Skip to main content
Tietosuoja

Tietosuojan vaikutustenarviointi varmistaa tietosuojan toteutumisen

By 22.4.202325 huhtikuun, 2023No Comments

Järjestelmänne käyttöönotto lähestyy ja kaikki tekevät hiki hatussa töitä onnistuneen käyttöönoton eteen. Sitten joku muistaa, että myös tietosuojaseloste on tehtävä. Vai oliko vielä jotain muitakin tietosuojajuttuja, joita tarvitaan? Deadline painaa päälle, ja epävarmuus iskee…

 

Tietosuojan vaikutustenarviointi on arvio siitä, onko lain vaatimat asiat tietosuojan ja tietoturvan osalta huomioitu riittävästi. Samalla arvioidaan, mitä riskejä voi aiheutua heille, joiden henkilötietojan käsitellään.

Laissa annetaan hyvin vähän ohjeita siihen, miten tietosuojan vaikutustenarviointi on tehtävä. GDPR:ssä sanotaan vain, että arvioinnin on vähintään sisällettävä kuvaus käsittelytoimista, käsittelyn tarkoituksista ja tarpeellisuudesta sekä arvio riskeistä ja niiden hallintatoimista. Tietosuojan vaikutustenarviointi on tehtävä “ennen henkilötietojen käsittelyn aloittamista”. Käytännössä tämä tarkoittaa ennen järjestelmän ensimmäistä käyttöönottoa, tai testikäyttöä jos testausta tehdään oikeilla henkilötiedoilla.

Tietosuojan vaikutustenarviointiin on olemassa valmiita työkaluja. Esimerkiksi Suomen tietosuojaviranomaisella Tietosuojavaltuutetulla on ilmainen työkalu ja ohje vaikutustenarvioinnin tekemiseen. Myös mm. Helsingin kaupunki jakaa käyttämäänsä työkalua ilmaiseksi.

Lain, viranomaisohjeiden ja myös ilmaiseksi saatavien työkalujen haaste on siinä, että ne voivat olla kovin vaikeaselkoisia myös alan asiantuntijoille, saati sitten muille. Monesti vaikutustenarviointi tuntuukin ikävältä ylimääräiseltä työltä, joka mielellään jätetään viimeiseksi tai pahimmassa tapauksessa kokonaan tekemättä. Ja kun siihen sitten ryhtyy, menee ensin ylimääräistä aikaa ihan vain asian opetteluun.

Hyvin tehty tietosuojan vaikutustenarviointi on kuitenkin oleellinen osa hyvää järjestelmäsuunnittelua.

Tietosuojan vaikutustenarvioinnin huolellinen ja oikea-aikainen tekeminen on järkevää jo siksikin, että arvioinnissa huomataan helpommin myös sellaisia puutteita, joiden korjaaminen parantaa järjestelmän toimivuutta ja käytettävyyttä yleisellä tasolla. Ja ainakin ajoissa tehty arviointi antaa mahdollisuuden rakentaa tietosuoja-asiat siten, että käytettävyys ei häiriinny. Jälkikäteen tehtynä esimerkiksi suostumusten kysyminen asiakkailta saattaa toteutua kovin epäkäytännöllisellä ja asiakkaita karkottavalla tavalla.

Laki vaatii tekemään vaikutustenarvioinnin ennen järjestelmän käyttöönottoa hyvästä syystä. Arvioinnissa nimittäin tarkistetaan, että järjestelmä on suunniteltu ja suojattu niin, että lain vaatimukset täyttyvät. Jos näitä asioita mietitään vasta kun järjestelmä jo pyörii, on mahdollisten puutteiden korjaaminen jälkikäteen pahimmassa tapauksessa kallista, tai ainakin hankalaa. Jos jotain ehtiikin osua tuulettimeen ennen kunnollista arviointia ja sen dokumentoimista, voi lisäksi olla edessä tiukkoja kirjeitä viranomaisilta. Liiketoiminnan kannalta pahin tilanne on, jos viranomainen määrää keskeyttämään järjestelmän käytön laittomana. Myös sakkoja ja rikossyytteitä tiedetään annetun.

Molemmat Oy tarjoaa osaavan ja kokeneen tietosuojan vaikutustenarvioinnin asiantuntijan vetämään arvioinnin tekemistä. Asiantuntijan kanssa tietosuojan vaikutustenarviointi saadaan vedettyä läpi tehokkaammin ja voitte varmistua siitä, että oleelliset asiat tulevat huomioiduiksi.

Tietoturvan kartoittaminen on tärkeä osa tietosuojan vaikutustenarviointia. Siksi tarjoamme Molemmat – pakettia, jossa hoidamme sekä järjestelmän tietosuojan vaikutustenarvioinnin että tietoturvatestauksen samalla kertaa. Yhdistämällä nämä säästyy aikaa ja rahaa, sekä ennen kaikkea hermoja.