GDPR-vuosi 2018 on takana. Taakse jäi toukokuun viestitulva ja provosoivia GDPR:aan liitettyjä otsikoita saunavuorolistoista ja seurakuntavaaliehdokkaiden nimien julkaisemisesta lähtien. GDPR:aa täydentävä, tietosuojavaltuutetun toimivaltavajeen korjaava kansallinen tietosuojalaki astui voimaan 1.1.2019.
Merkittävä määrä yleistä toimintaympäristöä heikentävää epämääräisyyttä ja höpöpuhetta on siis takana päin. Nyt on hyvät mahdollisuudet keskittyä itse asiaan, kun lainsäädännöllinen tilanne on kunnossa ja oikeaa tietoa on saatavilla eikä kaistanleveyttä toivottavasti (enää) käytetä luulojen lietsontaan.
GDPR ei edelleenkään aseta mitään sellaisia vaatimuksia, joita ei henkilötietoja käsittelevässä organisaatiossa olisi hyvä laittaa kuntoon. Asiaan kunnianhimoisimmin suhtautuvat organisaatiot analysoivat tietovarantonsa, mallintavat tietovuonsa sekä selventävät näihin liittyvien ihmisten, prosessien ja sovellusten toiminnan. Vähemmälläkin pärjää, kunhan asioiden todellisen laidan ja sen, miten niiden luullaan olevan välillä ei ole liian suurta eroa. Tämä tarkoittaa mm. sitä, että muidenkin kuin organisaation avainhenkilöiden tulee olla kartalla.
Omalta osaltani Sarasen Data Security Pro – koulutusohjelma on nyt taputeltu. Koulutusohjelma sisälsi edustavan kattauksen tietosuojaan ja käytännön tietoturvaan liittyvää koulutusta ja toimi hyvänä virikkeenä varsinaiseen työntekoon GDPR Techissa. Koulutuksen teknisimmissä osuuksissa merkillepantavaa oli se, kuinka suuri osuus käsitteli verkkosivuihin liittyvää tietoturvaa. Toki on loogista, että näin on, kun suuri osa käyttäjien vuorovaikutuksesta tapahtuu verkkosivujen kautta ja käyttäjienhän tiedot ovat ne rahanarvoisimmat.
Erinomaisia kouluttajia ja heidän tiettyjä asioita koskevaa turhautuneisuuttakin kuunnellessa tuli mieleen, että nimenomaan verkkosivujen toteutuksessa ja toteutukseen liittyvissä työkaluissa olisi syytä siirtyä tietoturvan kannalta varmatoimisempaan ja standardoidumpaan suuntaan. Olen ihan varma, että asioita olisi resursseja säästävästi toteutettavissa ilman, että niistä tulee oikeaa tekemistä estävää, hankalaa pakkopullaa.
Varmaa on myös se, että vaikka tämä koulutusohjelma ja työskentely GDPR Techissa nyt osaltani tältä erää ovat ohitse, aihealueeseen liittyvä tiedonjano ei milloinkaan. Toisin sanoen haastava, mielenkiintoinen ja paljon uuden oppimista sisältävä vuosi aluillaan. Erinomaista ja paljon olennaiseen keskittymistä sisältävää sekä mahdollisimman tietoturvallista uutta vuotta kaikille!
Teksti: Mervi Hongisto