Tietosuojan nykytila-analyysi tarkoittaa organisaation henkilötietojen käsittelyn ja tietosuojakyvykkyyksien nykytilan arviointia suhteessa keväällä 2016 hyväksytyn EU:n yleisen tietosuoja-asetuksen (2016/679) vaatimuksiin. EU:n tietosuoja-asetusta aletaan soveltamaan 2 vuoden siirtymäajan jälkeen 25.5.2018. Analyysin kohteena ovat mm. asiakastiedot, henkilöstöhallinnon tiedot, ulkoistukset, ulkomaille siirrot, sopimukset sekä tietoturva. EU:n tietosuoja-asetuksessa on otettu käyttöön riskiperusteinen lähestymistapa, jonka avulla rekisterinpitäjien ja henkilötietojen käsittelijöiden velvoitteet voidaan mukauttaa niiden suorittaman tietojenkäsittelyn riskeihin. Näin ollen eri rekisterinpitäjien tietosuojavelvoitteet ja -vastuut voivat vaihdella toimialoittain ja organisaatioittain. Arvioimalla organisaation nykyiset henkilötietojen käsittely- ja tietosuojakäytänteet sekä tunnistamalla tavoitetilan (EU:n tietosuoja-asetuksen vaatimukset), voi rekisteinpitäjä laatia siirtymäajalle tietosuojasuunnitelman. Parhaillaan meneillään oleva siirtymäaika kannattaa käyttää hyödyksi, ja aloittaa viimeistään nyt projekti oman organisaation tietosuojakyvykkyyksien päivittämiseksi EU:n tietosuoja-asetuksen vaatimalle tasolle 25.5.2018 mennessä.
Tietosuojavastaavien ylväs ammattikunta on EU:n tietosuoja-asetuksen keskiössä ja avainroolissa myötävaikuttamassa asetuksen säännösten toteutumiseen. Mikäli organisaatiossa ei vielä ole nimetty tietosuojavastaavaa, kannattaa nimeäminen ja tehtävien määrittely tehdä pikaisesti sekä tarjota tietosuojavastaavalle riittävät resurssit tehtävässään onnistumisen mahdollistamiseksi. Ensimmäinen asia mihin tietosuojavastaavan on perusteltua panostaa, on organisaation henkilötietojen käsittely- ja tietosuojakäytänteiden nykytila-arvion ja -analyysin tekeminen. Siinä pääsee hyvään alkuun kartoittamalla ja läpikäymällä esimerkiksi seuraavia keskeisiä asioita:
-
1. Selvitä tilivelvollisen johdon käsitys organisaation tietosuojasta
-
esim. järjestä seminaari ja/tai kirjallinen kysely
-
-
2. Kartoita olemassa oleva tietoturvan- ja tietosuojan johtamismalli
-
mm. resurssit, vastuunjako
-
-
3. Tunnista organisaation tietovarannot ja niiden hallintajärjestelmät
-
käsitelläänkö arkaluontoisia henkilötietoja?
-
kuinka suuri osa henkilötiedoista on salassa pidettäviä?
-
kenellä henkilötietoihin on pääsy (käyttövaltuudet ja niiden perusteet)
-
tietoaineistojen omistajuudet
-
mitkä ovat henkilötietojen omistajan oikeudet, velvoitteet ja vastuut?
-
onko arkistonmuodostussuunnitelma laadittu ja käytössä?
-
-
4. Tunnista myös organisaation henkilötietojen tietovirrat
-
5. Läpikäy rekisterihallintoon liittyvät linjaukset
-
mm. rekisterinpitäjät, rekisteriselosteet
-
asiakastietojen käsittelyn ohjeistukset ja niiden ajantasaisuus
-
-
6. Kartoita ja analysoi tietosuojariskit
-
7. Varmista toimeksiantosopimuksien sisältö
-
mm. miten on kuvattu henkilötietojen käsittelyprosessit ja salassapitoasiat
- vastuunjako rekisterinpitäjän (toimeksiantaja) ja henkilötietojen käsittelijän (toimeksisaaja) välillä
-
muista ICT-vaatimusmäärittelyjen tietoturva- ja tietosuojavaatimukset hankittavissa tietojärjestelmissä
-
-
8. Mieti miten tietojohtaminen onnistuu?
-
selvitä mitä mittareita/tunnuslukuja on jo olemassa ja mitä pitää kehittää
-
laaditaanko organisaatiossa tietotilinpäätös osana raportointia?
-
-
9. Varmista Käytönvalvonnan organisointi
-
miten on toteutettu tietojärjestelmien tuottamien lokien hallinta?
-
onko laadittu lokipolitiikka, ja toteutuuko se?
-
käytönvalvonnan vuosisuunnitelman laatiminen ja käytönvalvontasuunnitelman toteuman läpikäynti
-
-
10. Selvitä rekisteröityjen oikeuksien toteuttaminen ja toteutuminen
-
kartoita rerekisteröidyn oikeudet organisaatiosi käsittelemien henkilötietojen osalta
-
haastattele rekisteröityjen oikeuksien toteutumisen osalta esimerkiksi arkistoa, potilas- ja sosiaaliasiamiehiä sekä rekisterien vastuuhenkilöitä
-
Jos tietosuojatyön organisointiin ja itse tietosuojatyön tekemiseen tuntuu olevan vaikeuksia löytää resursseja, niin asiaa voi johdolle perustella mm. seuraavilla strategisilla huomiolla:
-
Laadittu organisaation henkilötietojen käsittely- ja tietosuojakäytänteiden nykytila-arvio ja -analyysi voi antaa aihetta tietosuojavastaavan tietosuojatyön lisäresurssointiin esimerkiksi jos rekisterinpitäjän henkilötietojen käsittely- ja tietosuojakäytänteiden nykytilan ja EU:n tietosuoja-asetuksen edellyttämän riskiperusteisen tavoitetilan välinen kuilu on suuri
-
Tietosuoja- ja tietoturva-asiat pitää hoitaa prosessinomaisesti, jota pystytään seuraamaan
-
Tietoturva- ja suoja-asioihin resursoinnin pitää pohjautua myös riskien tunnistamiseen ja hallintaan
-
Dokumentointi tietojen käsittelyn tilasta, sekä henkilötietojen käsittely- ja tietosuojakäytänteistä täytyy tehdä ja se pitää olla saatavilla (EU:n tietosuoja-asetuksen edellyttämä rekisterinpitäjän ja henkilötietojen käsittelijän oma-aloitteinen osoitusvelvollisuus, että noudattaa lainsäädäntöä henkilötietojen käsittelyssä)
-
Tietojohtamisen pitää perustua faktoihin (tunnusluvut, mittarit ja raportit)
-
Tietosuoja- ja tietoturvapoikkeamiin, kuten esimerkiksi tietomurto, pitää osata reagoida ja suunnitella myös kriisiviestintä
Tietosuoja on oikein mitoitettuna ja toteutettuna menestystekijä. Mukavaa loppuvuotta kaikille tietosuojan ystäville toivottavat artikkelin kirjoittajat Ari Andreasson ja Arto Ylipartanen