Tietosuojatyön organisointi ja nykytila-analyysi

Tietosuoja-asioiden hoitoon pitäisi aina löytyä määritelty työrooli kuten tietosuojavastaava. Työn organisoinnissa on tärkeää muistaa organisaation sisäinen järjestäytyminen tietosuoja- ja tietoturva-asioiden hoitamiseksi. Kukaan ei pärjää yksin -oli kyseessä sitten pieni tai iso toimintayksikkö. Siksi esimerkiksi tällaisista asioista pitää sopia ja nämä pitää organisoida. Tärkeintä on kuitenkin aloittaa nykytilanteen kartoittamisesta ja sen analysoimisesta.

1. Tietosuojan nykytila-analyysin tekeminen

 

  • Selvitä tilivelvollisen johdon käsitys organisaation tietosuojasta

    • esim. järjestä seminaari ja/tai kirjallinen kysely

  • Kartoita olemassa oleva tietoturvan- ja tietosuojan johtamismalli

    • mm. resurssit, vastuunjako

  • Tunnista organisaation tietovarannot ja niiden hallintajärjestelmät

    • käsitelläänkö arkaluontoisia henkilötietoja?

    • kuinka suuri osa henkilötiedoista on salassa pidettäviä?

    • kenellä henkilötietoihin on pääsy (käyttövaltuudet ja niiden perusteet)

    • tietoaineistojen omistajuudet

    • mitkä ovat henkilötietojen omistajan oikeudet, velvoitteet ja vastuut?

    • onko arkistonmuodostussuunnitelma laadittu ja käytössä?

  • Tunnista myös organisaation henkilötietojen tietovirrat

  • Läpikäy rekisterihallintoon liittyvät linjaukset

    • mm. rekisterinpitäjät, rekisteriselosteet

    • asiakastietojen käsittelyn ohjeistukset ja niiden ajantasaisuus

  • Kartoita ja analysoi tietosuojariskit

  • Varmista toimeksiantosopimuksien sisältö

    • mm. miten on kuvattu henkilötietojen käsittelyprosessit ja salassapitoasiat

    • vastuunjako rekisterinpitäjän (toimeksiantaja) ja henkilötietojen käsittelijän (toimeksisaaja) välillä

    • muista ICT-vaatimusmäärittelyjen tietoturva- ja tietosuojavaatimukset hankittavissa tietojärjestelmissä

  • Mieti miten tietojohtaminen onnistuu?

    • selvitä mitä mittareita/tunnuslukuja on jo olemassa ja mitä pitää kehittää

    • laaditaanko organisaatiossa tietotilinpäätös osana raportointia?

  • Varmista Käytönvalvonnan organisointi

    • miten on toteutettu tietojärjestelmien tuottamien lokien hallinta?

    • onko laadittu lokipolitiikka, ja toteutuuko se?

    • käytönvalvonnan vuosisuunnitelman laatiminen ja käytönvalvontasuunnitelman toteuman läpikäynti

  • Selvitä rekisteröityjen oikeuksien toteuttaminen ja toteutuminen

    • kartoita rekisteröidyn oikeudet organisaatiosi käsittelemien henkilötietojen osalta

    • haastattele rekisteröityjen oikeuksien toteutumisen osalta esimerkiksi arkistoa, potilas- ja sosiaaliasiamiehiä sekä rekisterien vastuuhenkilöitä

2. Tietosuojatyön organisointi

JOHDON VELVOITTEET JA VASTUU:

- Nykytilan kartoitus
- Rekisterihallinnon järjestäminen
- Kirjalliset politiikat, periaatteet ja ohjeet
- Riittävät resurssit
- Tietosuojavastaavan nimeäminen ja tehtävien ja aseman määrittely
- Tietosuojaryhmän perustaminen ja tehtävien määrittely
- Riskienhallinta
- Riskien tunnistaminen ja luokittelu
- Riskianalyysit
- Toimintaohjeet riskien toteutuessa
- Seuraamuskäytännöt tietosuojarikkomuksissa
- Tietosuojattavan jätteen hävitysprosessin järjestäminen
- Omavalvontasuunnitelma
- Laadi tietotilinpäätös

katso myös aiheeseen liittyvä diasarja

3. Tietosuojatyön tekeminen

TIETOSUOJAVASTAAVAN JA TIETOSUOJARYHMÄN TOIMINTA:

- Johdon tukena toimiminen
- Ohjeiden laatiminen ja jalkauttaminen
- Lainsäädännön muutoksien seuraaminen ja tiedottaminen
- Henkilöstön perehdytysprosessin varmistaminen
- Henkilöstön kouluttaminen ja auttaminen
- Henkilöstön osaamisen mittaaminen
- Henkilötietojen käsittelyn valvonta
- Tietosuojapoikkeamien raportointi johdolle

Jos tietosuojatyön organisointiin ja itse tietosuojatyön tekemiseen tuntuu olevan vaikeuksia löytää resursseja, niin asiaa voi johdolle perustella mm. seuraavilla strategisilla huomiolla:

  • Laadittu organisaation henkilötietojen käsittely- ja tietosuojakäytänteiden nykytila-arvio ja -analyysi voi antaa aihetta tietosuojavastaavan tietosuojatyön lisäresurssointiin esimerkiksi jos rekisterinpitäjän henkilötietojen käsittely- ja tietosuojakäytänteiden nykytilan ja EU:n tietosuoja-asetuksen edellyttämän riskiperusteisen tavoitetilan välinen kuilu on suuri

  • Tietosuoja- ja tietoturva-asiat pitää hoitaa prosessinomaisesti, jota pystytään seuraamaan

  • Tietoturva- ja suoja-asioihin resursoinnin pitää pohjautua myös riskien tunnistamiseen ja hallintaan

  • Dokumentointi tietojen käsittelyn tilasta, sekä henkilötietojen käsittely- ja tietosuojakäytänteistä täytyy tehdä ja se pitää olla saatavilla (EU:n tietosuoja-asetuksen edellyttämä rekisterinpitäjän ja henkilötietojen käsittelijän oma-aloitteinen osoitusvelvollisuus, että noudattaa lainsäädäntöä henkilötietojen käsittelyssä)

  • Tietojohtamisen pitää perustua faktoihin (tunnusluvut, mittarit ja raportit)

  • Tietosuoja- ja tietoturvapoikkeamiin, kuten esimerkiksi tietomurto, pitää osata reagoida ja suunnitella myös kriisiviestintä

Tietosuojavastaavan käsikirja 2 teoksessa (Andreasson, Koivisto, Ylipartanen, Tietosanoma 2014) Tampereen kaupungin tietosuojavastaavana työskentelevä Ari Andreasson laati kirjan liitteeksi helposti ymmärrettävän Tietosuojavastaavan vuosikellon. Toivottavasti saatte siitä hyötyä suunnitellessanne omia vuosittaisia työtehtäviä ja niiden jaksottamista.

 

 

Tietoja