleen kehitettävää

Kolmen vuoden aikana saadut vastaukset viittaavat siihen, että monissa organisaatioissa on toteutettu GDPR-toimia projektina, mutta nämä toimet ovat jääneet siirtämättä osaksi arkipäivän toimintaa. Vaikka GDPR on edelleen suhteellisen uusi asetus, käyttäjien tietoisuus siitä kasvaa jatkuvasti. Keskusteluissa ja mediassa käsitellään usein tietosuojalainsäädäntöä ja sen tiedottamista laajemmin.

Suomessa tiedotusvälineisiin päätyneiden tietomurtojen ja niistä seuranneiden seuraamusten määrä on ollut verrattain pieni muihin Euroopan maihin verrattuna. Silti yhä useampi kuluttaja on kuitenkin huolissaan omista tiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.

Ensimmäistä kertaa vastaajien kommenteissa nousee esiin myös tekoäly ja tiedonkäyttö – tämä oli hyvin mielenkiintoista. Vastaajien erilaiset näkemykset muistuttavat meitä projekteissa ja koulutuksissa näkemistämme haasteista. Olemme huomanneet väärinkäsityksiä aiheen suhteen, minkä vuoksi osa edelleen kokee GDPR:n ”kieltävän kaiken”.

Organisaatioissa, joissa toimintamallit on selvästi määritelty ja tietosuojatyö on osa päivittäistä toimintaa, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta ja selkeyttä. Prosessien tehostuminen ja toiminnan selkeytyminen on havaittu myös vastaajien keskuudessa. Luottamuksen merkitystä korostetaankin useissa vastauksissa – avoimuudella ja vastuullisella toiminnalla voidaan parantaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.

Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
[email protected]

Tietosuojatutkimuksen taustatiedot 2021-2023

Tietosuojaan liittyvä kyselytutkimus on toteutettu vuodesta 2021 lähtien. Vastauksia kyselyyn on pyydetty sähköpostin sekä sosiaalisen median välityksellä.

  • Vuonna 2023 kyselyyn vastasi 51 henkilöä.
  • Vuonna 2022 kyselyyn vastasi 102 henkilöä.
  • Vuonna 2021 kyselyyn vastasi 56 henkilöä.


Vastausaikaa on annettu noin 2kk ja vastaajien osalta ei suoritettu profilointia. Vastaajien profiili sekä organisaatioiden koko on säilynyt erittäin samankaltaisena ja siten tulokset ovat käytettävissä nyt jo kolmelta vuodelta. Näistä vastauksista saamme jo alkavaa suuntausta moneen kohtaan, kuten ”koulutetaanko henkilöstöä säännöllisesti” tai ”onko GDPR:stä hyötyä”.

Tuloksia käsitellään raportissa tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä 3kk kuluessa. Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset ovat raportissa listattuna, niistä kyselyn koosteessa on joitakin nostoja.

On oletettavaa, että kyselytutkimukseen vastaavien joukko edustaa henkilöitä, joita asia kiinnostaa ainakin jossain määrin. Toisaalta omasanaisista vastauksista voidaan päätellä osan suhtautuvan varsin kriittisesti tietosuojalain vaatimuksiin.

Vastaajien taustat

Vastaajien osalta organisaatioiden kokoluokan jakauma oli vastausvuosina hyvin samankaltainen. Huomattavaa on, että melkein 60 % vastaajista työskentelee organisaatiossa, joissa on yli 50 työntekijää ja vähän reilu 25 % vastaajista organisaatiossa, joissa on yli 1 000 työntekijää. GDPR asiat kiinnostavat niin pieniä kuin suuria organisaatioita. Katso kuva 1.

Kuva 1: Organisaation henkilöstömäärä

Samoin jakauma organisaation toimialan osalta oli vastausvuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Kuva 2: Yrityksen/organisaation toimiala

Vastaajien asema oli hyvin samantyyppinen jakauman osalta näinä vuosina, ja vastaajat edustavat sekä päättäjiä että työtekijöitä. Katso kuva 3.

Kuva 3: Vastaajien asema

Toimintaympäristön osalta vastaajissa oli edustettuna Suomessa toimivia, lisäksi kansainvälisesti toimivia että myös kansainvälisiä, joiden päätoimipaikka on ulkomailla. Katso kuva 4.

Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!

Lisätietoja

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
[email protected]

Tietosuojatutkimuksen taustatiedot 2021-2022

Kyselytutkimus toteutettiin sähköisenä lomakekyselynä, jonka linkkiä jaettiin sähköpostitse ja sosiaalisessa mediassa vuosina 2021 ja 2022. Vuoden 2021 kyselyn osalta saatiin 56 vastausta ja vuoden 2022 osalta 102 vastausta. Kumpanakin vuonna vastausaikaa oli noin kaksi kuukautta eikä vastaajia profiloitu. Tuloksia käsitellään tutkimusraportissa ainoastaan tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä kolmen kuukauden kuluessa.

Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset löytyvät listattuna ja niistä on tehty tutkimusraporttiin joitakin nostoja.

Vastaajien taustatiedot

Vastaajien osalta organisaatioiden kokoluokan jakauma oli molempina vuosina hyvin samankaltainen, joka on nähtävissä kuvassa 1. Samoin jakauma organisaatioiden toimialojen osalta oli molempina vuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Molempina vuosina vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3. Toimintaympäristön osalta vastaajissa oli edustettuna niin Suomessa kuin kansainvälisestikin toimivia yrityksiä, joiden päätoimipaikka sijaitsee ulkomailla. Vastaajien toimialueet löydät kuvasta 4.

Kuva 1: Organisaation henkilöstömäärä
Kuva 2: Yrityksen/organisaation toimiala
Kuva 3: Vastaajien asema
Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!


Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti

040 5666 900
[email protected]