Työntekijän esimies tai opiskelijan ohjaaja on vastuussa yleisimmin perehdytyksestä, mutta usein on kuitenkin tarkoituksenmukaista antaa varsinainen työtehtävän opastus työtehtävään liittyvät asiat tuntevalle työtoverille. Ongelmaksi voi pienessä yrityksessä nousta se, että asiat tehdään vuodesta toiseen yhden ja saman henkilön perehdyttämien toimintatapojen mukaisesti, mutta kukaan ei ole kyseenalaistanut onko tavat ajanmukaisia. Tämä pätee varsinkin tietoturva- ja tietosuoja-asioiden perehdyttämiseen. Toisaalta yhtäläisesti isoissa organisaatioissa on perehdytyksen suhteen ongelmia, jotka voivat johtua myös siitä, että perehdyttäjiä on kymmeniä tai satoja. Perehdyttämisestä pitäisi pitää tarkkaa dokumentaatiota, jossa sekä perehdyttäjä että perehtyjä lopuksi kuittaisivat yhteisesti asioiden tulleen läpikäydyiksi.

Työntekijöiden perehdyttämiseen liittyvät velvoitteet tulevat suoraan lainsäädännöstä. Esimerkiksi työturvallisuuslaissa edellytetään, että työnantaja antaa riittävän perehdytyksen työpaikan työolosuhteisiin, työvälineisiin, tuotantomenetelmiin sekä turvallisuuteen ja terveyteen liittyvistä asioista. Perehdytystä on annettava aloitus-, muutos- ja käyttöönottotilanteissa. Lisäksi ohjausta on täydennettävä aina tarvittaessa. Perehdyttämisen ytimenä on aina työtehtävä. Olennaisena osana perehdytystä on tehtäväkohtainen työnopastus. Lisäksi perehdytysprosessi luo yrityskuvaa. Tämä kuva välittyy ajan kuluessa ja työntekijöiden vaihtuessa myös eteenpäin oman organisaation ulkopuolelle eli asia on myös imagollisesti tärkeä. Perehdyttäminen auttaa myös ymmärtämään työntekijän omaa osuutta organisaation toiminnassa sekä työvaiheiden syy-seuraussuhteissa. Kokonaisuuden hahmottaminen lisää työntekijän motivaatiota. Yksi perehdyttämisen tavoitteista on luonnollisesti tapaturmien ja työstä aiheutuvan sairastumisenvaaran välttäminen, mutta yhtäläisesti sillä pitää pyrkiä torjumaan taloudellista vahinkoa ja muita riskejä, jotka liittyvät tietoturvan ja tietosuojan tärkeyden ymmärtämiseen nykypäivän työympäristöissä.

Työnantajan on varmistettava, että kaikki työntekijät saavat tarpeelliset tiedot työhön liittyvistä työpaikan vaara- ja haittatekijöistä riippumatta siitä, käyttävätkö he itse niitä työvälineitä. Perehdyttämisprosessin jatkuvaan kehittämiseen kannattaa panostaa keräämällä palaute viimeistään kehityskeskusteluissa tai lyhytaikaisen työvoiman lähtöhaastatteluissa. Kuitenkin jonkinlaisen perehdyttäjän tarkastuslistan ylläpito olisi järkevää, jotta perehdyttäjä itsekin muistaisi mitä pitikään missäkin tilanteessa tuoda uudelle työntekijälle tai vanhalle työntekijälle uudessa työssä esille.

Vastuu perehdyttämisen onnistumisesta on myös uuteen tilanteeseen tulevalla työntekijällä itsellään - oma aktiivisuus on aina avainasemassa. Monia käsitteitä ja uusia asioita ymmärrämme vasta, kun keskustelemme niistä muiden kanssa. On tärkeää tietää, mitä juuri minulta odotetaan juuri tässä työssä. Vanha sanonta sanoo, ettei kysyvä tieltä eksy. Se pätee myös tietoturvaan ja tietosuojaan. Tärkeää olisi antaa sellaisia vastauksia uudelle työntekijälle, että hän kokee saavansa tarvittaessa apua erimerkiksi tietojen luovutuspyyntöjen käsittelyssä tai ongelmatilanteissa, joita ICT-välineiden hallinnassa tulee pakostikin aika-ajoin vastaan.

Työntekijöiden sekä harjoittelijoiden perehdyttämisprosessiin on panostettava. Harmillisen usein kuulee eri organisaatioista viestiä, että tietoturva- ja tietosuoja-asioita käydään ajanpuutteen vuoksi todella vähän läpi. Vähintään salassapitoasiat pitää aina käsitellä. Perehdytyksen esimerkiksi sosiaali- ja terveysalan tietosuoja-asioihin kuuluisi alkaa jo oppilaitoksissa ja jatkua harjoittelujaksoilla, työhaastatteluissa, työsopimuksen teon yhteydessä ja varsinaisessa työyksikössä. Perehdytystä tarvitaan, kun uusi työntekijä tai harjoittelija aloittaa tehtävänsä tai työntekijä siirtyy uusiin tehtäviin.

Perehdytyksen tietoturva- ja tietosuoja-asioihin pitäisi olla itsestään selvää, mutta prosessia on vaikea kontrolloida. Jos työntekijä on syyllistynyt johonkin tietoturva- tai tietosuojarikkomukseen, hän saattaa puolustautua vetoamalla siihen, ettei perehdytyksessä käsitelty tällaisia asioita. Täytyy kuitenkin muistaa, että myös työntekijällä tai harjoittelijalla on vastuu ottaa selvää asioista ja kysyä, mikäli jokin asia jää askarruttamaan. Esimerkiksi monet käsitteet ja asiat saattaa ymmärtää kunnolla vasta sitten, kun niistä keskustelee syvällisemmin kollegojen kanssa.  Vastuu perehdyttämisen onnistumisesta on paitsi perehdyttäjällä, myös uuteen tilanteeseen tulevalla työntekijällä ja hänen aktiivisuudellaan. Perehdytyksestä on tehty useita oppaita ja opinnäytetöitä.

Apuna tietoturva- ja tietosuoja-asioiden perehdyttämisessä voivat ovat esimerkiksi:

• Henkilöstön tietoturva- ja tietosuojaopas
• Tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus
• Asiakas- ja potilastietojen kirjalliset käsittelyohjeet (sote-sektorilla lakisääteiset)
• intranet eli sisäverkko, josta useissa organisaatioissa löytyvät sisäiset ohjeet, määräykset ja ajankohtaiset uutiset
• Tietosuojavastaava tiedottaa –lehtinen: Tietosuojavastaava voi laatia esimerkiksi neljä kertaa vuodessa tiedotteen, jossa käydään läpi tärkeitä tietosuoja-asioita. Tiedotteen voi jakaa organisaatiossa sähköpostitse tai sisäverkossa.
• www.vahtiohje.fi (Vahti-ohjeet liittyen henkilöstön perehdyttämiseen)
• www.finlex.fi (Valtion säädöskokoelma)
• www.tietosuoja.fi (Tietosuojavaltuutetun toimiston nettisivut)
• Tietoturvallisuuden ja tietosuojan verkkokurssit (organisaation pitää miettiä mistä ja millä hinnalla niitä hankkii. Kannattaa vaatia, että kursseja saa testata pilottiryhmällä ennen hankintapäätöstä). Hyvät kurssiohjelmat ovat sellaisia, että niihin pystyy pienellä vaivalla organisaatio itse laatimaan jatkossa sisältöä eikä varsinaista sisällöllistä laadintatyötä tarvitse erikseen toimittavan yrityksen asiantuntijalta ostaa. luentokoulutukset
• Tietosuojavastaavan ja tietoturvavastaavan laatimat luentoesitykset ja niiden jakaminen kaikkien työntekijöiden saataville
• Tietojärjestelmien käyttökoulutuksien yhteydessä kerrottavat tietoturva- ja tietosuoja-asiat (tietoturvasta ja tietosuojasta vastaavat voivat laatia parin dian esityksen, jonka voi kuka tahansa kouluttaja sitten koulutuksen alussa esittää, vaikka aihe olisi muuten aivan muu kuin tietoturva- ja tietosuoja)
• Perehdytyksen kontrollointi ja perehdyttämisprosessin kehittäminen. Täytyy varmistaa, että perehdytys on tehty ja että jäikö jotain epäselvää. Perehdyttäjän esimiehen on syytä varmistaa säännöllisesti, että onko uudet työntekijät perehdytetty sovitusti. Asian voi myös työntekijä ja esimies ottaa mukaan kehityskeskustelun sisältöön.

Tämän artikkelin lähteinä on käytetty Lahden ammattikorkeakoulun (2007) Hyvä perehdytys -opasta sekä VAHTI-ohjeita ja Tietosuojavastaavan käsikirjoja 1-2 (Tietosanoma Oy 2014)