Viime talvena Nurmijärven opistolla päätettiin ottaa härkää sarvista ja lähteä laittamaan tietosuoja-asioita kuntoon. Avukseen he valitsivat GDPR-sovelluskirjaston ja Easy GDPR -palvelun. Rehtori Jenni Karemo kertoo tässä blogissa, miten prosessi eteni ja mitä asioita hän pitää tärkeänä sen onnistumisen kannalta.
Liikkeelle lähdettiin onnekkaan sattuman myötä
Tietosuoja-asiat ovat vakavuusasteeltaan korkeimmasta päästä ja EU:n yleisen tietosuoja-asetuksen vaatimusten täyttäminen vaatii organisaatioilta huomattavia toimenpiteitä. Tämän vuoksi sattuman varaan ei pitäisi jättää mitään. Yksityisen, pienen organisaation johto on kuitenkin tässä asiassa hyvin yksin. Ymmärrys tietosuojavaatimuksista on sen varassa, miten johtavassa vastuuasemassa olevat henkilöt ovat hereillä. Kukaan ei tule hoksauttamaan tai postita sinulle työlistaa otsikolla: "Laita nämä asiat kuntoon". Eikä myöskään ole erikseen tietosuojasta vastaavia henkilöitä tai tiimiä, joka huolehtisi asiantuntevasti prosesseista sekä ohjeistaisi työntekijöitä.
Kuinkas sitten kävikään? LinkedInin uutisvirta toi eteeni Ilona IT:n järjestämän maksuttoman webinaarin tietoturvaloukkauksiin varautumisesta. Näinä aikoina aihe kiinnostaa meitä kaikkia, joten päätin osallistua tilaisuuteen. Tässä yhteydessä esiteltiin ohimennen myös GDPR-sovelluskirjastoa, joka totta puhuen ei aluksi resonoinut millään mittarilla. Ajattelin, että tämä ei kosketa meitä, vaan on luultavasti isompien toimijoiden ja korkeakoulujen asioita. Toisin kuitenkin kävi. GDPR-sovelluskirjastosta tuli yksi tärkeimmistä henkilötietojen turvallista käsittelyä edistävistä työkaluistamme.
Selosteet ja sopimukset kuntoon
Henkilötietojen käsittely on oppilaitoksissa (ja muissakin organisaatioissa) otettava tänä päivänä hyvin vakavasti. Julkisuudessa on käsitelty jo lukuisia esimerkkejä kuinka voi käydä, kun on liian myöhäistä. Meidän osaltamme tietosuoja- ja rekisteriselosteet oli kyllä laitettu kuntoon heti GDPR-asetuksen astuttua voimaan. Mutta tietojenkäsittelysopimukset (Data Prosessing Agreement, DPA) ja niiden läpikahlaus GDPR-vaatimusten näkökulmasta on miltei tekemätön paikka pienelle tai keskisuurelle oppilaitokselle. Sopimussisällöt avautuivat GDPR-sovelluskirjastossa selkokielisen kysymys-/vastaustietokannan muodossa. Palvelujen valmistajat ja/tai asiantuntijat ovat vastaukset sinne koonneet kerran, jotta meidän muiden ei jokaisen tarvitse niitä erikseen selvittää ja etsiä. Se on pelastus.
Vaikutustenarviointeja yhteistyössä
Ja mitä tulee tietosuojan vaikutustenarviointeihin (DPIA), ovat nekin erittäin työläitä. Toisaalta sovelluksia käytetään usein samantyyppisissä toimintaympäristössä, joten saman asian ympärillä pyöritään joka organisaatiossa läpi Suomen. Pienen organisaation kannalta tiedon jakaminen on aivan keskeistä. Ei ole järkevää käyttää rajallista aikaresurssia samojen tehtävien toistamiseen, jonka joku toinen on jo tehnyt. GDPR-sovelluskirjaston DPIA-työkalu auttaa tiedon järjestelmällisessä käsittelyssä ja ehdottaa valmiita tekstimuotoiluja käytettäväksi. Ja mikä parasta, valmiit arvioinnit voidaan jakaa käyttäjäverkoston kesken. Ei yksin, vaan yhdessä.
Tietosuojasta huolehtiminen on jatkuvaa työtä
Sattumalta silmiini osuneen webinaarin seurauksena nostimme oppilaitoksemme tietosuoja-asiat uudelle tasolle muutamassa kuukaudessa. Päätimme systemaattisesti kahlata prosessit, riskiarvioinnit sekä kuvaukset läpi, ja hankkia jatkuvaa ylläpitoa ja työtä helpottavat järjestelmät käyttöömme. Paino sanalla jatkuva, koska työtä on tehtävä säännöllisesti, mutta se on nyt helpompaa, kun perusta on kunnossa.
Yhteistyökumppanien valinta on tässä keskeistä ja ulkoisten tietosuojapalvelujen kirjo on valtava. Oman asiantuntemuksen puuttuessa organisaation on hankittava ympärilleen kumppaniverkosto, joka edistää, ravistelee ja neuvoo tässä mammuttimaisessa ja alati päivittyvässä tehtäväkentässä. Meidän kohdallamme eduksi oli myös kumppanien ymmärrys oppilaitosmaailmasta.
Tietosuojasta huolehtiminen vaati resursseja ja rakenteita, myös pienessä organisaatiossa. Meillä näitä asioita hoidetaan jatkossa tietosuojavastaavan (jonka nimittäminen ei sekään muuten ole kovin simppeliä) ja tietosuojatoimia hoitavan työparin tehotiimillä.
Tietosuojan vuosikello ja todo-listat ovat nyt uunituoreita, joten voimme niitä hyvällä mielellä noudattaa.
Jenni Karemo
Rehtori ja Sivistyssoturi
Nurmijärven Opisto
Comments