Tietoturvasta ja tietosuojasta puhuttaessa menee usein asiakokonaisuudet ainakin jonkin verran sekaisin. Usein kuulee päätelmän, että tietoturva on ylätason käsite, johon kuuluu myös tietosuoja. Tietosuojalla tarkoitetaan kuitenkin lähinnä yksilön (rekisteröity) yksityisyyden ja luottamuksen turvaamista eli esimerkiksi henkilötietojen oikeaoppista käsittelyä ja niiden suojaamista luvattomalta käytöltä ja muulta käsittelyltä. Voidaankin siis ajatatella, että tietosuoja on perustuslailla perusoikeutena turvattua rekisteröidyn "tiedollista kotirauhaa" eli ihmisille on turvattu perustuslaissa oikeus elää omaa elämäänsä miten haluavat ilman kenenkään oikeudetonta puuttumista siihen. Tietoturva puolestaan mielletään uudemman ajan käsitteeksi, jonka voidaan ajatella olevan seurausta pääasiallisesti tietotekniikan kehityksestä (palomuurit, virustorjunta, tietojen kryptaus jne.). Tietosuojassa on kysymys rekisteröidyn oikeuksista. Tietoturvalla puolestaan tarkoitetaan niitä teknisiä ja hallinnollisia toimenpiteitä joilla em. rekisteröidyn oikeudet turvataan. Lisäksi on hyvä havaita, että keväällä 2016 Euroopan parlamentin ja neuvoston hyväksymässä EU:n yleisessä tietosuoja-asetuksessa (2016/679) suojan kohteena henkilötietoja käsiteltäessä ovat rekisteröidyn oikeudet ja vapaudet laajasti eikä pelkästään yksityisyyden suoja.
Tietosuojalla on perinteisesti ymmärretty henkilötietojen käsittelyä koskevien lainsäädännöllisten vaatimusten huomioon ottamista yksityisten henkilöiden yksityisyyden, oikeuksien ja oikeusturvan varmistamiseksi. Tietosuojan tarkoituksena on näin ollen turvata tiedon kohteen (data subject) yksityisyys sekä edut, oikeudet ja vapaudet sekä oikeusturva.
Tietoturvalla tarkoitetaan puolestaan niitä toimenpiteitä, joilla rekisteröidyn yksityisyyden suojaamiseen ja oikeuksien ja vapauksien turvaamiseen pyritään. Näitä ovat ennen muuta tiedon laadun ja eheyden koskemattomuuden (integriteetin) säilyttäminen sekä tiedon luottamuksellisuuden suojaaminen teknisin ja hallinnollisin keinoin. Tietoturvalla tarkoitetaan toisin sanoen niitä käytännön toimenpiteitä, joilla pyritään tietosuojan toteuttamiseen. Tällaisia teknisiä ja hallinnollisia toimenpiteitä ovat esimerkiksi:
- Tietosuojavastaavan nimeäminen ja tehtävien määrittely,
- ohjeistuksen laatiminen asiakastietojen käsittelystä sekä henkilöstön kouluttaminen (ohjeiden jalkauttaminen) ja henkilöstön tietosuojaosaamisen (ohjeiden sisäistämisen) varmistaminen/testaaminen,
- omavalvontasuunnitelman laatiminen, seuranta ja päivittäminen,
- perusteltu ja toimiva käyttövaltuushallinto,
- ulospäin uskottava käytönvalvonta (asiakastietojen luvattoman käsittelyn estäminen): asianmukaiset lokijärjestelmät, asiakastietojen käytönvalvonnan vuosisuunnitelman laatiminen ja sen seuranta sekä asiakastietojen käsittelyn jälkikäteisvalvonta oma-aloitteisesti ja asiakkaan pyynnöstä,
- toimitilojen turvaaminen
- vakuutukset
- osoitusvelvollisuus ja raportointi (kuten tietotilinpäätös)
Lisäksi tietoturvallisuuteen kuuluu jatkuvuussuunnittelu, mikä on tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista normaali- ja poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta.
Asiasta on useita tarkempia määrittelyitä, joista poimimme tähän yhden:
Tietosuoja -käsite murtautui Suomessa esiin 1970 -luvun alussa. Tietosuoja on käsitteellisesti laaja-alaisempi kuin yksityisyyden suoja. Tietosuojaan kuuluu kansalaisten yksityisyyden suojan ja oikeusturvan huomioonottaminen muun muassa tietojen rekisteröinnissä ja tiedostojen suojaamisessa luvattomalta ulkopuoliselta käytöltä. Tietosuoja -termi ohjaa ajatukset rekisterinpitoon ja henkilötietojen käsittelyn toiminnalliseen puoleen
Lähde: Konstari, Timo 1992: Henkilörekisterilaki: Säännökset ja käytäntö, s.1-15. Lakimiesliiton kustannus.
Tietosuojaan kuuluu myös henkilön oikeus saada tietää itseään koskevista henkilörekisteritiedoista. Tietosuojalla rajoitetaan ja tehdään luvanvaraiseksi yksilöistä kerättävien rekisterien ja tiedostojen ylläpitäminen ja henkilötietojen luovuttaminen niistä. Tietosuojalla ei tarkoiteta kaikissa tilanteissa henkilötietojen salassapitoa eikä tietosuoja ole julkisuudenkaan vastakohta. Tietosuojalla tarkoitetaan sekä julkisen että salassa pidettävien henkilötietojen käsittelyn laissa säädettyjä toiminnallisia edellytyksiä ja mahdollisuuksia.
Lähde: Posio, Sirpa 2008.: Yksityisyyden suoja sosiaalihuollossa, s. 141-145. Suomalaisen lakimiesyhdistyksen julkaisuja, A-sarja n:o 283.
TIETOSUOJAN KEHITYS PÄHKINÄNKUORESSA
- Hippokrateen vala lääkäreille (n. 2500 vuotta sitten)
- Suuret vallankumoukset (1700 -luvulla)
- Joukkotiedotusvälineiden kehittyminen (1890 -luku)
- II-maailmansota (1940 -luku)
- IT-teknologia (1960-luvulta alkaen)
- Henkilörekisterilaki (1.1.1988)
- Rikoslaki (tieto- ja viestintärikokset, 1995)
- Perusoikeusuudistus (1.8.1995)
- EU:n henkilötietodirektiivi (24.10.1995)
- Henkilötietolaki (523/99, 1.6.1999)
- Kansallinen terveyshanke (2000-luvulla)
- Tietosuojavastaavat 2007 lukien (laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä, 159/2007 sekä laki sähköisestä lääkemääräyksestä, 61/2007) - eResepti ja Kelan Reseptikeskus, potilastiedot valtakunnallinen eArkisto ja kansalaisen eKatselu samoin 2007 lukien.
- EUn yleinen tietosuoja-asetus 2016/679 (hyväksyttiin keväällä 2016 ja alkoi velvoittaa 5/2018-), mm. tietosuojavastaavan nimittämisen laajentaminen, aseman parantaminen ja tehtävien selkeyttäminen.
- Tietosuojalaki 1050/2018
- Tiedonhallintalaki 906/2019
Lisätietoa:
Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus (GDPR), Andreasson, Ari; Ylipartanen, Arto; Tietosanoma 2022
LÄHTÖKOHDAT
- Kansalaisten yksityisyyden, oikeuksien ja vapauksien sekä oikeusturvan takia on tärkeää, että henkilötietojen käsittely on asianmukaista ja asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Asiakassuhde perustuu aina luottamukseen, jolloin asiakkaan on voitava olla varma, että hänen tietojaan käytetään asianmukaisesti.
- Käyttöoikeuksien hallinta, varmenneratkaisut, suostumukseen perustuva tietojen luovutus, lokitietojen valvonta sekä asiakkaan oikeus tarkistaa lokitiedot ovat keinoja vahvistaa asiakkaan luottamusta ja parantaa samalla myös ammattilaisen oikeusturvaa.
- Tietosuoja on välineriippumatonta ja suomalainen yksilön perusoikeus.
- Omat erityisvaatimuksensa mm. sosiaali- ja terveydenhuollon toimialoilla hyödynnettäville tietoteknologialle asettaa käsiteltävien potilas- ja asiakastietojen arkaluonteisuus.
- Sähköisissä järjestelmissä vahingon torjunta on halvempaa kuin vahingon korjaaminen.
- Tietosuojasta 80 % on ihmistä/psykologiaa.
Lisätietoa:
Ylipartanen, Arto 2012 (1. painos 2010): Tietosuoja terveydenhuollossa. 2. painos, 3. Uudistetusta laitoksesta. Tietosanoma.
KESKEISTÄ HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄÄ LAINSÄÄDÄNTÖÄ
Ajantasainen lainsäädäntö löytyy osoitteesta www.finlex.fi
• EUn yleinen tietosuoja-asetus 2016/679 (asetus on hyväksytty keväällä 2016 ja sitä alettiin soveltaa 5/2018-)
• Suomen perustuslaki (731/1999)
2. luku 10 §: Yksityiselämän suoja ja luottamuksellisen viestin salaisuus
2. luku 12 §: Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus
• Tietosuojalaki (1050/2018):
• Laki viranomaisten toiminnan julkisuudesta (621/1999)
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
• Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999)
• Laki kunnallisesta viranhaltijasta (304/2003)
• Työsopimuslaki (55/2001)
• Arkistolaki (831/1994):
Asiakirjojen laatiminen, säilyttäminen ja käyttö
• Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004):
Arkaluonteiset kansainväliset asiakirjat
• Turvallisuusselvityslaki (726/2014):
Henkilöiden taustat
• Laki yksityisyyden suojasta työelämässä (759/2004):
Työntekijää koskevien henkilötietojen käsittely
• Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003):
Tietoturvallisuus asioinnissa ja viranomaisten keskinäisessä tietojenvaihdossa
• Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009)
• Laki sähköisen viestinnän palveluista (917/2014):
Sähköisen viestinnän luottamuksellisuus ja yksityisyyden suoja
• Rikoslaki (39/1889)