Kuntien tietosuojan ennakoiva riskienhallinta huolestuttavalla tasolla
Tuula Sepon tutkimissa organisaatioissa valmistautuminen EU:n tietosuoja-asetukseen oli tyydyttävällä tasolla. (Kuva: Ville Miettinen)
Tuula Sepon tutkimissa organisaatioissa valmistautuminen EU:n tietosuoja-asetukseen oli tyydyttävällä tasolla. (Kuva: Ville Miettinen)
Suuri osa kunnista ei ole ryhtynyt kehittämistoimiin EU:n tietosuoja-asetuksen edellyttämälle tasolle päästäkseen, käy ilmi kahdesta erillisestä selvityksestä.
Kuntaliiton tiedonhallinnan erityisasiantuntijan Tuula Sepon vielä julkaisemattoman pro gradu -työn mukaan vain 25 prosenttia kunnista, kuntayhtymistä ja maakuntien liitoista oli aloittanut konkreettiset toimenpiteet EU:n tietosuoja-asetuksen edellyttämälle tasolle päästäkseen.
Erityisesti tietosuoja-asetuksen painottamaan ennakoivaan riskienhallintaan liittyvät asiat ovat kunnissa huonolla tolalla.
EU:n tietosuoja-asetusta aletaan soveltaa vuoden päästä, 25.5.2018. Tietosuoja-asetus tuo merkittäviä uusia velvollisuuksia henkilötietoja käsitteleville organisaatiolle.
– Nyt pitäisi kiireesti aloittaa ne toimet tietosuoja-asetukseen valmistautumiseksi, sanoo Seppo.
Hän selvitti gradussaan, kuinka Suomessa noudatetaan vuonna 1999 voimaan tullutta henkilötietolakia, jonka vaatimukset ovat osin samankaltaisia kuin EU:n tietosuoja-asetuksen, ja kuinka henkilötietolain ja EU:n tietosuoja-asetuksen vaatimukset rekisterinpitäjille eroavat toisistaan. Kyselyyn vastasi 136 kuntaa, kuntayhtymää ja maakuntien liittoa (vastausprosentti 37).
Tulosten pohjalta Seppo muodosti kehittämissuositukset sille, mitä rekisterinpitäjän tulee tehdä.
Suositukset tulevat tarpeeseen, sillä tutkimustulosten perusteella kuntien valmistautumisen taso on tyydyttävänä.
– Tiettyjä asioita on tehty hyvin, joitain ei ole huomioitu ollenkaan.
Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) tietoturvakyselyssä puolestaan asiaa tiedusteltiin noin sadalta kunnalta ja valtionhallinnon organisaatiolta.
– Huolestuttavaa on, että vuodenvaihteessa noin kolmasosa vastanneista ei ollut käynnistänyt projektia tai muuta hanketta jolla EU:n tietosuoja-asetuksen edellyttämiä vaatimuksia kehitetään, kertoo VAHTI-pääsihteeri Kimmo Rousku valtiovarainministeriöstä.
Riskeihin varautuminen huolestuttavalla tasolla
EU:n tietosuoja-asetuksen on tarkoitus saada henkilötietojen sääntely ajantasalle teknologian kehityksen ja globalisaation tuomien haasteiden edessä sekä tukea digitalouden kehitystä sisämarkkinoiden alueella. Asetus lisää henkilötietojen käsittelyn avoimuutta ja tuo rekisteröidylle merkittäviä uusia oikeuksia.
Tietosuoja-asetus painottaa riskilähtöisyyttä; velvoitteet ja suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.
”Jotta rekisterinpitäjä voi toteuttaa asetukseen sisäänrakennettua ja oletusarvoista tietosuojaa ja muita asetuksessa säädettyjä velvollisuuksia, on rekisterinpitäjän tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä”, todetaan oikeusministeriön ja tietosuojavaltuutetun julkaisemassa oppaassa tietosuoja-asetukseen valmistautumiseksi.
Riskien arviointi koskee esimerkiksi tietojärjestelmien hankkimista.
– Ennen kuin lähdetään edes miettimään henkilötietojärjestelmiä tai uusia tietojärjestelmiä, pitää tehdä ennakoiva riskianalyysi, Tuula Seppo sanoo.
Ja juuri riskien hallintaan liittyvät asiat ovat huolestuttavan huonolla mallilla tutkituissa organisaatioissa. Kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta kertova tietotilinpäätös oli käytössä vain 7 prosentissa vastanneista organisaatioista, riskianalyysi 10 prosentissa.
– Riskien kartoittaminen on kunnillekin yhä ajankohtaisempaa, kun sähköiset palvelut yleistyvät ja asiakkaat antavat niitä varten tietoja, Tuula Seppo muistuttaa.
Uudistukset vievät työaikaa
Myös rekisteriselosteissa oli kunnissa petrattavaa. Rekisteriseloste pitää henkilötietolain mukaan tehdä, ja tätä onkin noudatettu melko hyvin, mutta rekisterin saatavuudessa on parannettavaa.
– Suurin osa vastanneista ilmoitti, että rekisteri on työhuoneessa tai arkistonhoitajan takana, tai sen saa erikseen pyydettäessä, Tuula Seppo kertoo.
– Kuitenkin helpointa olisi laittaa se internetiin tai ilmoitustaululle.
Toki kunnissa on tehty paljon hyvääkin: asiakirjallisen tiedon säilyttämisen periaatteet ovat hyvin tiedossa, samoin se että EU.n tietosuoja-asetus on tulossa. Koulutuksiin on osallistuttu ja materiaalia luettu.
Varsinaista toimeen ryhtymistä jarruttanee se, että kyselyn mukaan tietosuoja-asetus koetaan organisaatioissa uudeksi ja vaikeaksi, osoitusvelvollisuuden käsite koetaan hankalaksi sisäistää.
– Jotkut odottavat kansallista liikkumavaraa. Ja tietysti myös sote- ja maakuntauudistus vie työaikaa tällaiselta työltä, Tuula Seppo muistuttaa.
Hän tiedusteli organisaatioilta myös, millaista tukea nämä tietosuoja-asioissa odottavat.
Rekisterinpitäjän velvollisuudet ja riskianalyysi nousivat korkealle, mitä voi pitää odotettuna.
Toisaalta myös perusasioissa tuen tarve on ilmeinen: vaikka henkilötietolaki on ollut voimassa lähes 20 vuotta, käsitteet kuten henkilötieto tai rekisterinpitäjä eivät ole kaikille selviä.
Kunnat voivat tehdä yhteistyötä
Tuula Sepon graduaan varten tekemään kyselyyn vastanneiden joukko oli kirjava. Tämäkin kertoo, että tietosuoja-asiat eivät ole välttämättä kenenkään vastuulla varsinaisesti.
EU:n tietosuoja-asetus edellyttää henkilötietoja käsittelevältä organisaatiolta tietosuojavastaavan nimeämistä.
Erityisesti pienet kunnat, joiden resurssit ovat rajalliset, voivat olla pulassa asetuksen vaatimusten kanssa.
Tietosuojavastaava voi olla myös kuntien yhteinen.
– Pienten kuntien kannattaa tehdä yhteistyötä, Tuula Seppo sanoo.
VAHTI-kyselyssä neljäsosa vastaajista ilmoitti, että tietosuojavastuuta ei ollut jaettu.
Kimmo Rousku toteaa, että aikaa on vielä vuosi, mutta kysely antaa hyvän pohjatason asioiden kehittymisen seuraamiselle.
Hallinnolliset sakot tietosuoja-asetuksen rikkomisesta ovat 10-20 miljoonaa euroa riippuen siitä, mitä artiklaa on rikottu. Asetuksen tavoitteisiin pääsemistä helpottamaan, mainitun OM:n ja tietosuojavaltuutetun ohjeen lisäksi, Kuntaliitto avaa verkkosivuston, johon kerätään materiaalia EU:n tietosuoja-asetuksesta. Tiedossa on myös ilmaista koulutusta ja työpajoja.
Toimeen on ryhdyttävä kuitenkin myös organisaatioissa itse.
– Organisaation johdossa tulisi varmistua, että organisaatiossa on käynnissä projekti tai hanke vaatimusten lainsäädännön täyttämisen osalta, Kimmo Rousku sanoo.
Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) julkaisee kesäkuussa EU:n tietosuoja-asetuksesta opasvideon ja verkkotestin jolla omaa tietämystään voi mitata.
Aiheesta aiemmin:
EU:n tietosuoja-asetus muuttaa yhteiskuntaa ja pistää kuntiin vipinää
VILLE MIETTINEN