Tietosuoja-asetus haastaa meidät huolellisempaan tietojenkäsittelytapaan

Security
14.02.2017

Tietosuoja-asetus haastaa meidät huolellisempaan tietojenkäsittelytapaan

Euroopan Unioni on vastikään julkaissut uuden tietosuoja-asetuksen, jonka on määrä astua voimaan toukokuussa vuonna 2018. Tarkoitus on luonnollisesti yhtenäistää tietosuojaan liittyvää lainsäädäntöä EU:n alueella. Asetus voi ensilukemalta tuntua häkellyttävältä, sillä pelin henki on selvä – jos organisaatio ei käsittele henkilötietoa asianmukaisella tavalla, on seuraamuksena todella rajut sanktiot, joita ei lasketa yksittäisissä tuhatlappusissa.


Kun pöly korvien välissä hieman laskeutuu huomaa, että asetuksen tarkoitus on parantaa yksittäisen kuluttajan tietoturvaa ja siinä se. Kyse ei varmaan siis voi olla kovin huonosta asiasta?

Miten tietosuoja-asetukseen ja ylipäätään tietosuojan kehittämiseen omassa organisaatiossa tulisi sitten suhtautua? Vastaus on, että tyynesti ja ilman turhia tunne-elämyksiä. Tietosuojatyö käynnistyy organisaatiossa siten, että johdon on ymmärrettävä, miten tärkeästä asiasta on kyse. Tärkeyden perustelu on ns. no-brainer – peruste tuli jo alussa. Seuraavaksi valitaan tietosuojavastaava ja hänelle pieni, mutta tehokas virtuaaliorganisaatio, jonka tehtävänä on levittää tietoisuutta tietosuoja-asioista organisaatiossa.

Tietosuojatyön tärkein tehtävä, ja mikä vaatii eniten raakaa työtä, on tunnistaa, miten organisaatiossa tietoa syntyy. Prosessien kuvaaminen on yleensä tuttua etenkin hieman suuremmille organisaatioille – tietosuojatyö on tämän työn lähisukulainen. Työssä tunnistetaan, miten tietoa syntyy, miten sitä käytetään ja miten tieto poistuu käytöstä. Kyse on siis tiedon elinkaaresta.

Toisin sanoen koko organisaation henkilökunnan on ymmärrettävä organisaatiossa käsiteltävän tiedon luonne, koska laadukas ja tietoturvallinen työ syntyy päivittäisessä toiminnassa. Jos organisaatio pystyy luomaan riittävällä tasolla olevat toimintaohjeet ja valvomaan sopivalla tasolla tietoturvallisen työn toteutumista, on organisaatio jo pitkällä.

Toinen tärkeä aspekti tietosuojatyössä on panostaa asian viestintään asiakassuhteissa. Oppilaitoksen asiakkaita ovat luonnollisesti opiskelijat. Onkin tärkeää kyetä osoittamaan opiskelijoille, että oppilaitos käsittelee opiskelijan henkilötietoja lain ja asetusten mukaisesti. Tähän auttaa avoin viestintä, jossa opiskelijalle ei jää epäselväksi, miten hänen tietojaan käytetään ja miten pitkään ne säilyvät oppilaitoksen rekistereissä.

Tietosuojatyö(kään) ei siis ole rakettitiedettä, mutta tietyt askeleet se vaatii. Se vaatii organisaation tietojenkäsittelytapojen tunnistamisen ja ohjeistamisen. Ja tarvittavan valvonnan. Tietosuojaa lähdetään kehittämään maltillisesti, ei siis niin että vähänkin epäilyttävä tieto pitää heti salata. Julkinen tieto on, ja tulee edelleen olemaan julkista, ja salainen salaista. Avainasemassa onkin se, miten tiedon näkyvyys perustellaan.

Solenovo haluaa olla mukana tässä työssä. Tavoitteena on ripustaa oppilaitoksen seinälle kyltti ”Olemme tietoturvallinen yhteisö”.


Solenovo
Solenovo