Case: Tampereen kaupunki sai selkeät raamit tiedolla johtamiseen ja tietotilinpäätöksen tekemiseen
Hyvin toteutettu tietotilinpäätös on erinomainen väline organisaation henkilötietojen käsittelyyn liittyvän tietopääoman käytön seuraamiseen ja kehittämiseen. Kun Tampereen kaupungin tietotilinpäätös kaipasi uusia suuntaviivoja, Netumin vankka asiantuntijuus tietosuoja- ja tietoturva-asioissa vauhditti selkeiden kehittämisehdotusten laatimista suuren organisaation tarpeisiin.
Tampereen kaupungin tietosuojavastaavan Ari Andreassonin toiveena oli mittaristo, jonka avulla toteutettu tiedon analysointi auttaisi sekä jälkikäteen tarkastelemaan tietosuojaan liittyviä toimenpiteitä että tehokkaasti ennaltaehkäisemään haasteita, joita tiedolla johtamiseen ja tietotilinpäätöksen tekemiseen liittyy. Erityistä huomiota kiinnitettiin myös siihen, että Tampereen kaupungin johdossa voitaisiin tulevaisuudessa selkeämmin hahmottaa tietosuoja- ja tietotilinpäätösprosesseja osana organisaationlaajuista kokonaisvaltaista tiedonhallintaa.
”Kansallisesti eri organisaatioissa tehdään paljon muita vaikutus- ja kustannusarvioita, mutta tietosuojaan liittyvät arvioinnit jäävät vielä usein vähemmälle. Saimme Netumilta selkeät kehittämisehdotukset tietotilinpäätöksen tekemiseen sekä ehdotuksen mittaristosta, joka tehostaa myös tiedolla johtamista koko organisaation laajuisesti”, Andreasson kiittää.
Tietotilinpäätös vertautuu taloushallinnosta tuttuun tilinpäätökseen, mutta erilaisten tietojen, kuten henkilötietojen näkökulmasta. Se on kuvaus organisaation tiedolla johtamisen tilasta ja ohjaa systemaattisesti läpikäymään tietosuoja- ja tietoturva-asioita ja tarkastelemaan niitä kokonaisvaltaisemmin. Julkinen tietotilinpäätös tuo läpinäkyvyyttä organisaatioiden toimintaan ja antaa kansalaisille tai asiakkaille mahdollisuuden nähdä, miten tietoja hallitaan.
Tiedolla johtaminen on kaikkien organisaatioiden asia
Vaikka tietotilinpäätöstä ei suoraan vaadita Suomen lainsäädännössä, valvontaviranomaisena toimiva tietosuojavaltuutettu suosittelee vahvasti sen tekemistä kaikenkokoisissa organisaatioissa.
Vuonna 2018 voimaan astunut EU:n tietosuoja-asetus on tuonut mukanaan uusia lainsäädännöllisiä vaatimuksia tietojen käsittelyyn eri organisaatioissa. Yksi yleisen tietosuoja-asetuksen keskeinen vaatimus on rekisterinpitäjän osoitusvelvollisuus. Enää ei riitä, että väittää toteuttavansa asiat oikein, vaan se pitää pystyä myös osoittamaan erilaisin dokumentein. Tietotilinpäätös on hyvä esimerkki tällaisesta dokumentista.
”Koska osoitusvelvollisuus on verrattain uusi asia, erilaiset organisaatiot ovat hyvin erilaisilla kypsyystasoilla tietosuojatyöhön liittyvien dokumenttien laatimisessa ja hallinnoimisessa”, Andreasson pohtii. Hänen mielestään olisi erityisen tärkeää, että mahdollisimman korkealla organisaation johdossa olisi kyky käsitellä tietosuojaan liittyviä asioita.
”Se helpottaa prosessien korjaamista ja henkilötietojen hallinnoimista suurissakin organisaatioissa. Mielestäni olisi hyvä pystyä katsomaan taaksepäin onko tietojen hallinnassa ollut ongelmia, onko valvontaviranomainen joutunut puuttumaan asioihin ja miten sen jälkeen on reagoitu. Tietotilinpäätöskään ei ideaalitilanteessa ole vain yksittäinen dokumentti vaan osa laajempaa kokonaisuutta. Sen tekemisen tulisi olla merkki jatkuvasta prosessien tarkastelusta ja kehittämisestä sekä reagointikyvykkyydestä vaikkapa vuoden tarkastelujaksoissa.”
-
“Mietimme yhdessä Netumin kanssa, että olisi erityisen hienoa, jos kuntasektorilla olisi yhdenmukainen mittaristo ja määrämuotoinen tapa tehdä tietotilinpäätös. Se tekisi tietosuoja-asioista vertailukelpoisempia sekä toisaalta läpinäkyvämpiä myös kansalaisille”, Ari Andreasson pohtii.
-
Netumin data-analytiikan asiantuntija Jani Henriksson haluaa rohkaista kaiken kokoisia organisaatioita tietotilinpäätösten tekemiseen ja yhdistämistä tiedolla johtamisen kokonaisuuteen. Näin saadaan läpinäkyvyyttä organisaatioiden toimintaan.
Läpinäkyvyyttä toimintaan oikeilla mittareilla
Netumin data-analytiikan asiantuntija Jani Henriksson kehottaa kaikkia organisaatioita tietotilinpäätösten ja tiedolla johtamiseen tarvittavien mittareiden kehittämiseen: ”Tietotilinpäätös tuo läpinäkyvyyttä organisaatioiden tiedonhallintaan ja antaa kokonaiskuvan siitä, minkälaista ja kuinka paljon tietoa organisaatioissa käsitellään. Tampereen kaupungille tekemässämme selvityksessä korostui etenkin se, että suurissa organisaatioissa, joissa käsitellään jopa sadoista eri lähteistä tulevaa dataa, on tarvetta selkeyttää näiden kokonaisuuksien hallintaa.”
Tampereen kaupungin tietotilinpäätösprojektissa mukana ollut Netumin tietoturva-asiantuntija Marko Immonen muistuttaa, että siinä missä tietosuoja asettaa säännöt henkilötietojen käsittelylle, tietoturva puolestaan tarjoaa keinot henkilötietojen suojaamiseen. Käsitteet kulkevat käsi kädessä, eikä tietosuojaa ole ilman tietoturvaa.
Tampereella onkin jo ryhdytty jalkauttamaan toimenpiteitä Netumin ehdotusten pohjalta. Suuressa organisaatiossa muutokset tapahtuvat hitaasti, sillä erilaisia järjestelmiä ja henkilötietorekisterejä on sadoittain.
”Olen erittäin tyytyväinen projektin lopputulokseen ja nopeassa aikataulussa pysymiseen. Tästä on hyvä jatkaa”, Ari Andreasson toteaa.
Marita Hämeenoja
Asiakkuuspäällikkö
Netum Oy
040 722 8469
marita.hameenoja@netum.fi