Tietosuojan peruspilarit
Tietosuoja ja tietoturva on noussut otsikkoihin Vastaamon tietovuodon takia. Kyseisessä tapauksessa terveysalan yrityksen tietoihin on murtauduttu ja asiakkaiden tiedot on varastettu. Varastettuja tietoja käytetään kiristystarkoituksessa.
Roisto tapauksessa on tietenkin tietomurron takana oleva taho, ja ensisijainen uhri on kyseessä oleva yritys. Kuitenkin suurin kärsimys kohdistuu tapauksessa yrityksen asiakkaisiin. Asiakkaiden asemaan vaikuttavat tietosuojanäkökulmasta yrityksen toimet ja valmiudet: onko yritys noudattanut tietosuojasääntöjä ja -vaatimuksia, vai onko roistolle tarjottu liian helppo tie tietoihin?
Onko tietosuoja kunnissa kunnossa?
Kunta ja kuntayhtymät ovat vastuussa hyvin laajasta kokonaisuudesta ihmisten tietoja. Tietojen käsittelyssä kunta käyttää hyvin laajaa verkostoa ”alihankkijoita” – eri tietojärjestelmien ja verkkopalvelujen tuottajia, tietojen jalostajia ja vastaavia, joiden tekemisistä ja tietoturvan tasosta kunta viimekädessä on kuitenkin vastuussa.
Tietosuojasääntelyä uudistettiin keväällä 2018 GDPR:n, eli henkilötietojen käsittelyä sääntelevän lainsäädännön osalta. Sääntöihin on nykyisin kirjattu tarkasti mm.
- milloin ihmisten tietoja ylipäänsä saa käsitellä,
- miten näitä tietoja tulisi käsitellä ja esimerkiksi
- mitä kunnan tulisi tehdä tietomurron tapahtuessa.
Tietosuojasääntelystä löytyy myös yksityiskohtaiset säännöt informaatiovelvollisuudesta suhteessa rekisteröityihin henkilöihin kuin valvovaan viranomaiseen.
Olen huomannut, että keskusteluissa kuntien kanssa tietosuojasta takerrutaan helposti tietosuojan peruskysymykseen: henkilötietojen käsittelyn peruste, eli kysymys siitä milloin ihmisten tietoja ylipäänsä saa käsitellä ja millä perusteella? Kysymys onkin perustavanlaatuinen, koska ilman käsittelyperustetta tietojen käsittely on laitonta. Kuntien kannalta voidaan kuitenkin hyvin karkeasti todeta, että mikäli kunnan kyseistä asiaa koskeva toiminta on laillista, myös henkilötietojen käsittely toiminnassa on laillista.
Tietosuojan kokonaiskuva muodostuu ymmärryksestä
Olisikin tärkeä päästä keskustelemaan käsittelyperusteen lisäksi rekisteröityjen oikeuksien toteutuksista, käsittelyn turvatasosta ja käytännön keinoista suojata henkilöiden tietoja käsittelyssä. Miten kunnan viranomainen rekisterinpitäjänä ylläpitää tiedot, hallinnan ja vastuun alihankkijoiden toiminnasta?
Kolmantena askeleena lainsäädännön vaatimusten tunnistamisen ja niihin vastaamisen jälkeen onkin ehkä vaikein. – Miten omassa organisaatiossa voisi varmistaa, että jokainen ymmärtää vastuunsa ja toimii käsittelyssä oikein? Onko tietosuojan näkökulmasta esimerkiksi ok käyttää sähköpostijärjestelmää arkistointitarkoituksessa?
Kunnan tietosuojavaatimusten lyhyt oppimäärä voisi alkaa vaikkapa näin:
- Mikä on tietojen käsittelyn peruste ja kuinka kauan tämä on voimassa?
- Millä tavalla rekisteröidyille kerrotaan tietojen käsittelystä ja mistä he voivat tarkistaa tietojansa, kysyä lisää ja vastaavaa?
- Mitkä ovat turvallisen käsittelyn tekniset reunaehdot? Nämä määritellään osittain tietojen laajuuden ja laadun perusteella, ja ovat osittain tiukasti säädettyjä. Tähän kokonaisuuteen sisältyy myös sen varmistaminen, että "alihankkijat" ja tietojärjestelmät täyttävät niille lainsäädännössä asetetut vaatimukset.
- Miten varmistetaan, että kunnan organisaatio noudattaa sääntöjä ja määräyksiä tietojen käsittelyssä? Kunnassa sekä viranhaltijat että luottamushenkilöt toimivat virkavastuulla, mutta ymmärtävätkö kaikki tietosuojan vaatimukset?
- Miten päivitetään ja tarkistetaan omaa toimintaa ja sen riittävyyttä?
Tietosuojassa kokonaiskuva on tärkeä ja kokonaiskuvaa ei muodostu ilman ymmärrystä. Tietosuoja tuntuu usein vieraalta ja kaukaiselta, tekniseltä ja monimutkaiselta. Neuvoni kunnan vastuuhenkilöille onkin: kysykää, kysykää ja kysykää, kunnes ymmärrätte ja olette itse varmoja kuntalaisten ja palvelujen käyttäjien tietojen turvallisesta käsittelystä.
Aiheesta lisää
Kuntaliiton verkkopalvelussa
Muualla verkossa
- Asiantuntija muistuttaa kuntia: Auditointi maksaa, mutta kyberhyökkäykset ja tietoturvamurrot tulevat vielä kalliimmiksi
Kuntaliiton tietoyhteiskunta-asioiden johtaja Tommi Karttaavi Kuntalehdessä 26.10.2020
Tervetuloa digisumpeille!
Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten.