”Yhdessäkään organisaatiossa ei ole tarpeeksi aikaa tietosuojatyölle. Kaikki kaivavat samoja digipalvelujen GDPR-sivuja uudestaan ja uudestaan etsiessään tietoja. Työ jää herkästi kesken tai sitä ei saada alkuunkaan, koska aikaa ei ole ja osaamista tarvittaisiin usealta ihmiseltä yhtä aikaa. Tietosuojan vaikutustenarvioinnit ovat kaikista työläimpiä. Ja niitäkin joka ikinen organisaatio tekee alusta alkaen aivan itse. Ja jos arviointeja saadaan tehtyä, ainakaan niitä ei kukaan jouda pitämään ajan tasalla. Onko tässä mitään järkeä?”
Kuulostaako tutulta? Tuossa aluksi erään tietohallintojohtajan tunnepitoista tilitystä. Totta on, että digipalvelujen hankintaan ja käyttöön liittyy paljon päällekkäistä tietosuojatyötä. Arviointeja varten kaikki organisaatiot etsivät vastauksia samoihin kysymyksiin digipalvelujen tietosuojasivuilta. Tietosuojan vaikutustenarviointeja (DPIA) pidetään yleisesti erittäin työläinä prosesseina ja niitä tehdään usein organisaation sisäisesti, vaikka sama digipalvelu on samalla käyttötarkoituksella käytössä monissa muissakin organisaatioissa.
Kaikki tämä on äärimmäisen työllistävää, kun organisaatiot aloittavat työn aina alusta ja kumulatiivista resurssia ei usein ole hyödynnettävissä. Jos varovaisesti arvioidaan, että yhteen tietosuojan vaikutustenarviointiin menee työaikaa keskimäärin noin 150 tuntia ja tämä työ toistuu kaikissa organisaatioissa, saadaan kertolaskuna mittaamaton määrä työtunteja. Myös vastausten kaivaminen valmistajien sivuilta on usein todella työlästä – kansainvälisten palveluiden privacy-sivustot voivat sisältää kymmeniä erillisiä sivuja, joissa tiedot on kirjoitettu lakiosastojen toimesta ja englanniksi.
Tosiasia tuntuu olevan, että yksikään organisaatio ei kykene selviytymään tietosuojatyöstä siten, että kaikki olisi tehty ja ajantasalla. Mikä siis avuksi?
Olemme käynnistäneet Ilona IT:n fasilitoimana yhteistyötä, jossa
kerätään digipalvelujen GDPR-tiedot yhteen paikkaan
tehdään pienryhmissä DPIA-arviointeja
jaetaan tehdyt DPIAt toisille käyttäjille
Digipalvelujen GDPR-tiedot tietokantamuodossa
Käytännössä tämä tarkoittaa sitä, että keräämme digipalvelujen tuottajilta vastaukset kattavasti tietosuojakysymyksiin. Vastaukset tallennetaan GDPR-sovelluskirjastoon, josta ne ovat kaikkien käyttäjien hyödynnettävissä. Pyydämme palveluntarjoajia myös päivittämään tiedot vuosittain ja päivityksistä voi tilata sähköposti-ilmoituksen haluamiensa tuotteiden osalta. Tiedot ovat käytettävissä suomen, ruotsin ja englannin kielellä.
– Parhaiten valmistajat saadaan mukaan, kun heitä pyydetään mukaan hankinta- tai uusintatilauksen yhteydessä
DPIA-arvioinnit ryhmätyönä
Keräämme myös käyttäjäryhmiä tekemään yhdessä DPIA-arviointeja silloin kun käyttäjäryhmät ja käyttötarkoitus on sama. Kokoonnumme säännöllisesti asiantuntijoiden - ja tarvittaessa myös palveluntarjoajien – kera käyttäen GDPR-sovelluskirjaston DPIA-työkalua. Hyödynnämme kokoontumisissa myös osallistujien eri näkökulmat ja osaamisen. Tällä tavoin olemme jo tuottaneet Wilma-palvelun DPIA-prosessin ja parhaillaan on menossa Google Workspace for Education DPIA-työ. Ensi vuoden alussa käynnistämme Microsoft-oppimisympäristön DPIA-työn ryhmässä, johon voi vielä ilmoittautua mukaan.
Valmiit DPIAt jaetaan mallipohjina
Organisaatioiden itse tekemät tai ryhmätyönä syntyneet DPIA-arviot on mahdollista jakaa myös anonymisoituina mallipohjina muille käyttäjille. Tällöin kertaalleen tehty työ hyödyttää kaikkia käyttäjiä eikä kaikkien tarvitse tehdä samaa työtä aina alusta uudelleen. Tähän mennessä GDPR-sovelluskirjaston DPIA-työkalun kautta on jaossa jo noin 20 eri digipalvelun mallipohjaa. Ne voi työkalussa kopioida oman organisaation käyttöön ja muokata tarpeen mukaan.
GDPR-sovelluskirjasto avuksi
Ilona IT:n tietosuojapalvelujen ideana on vähentää moninkertaista päällekkäistä työtä organisaatioissa ja tehostaa tehtyä työtä. Olemme luoneet palvelut yhdessä asiakkaidemme kanssa ja ne on ensimmäisen vuoden aikana ottanut käyttöön jo yli 100 organisaatiota.
Tervetuloa kuulemaan ja näkemään lisää viikottaisissa esittelywebinaareissamme, jotka järjestetään keskiviikkoisin klo 9-10 osoitteessa https://ilonait.adobeconnect.com/gdpr/ (ei edellytä ennakkoilmoittautumista).
Tai tilaa teille oma räätälöity esittely suoraan tuoteomistaja Soili Mekliniltä
tällä linkillä: https://meetings.hubspot.com/soili/sovi-palaveri-soilin-kanssa
puhelimitse: 044 746 2841
sähköpostitse: soili@ilonait.fi
Comments