Tietoturva on yhteinen asia

01.02.2018

Tietosuoja-asetus, GDPR, on viimeisen vuoden aikana muodostunut terminä hyvinkin tutuksi IT-ammattilaisille ja erilaisille johtaja- ja päällikkötittelin omaaville henkilöille. Mainitut ammattiryhmät - ja epäilemättä monet muutkin - on kyllästetty uuden asetuksen oletetuilla vaikutuksilla, lakipykälillä ja mahdollisilla jättimäisillä sanktioilla. Tietoa asetuksesta on tulvinut monessa muodossa: asetus on peruskauraa lehtiartikkeleissa, sähköisessä mediassa ja seminaareissa.

Edellä kuvattu viestintä, olipa se sitten luonteeltaan tiedottamista tai puhdasta bisneksen tavoittelua, on kuitenkin lisännyt organisaatioissa aiheeseen liittyvää liikehdintää ja toimenpiteitä. Näin tapahtui myös Suomen Yrittäjäopistossa, mutta ilman monen kokemaa ahdistusta.

Valmistautuminen uuteen asetukseen ja sen vaatimuksiin aloitettiin jo paljon ennen GDPR:n medianäkyvyyttä - osin tarkoituksella, osin pelkästä sattumuksesta. Loimme organisaationa lähtökohdat asetukselle mm. laitevakioinnin, erilaisten teknisten ratkaisujen ja mietittyjen ulkoistusten avulla. Tämä näkyi loppukäyttäjille mm. uudistettuna viestintäratkaisuna (laaja O365-käyttöönotto) sekä tietoturvaratkaisujen ja erilaisten keskitettyjen hallintaratkaisujen käyttöönottona. Tämä kaikki oli mahdollista, koska toimiva johto ymmärsi tietoturvan merkityksen yrityksen toiminnalle.

Teknisen pohjatyön jälkeen ja sen osittain vielä jatkuessa tietohallinto ja johto sopivat yhdessä asetukseen liittyvästä projektista kevään 2017 aikana. Tavoite oli etsiä projektin avulla positiiviset puolet itse asetuksesta ja sen valmistelusta. Näitä "puolia" emme itse keksineet: ne osasimme lukea runsaasta GDPR-viestinnästä. On kuitenkin täysin eri asia lukea näistä muiden tuottamasta tekstistä, kuin tiedostaa ja löytää samat asiat omasta toiminnasta.
 
Alkuvaiheessa projektiryhmän osallistujia koulutettiin ja perehdytettiin asetuksen terminologiaan ja sisältöön. Vaihe oli tärkeä virstanpylväs organisaatiolle: jokainen osallistuja ymmärsi, etteivät kaikki tieto-sanalla alkavat asiat kuulu pelkästään tietohallinnolle: tietosuoja ja tietoturva on yhteinen, pään sisäinen asia.

Tämä oikeutti samalla jo valmisteluvaiheessa tehdyn päätöksen: projektin kuluessa koko henkilökunta tulee perehdyttää ja ohjata oikealle tielle tiedon käsittelyn ja tallennuksen osalta. Asetuksen mukainen toiminta aiheuttaa paineita prosesseille ja työtavoille, jotka ovat usein hyvin syvälle juurtuneita oletuksia. 

Osallistamista ja koulutusta: siinä perusavain tietosuojan laajempaan jalkauttamiseen meidän kokoisessa ja näköisessä organisaatiossa. Hyvä ja soveltuva keino tehostaa toimintoja ja käydä ne läpi, kun läpikäyntiin on kerrankin ryhdytty.

Toinenkin ennakkokäsitys vahvistui: moni asia on jo nyt kunnossa meillä ja "meidän krannissa", mutta tekemistä toki löytyy kaikista organisaatioista. Huomioimme myös poikkitieteellisesti sen, että kansallista lainsäädäntöä on erillislakeina (mm. henkilötietolaki, arkistointilaki, laki ammatillisesta koulutuksesta) paljonlaisesti ja sen yhteensovittaminen uuden asetuksen kanssa on vielä kesken - lainsäätäjillä alkaa olla jopa kiire.

Totesimme myös, että rekisteröidyn henkilön oikeuksia on selkeästi korostettu ja tämä tulee huomioida ohjenuorana projektin aikana. Henkilötietojen käsittelyn oikeusperuste, yksityisyydensuoja, henkilön oikeus tulla unohdetuksi, selkokieliset rekisteriselosteet ja monet muut asiakokonaisuudet nostavat pientä punaa poskille, mutta positiivisella tavalla.

Jo projektin ensimmäinen vaihe osoitti selväksi, että asetuksenmukainen toimintatapa, tili- eli osoitevelvollisuuden soveltuva huomiointi ja asioiden dokumentointi yhdistettynä teknisiin ratkaisuihin on maali, johon ME tähtäämme.

Projekti raamitettiin muodoltaan ja toteutukseltaan seuraavasti:

1.    Projektin tulee olla kustannuksiltaan ja vaikutuksiltaan Yrittäjäopiston kokoinen ja näköinen.
2.    Projektiin valitaan ulkopuolinen, luotettava kumppani.
3.    Projektiin otetaan mukaan kaikki SYO:n tiimit, toimipisteet ja koulutusalat laajalla kattauksella.
4.    Projektin alussa nimitetään tietosuojavastaava.

Kirjoittaja

Heikki Syrjälä
Tietohallintopäällikkö, Suomen Yrittäjäopisto

Syrjälä Heikki