Niemikotisäätiössä on viimeisen vuoden aikana tehty määrätietoinen harppaus tietosuojan kehittämisessä. Lähtötilanne oli selkeä: ulkoisessa arvioinnissa tietosuojan taso oli 14 pistettä. Nyt pistemäärä on noussut jo 75:een.
Tietosuojavastaavana toiminut Niina Sahlberg kuvaa lähtötilannetta yksinkertaisesti: kehittämisen varaa oli paljon. Kun 14 pisteen tulokset saatiin, työ käynnistettiin johdonmukaisesti ja vaiheittain.
Ensimmäinen havainto: dokumentaatio puuttui
Heti alkuvaiheessa nousi esiin yksi iso kehityskohde: dokumentaation puute.
– Valtava määrä dokumentaatiota puuttui, Niina kertoo.
Tietosuojatyössä suuri osa on “näkymätöntä” eli taustalla tehtävää rakenteiden, ohjeiden ja dokumenttien rakentamista. Niina painottaa kuitenkin, että pelkkä paperityö ei riitä.
– Toinen iso teema oli henkilökunnan kouluttaminen. Jos ihmiset eivät tiedä, mitä tietosuoja on ja miten sitä toteutetaan, dokumentointi on toissijaista.
Uusi tietosuojakäsikirja ja suunnitelmallinen tekeminen
Yksi merkittävimmistä konkreettisista askelista on ollut tietosuojakäsikirjan tekeminen. Käsikirja on kirjoitettu ja julkaistu kaikkien saataville — ja myös “tentittäväksi”.
Samalla tietosuojatyöhön on tuotu selkeä rakenne:
- vuosittainen suunnittelu
- vuosiraportointi
- käytäntöjen jatkuva kehittäminen
Lisäksi esimerkiksi Kanta-liittymiseen valmistautuminen on edellyttänyt tietoturvapolitiikan tekemistä ja ylläpitoa.
– Dokumentaatio ohjaa. Nyt on luotu toimivat rakenteet pohjalle, joita on helppo jatkossa kehittää ja toteuttaa.
Muutos näkyy ajattelutapana
Niinan mukaan muutos ei ole ollut ensisijaisesti järjestelmämuutos, vaan ennen kaikkea toimintatapamuutos.
– Samoilla järjestelmillä me pelataan kuin tähänkin asti, mutta rakenteet ja toimintatavat, joilla niitä käytetään, on pähkäilty läpi ja kirjoitettu ylös.
Ohjaajien työssä muutos näkyy erityisesti siinä, että tietosuojaa pohditaan aktiivisesti.
– Ihmiset miettivät oikeasti, mihin saa tallentaa tietoja ja mihin niitä saa levittää tai kertoa eteenpäin. Ja esimerkiksi väliaikaiset asiakastiedot: ei voi tallentaa lausuntoa minne tahansa, jos siinä on henkilötietoja. Tavoite on, että palvelunkäyttäjiä koskeva tieto pysyy asiakastietojärjestelmässä.
Kiire ja sähköposti ovat tyypillisimpiä riskipaikkoja
Kun tietosuojan unohtuminen on lähellä, syy on usein arkinen.
– Arki ja kiire. Ja sähköposti on hyvin tyypillinen: onko siinä salaus ja miten sen pitäisi olla — eikö sitä nyt vaan voi lähettää?
Niinan tiivistys henkilöstölle on selkeä:
- Palvelun käyttäjien henkilötiedot kuuluvat lähtökohtaisesti vain asiakastietojärjestelmään
- Henkilötietoja ei lähetetä tavallisessa sähköpostissa missään muodossa
- Palvelun käyttäjien asioista ei puhuta niin, että sivulliset voivat kuulla
“Kaikki piti opetella työn ohessa”
Tietosuojavastaavan työ on vaatinut myös paljon oppimista.
– Lähtötaso itsellä ei ollut mikään. Varmaan lähellä sitä 14:ää itselläkin, Niina sanoo.
Haastavinta oli löytää varmuus omaan tekemiseen, kun samaan aikaan piti sekä opetella että kouluttaa muita.
– Tilanteet tulevat nopeasti, ja joskus voi mennä hetki, kun joutuu pyörittelemään ja ratkomaan, että saa vastauksen tolkun kanssa ja perustellusti.
Ulkoiset auditoinnit ja seuranta tukevat kehitystä
Tietosuojan tasoa seurataan monella tavalla. Kokonaiskuvan mittarina toimivat erityisesti ulkoiset auditoinnit. Lisäksi seurannassa ovat muun muassa raportoidut tietosuojaloukkaukset sekä erilaiset vuositasoiset mittarit.
Tietoa kootaan vuosittain dokumenttiin, johon kerätään myös havaintoja esimerkiksi tietoturvaan liittyvistä ilmiöistä, kuten mahdollisista kalasteluyrityksistä. Asiat käsitellään tietosuojatiimissä, ja kokonaisuus koostetaan “tietotilinpäätökseen”.
75 on jo korkea taso – ja tärkeintä on ylläpito
Täydet sata pistettä olisi teoriassa paras, mutta käytännössä se ei ole realistinen tavoite.
– Satanen on paras, mutta se on kuulemma mahdoton toteuttaa, Niina toteaa.
Niinan mukaan 75 on Niemikotisäätiön kaltaiselle toimijalle jo korkea taso – “B+”.
– Kunhan saadaan tämä ylläpidettyä tai vähän parannettua, ollaan ihan tyytyväisiä.
Vinkit onnistuneeseen muutokseen
Jos Niina antaa yhden neuvon tietosuojan tai järjestelmien kehittämiseen, se liittyy arjen keskusteluun ja tekemisen lähelle viemiseen.
– Asiasta pitää toistuvasti puhua ja pitää se pinnalla. Muuten se uppoaa.
Toinen keskeinen tekijä on motivoitunut kehittäjätiimi ja tukihenkilöt.
– Kehittämisen pitää tapahtua yksikössä lähellä. Jos se tulee vain ylhäältä, se jää helposti sille tasolle.
