Elämme poikkeuksellisia aikoja. Maailmaa mullistavat kriisit tuovat mukanaan monenlaisia uhkakuvia myös tietoturvaan ja tietosuojaan, olipa kyseessä sitten tietojenkalastelu, henkilötietojen vuotaminen tai jopa vieraan vallan häirintä valtiotasolla. Tietosuojaosaaminen ei ole enää sanahelinää vaan välttämätön taito, ja tietosuoja tulee varmistaa jokaisessa organisaatiossa. Tietosuojan varmistamiseksi on laadittu useita eri lakeja, mutta käytännön tekemisessä on vielä parantamisen varaa.
Erityisesti sote-alalla eletään suurta lainsäädännön muutoksen aikaa uuden asiakastietolain astuessa voimaan vuodenvaihteessa. Ympäröivän maailman ja lainsäädännön muutokset tekevät tietosuojaosaamisesta entistäkin tärkeämpää tulevaisuudessa.
Tietosuoja tarkoittaa henkilön oikeutta yksityisyyteen
Tietoturva ymmärretään usein lähinnä tekniseksi asiaksi, ja on helppo ajatella, että tekniikka turvaa meidät. Tietoturvaa laajempi asia on tietosuoja, johon myös tietoturva sisältyy.
Sanalla tietosuoja tarkoitetaan henkilön oikeutta yksityisyyteen. Tietosuoja on perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuojan tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Henkilötietoja tulee käsitellä vain siinä laajuudessa, kuin asian hoitaminen ja työtehtävät edellyttävät. Tietosuoja on myös edellytys hyvälle tietojenkäsittelytavalle.
Tietosuojan merkitys
Sote-palveluissa käsitellään paljon ihmisten arkaluonteisia henkilötietoja, joten tietosuojasta huolehtiminen on erityisen tärkeää.
Organisaatioilla on velvollisuus osoittaa, että sen palveluksessa työskentelevä henkilöstö tuntee tietosuojaa ja tietoturvaa koskevan lainsäädännön keskeisen sisällön ja osaa toimia tietosuojavaatimukset huomioiden työtehtävissään. Tietosuoja on erityisesti asiakkaan luottamuksen perusedellytys ja hyvän palvelun laadun tae.
Henkilötietojen käsittely on keskeinen osa tietosuojaa. Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Organisaatioiden tulee noudattaa henkilötietojen käsittelyssä voimassa olevaa tietosuojasääntelyä. Palvelujen käyttäjien yksityisyyden ja oikeusturvan kannalta on tärkeää, että henkilötietoja käsitellään lain edellyttämällä tavalla. Henkilötietojen käsittelystä säädetään EU:n yleisessä tietosuoja-asetuksessa sekä kansallisessa tietosuojalaissa. Kaikki henkilötietoihin kohdistuvat toimenpiteet, henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen, ovat osa henkilötietojen käsittelyä, ja tietosuojaperiaatteita on noudatettava koko henkilötietojen käsittelyn elinkaaren ajan.
Tietosuoja osaksi toimintakulttuuria
Henkilöstö voi olla organisaation tietosuojaa ja tietoturvaa parantava voimavara tai yksi suurimmista riskeistä.
Tietosuojan tulisi olla osa kaikkien organisaatioiden toimintakulttuuria. Se on tärkeää huomioida kaikessa tekemisessä. Säännöllisellä tietosuojakoulutuksella on merkittävä rooli tietosuojan jalkauttamisessa osaksi jokapäiväistä toimintaa.
Tietosuojakoulutuksen tulisi olla monipuolista, ja siinä on tärkeää huomioida eri tehtävissä toimivien henkilöiden tarpeet. Opiskelu on mielekkäämpää, kun ihmisille tarjotaan juuri heidän toimenkuvaansa soveltuvaa tietosuojakoulutusta. Henkilöstön säännöllinen kouluttaminen on tehokas tapa vähentää organisaation tietosuojaan liittyviä riskejä. Inhimillisillä virheillä tietosuoja-asioissa voi usein olla vakavat seuraukset koko organisaatiolle ja sen asiakkaille.
Henkilöstö voi olla organisaation tietosuojaa ja tietoturvaa parantava voimavara tai yksi suurimmista riskeistä. Henkilöstön tietosuojaosaamista tulee kehittää jatkuvasti ja tietosuojan tärkeydestä pitää muistuttaa säännöllisesti.
Kirjoittaja Antti Hyvärinen työskentelee toimitusjohtajana Navicre Oy:ssä, joka tuottaa tietosuojakoulutuksiin Navisec-palvelua.
antti.hyvarinen@navicre.fi