Viime vuoden toukokuussa lopullisesti voimaan tullut EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) toi rekisterinpitäjille ja henkilötietojen käsittelijöille uusia velvoitteita ja vastuita. Tämän vuoden alusta voimaan astunut kansallinen tietosuojalaki täydentää EU:n asetusta. Lukuisissa eri organisaatioissa, yhdistyksissä, oppilaitoksissa ja jopa urheiluseuroissa sekä päiväkodeissa on tehty asian eteen kasapäin töitä ja joidenkin mukaan kiivain GDPR-huuma alkaa pikkuhiljaa jo haihtua. Kuitenkin vaikka Suomesta löytyykin teknisen tietoturvan raudanlujaa osaamista, niin tietosuojan osalta Suomea ei voi pitää erityisen osaavana maana – toki joitakin poikkeuksia lukuun ottamatta.
Suomalaisista yrityksistä 93% on alle 10 hengen mikroyrityksiä. Käsi ylös, kuinka monessa pienemmässä tai keskisuuressakaan yrityksessä arvioidaan säännöllisesti tietosuojaan liittyviä riskejä tai laaditaan tietotilinpäätös? Tai kuinka moni on suunnitellut ja toteuttanut henkilötietojen hävitysprosessin?
Tietosuojan sijaan puhuttava henkilötietojen oikeasta käsittelystä
Tietosuoja on terminä hankala ja jopa värittynyt. Järkevämpää olisikin puhua henkilötietojen oikeaoppisesta käsittelystä. Pankkisektorilla on toteutettu viimeiset 25 vuotta sisäänrakennettua yksityisyyttä – jo kauan ennen kuin kukaan edes puhui termistä ’tietosuoja’. Tästä hyvänä esimerkkinä vaikkapa tunnistautuminen puhelinpalvelun aikana tai kuolinpesän selvitys: toisen henkilön tietoihin ei pääse pankissa niin vain käsiksi. Myös vakuutusyhtiöillä ja verohallinnolla on pitkät perinteet henkilötietojen asianmukaisessa käsittelyssä.
Mahdollisilla sanktioilla ja maineen menetyksellä pelottelun sijaan tulisi korostaa, että henkilötietojen oikeaoppinen käsittely voi olla organisaatiolle merkittävä menestystekijä, jonka keskiössä on asiakkaan luottamus yksityisyyden suojan parantuessa. Tällainen organisaatio näyttäytyy luotettavana palvelujen tuottajana ja toivottuna yhteistyökumppanina.
Tietotilinpäätöksellä faktat pöytään
Tietotilinpäätös tunnuslukuineen ja mittareineen osoittaa, kuinka tietosuoja toteutuu organisaation toiminnoissa. Sen avulla organisaatio voi todistaa noudattavansa voimassaolevaa lainsäädäntöä. Periaate on verrannollinen kirjanpitovelvollisen tilinpäätökseen: tuloslaskelmassa esitetään, mistä tulevat tuotot ja mihin menevät kulut. Vastaavasti voidaan esittää, mistä organisaatioon tulee henkilötietoja ja mihin niitä käytetään. Aivan kuten taloudellisia tunnuslukuja seurataan säännöllisesti koko tilivuoden aikana eikä ainoastaan kerran vuodessa tilinpäätöstä tehdessä, tulisi myös tietopääoman käyttöä seurata johtoryhmässä toistuvasti ja systemaattisesti vuoden aikana.
Jos kaikki julkisen sektorin ja yritysten tietotilinpäätökset olisivat julkisia, voisivat eri organisaatiot vertailla toimintaansa keskenään ja oppia toisiltaan. Eri toimialoilla on väistämättä omia erityispiirteitään, mutta toisinaan benchmarking on jopa hyödyllisempää toteuttaa eri toimialojen organisaatioiden kesken.
Tietosuojakäytäntöjen suunnitteluun, dokumentointiin, raportointiin ja riskien hallintaan on saatavilla moderneja ja opastavia työkaluja, joiden avulla toisinaan hieman ’paperinmakuisesta’ tietojohtamisesta voi tehdä hauskempaa ja visuaalisempaa.
Myös sertifioinnista apua vaatimustenmukaisuuden osoittamiseen
Lainmukaisuuden osoittamiseen on muitakin keinoja kuin tietotilinpäätös, esimerkiksi sisäinen katselmus, ulkopuolisen tekemä arviointi tai sertifiointi. Sopivan vaihtoehdon valintaan vaikuttavat aina kustannukset. Sertifiointi saattaa muodostua pienimmille organisaatioille tarpeettoman kalliiksi.
Kansainvälisen standardisoimisorganisaation ISO:n tekninen komitea on parhaillaan valmistelemassa standardiluonnosta ISO/IEC DIS 27552 (Privacy information management), jota voidaan valmistuttuaan käyttää arvioitaessa GDPR-vaatimustenmukaisuutta. Ulkopuolinen akkreditoitu taho tekisi organisaation tietosuojakäytäntöjen arvioinnin ja myöntäisi sertifikaatin tämän standardin vaatimuksia vasten. Lain vaatimuksia vasten ei voi luonnollisestikaan sertifioitua.
Mikään organisaatio ei todennäköisesti täytä sataprosenttisesti kaikkia henkilötiedon käsittelyn vaatimuksia ja voi tietysti kyseenalaistaa, onko se edes tavoiteltavaakaan. Oleellista onkin tunnistaa riskin paikat ja lähestyä asiaa riskiperusteisesti.