Riskilähtöistä tietosuojatoimintaa

Riskilähtöistä tietosuojatoimintaa

Riskilähtöistä tietosuojatoimintaa 1600 900 Ahertava

Kerroimme aiemmin, kuinka tietosuojan nykytila-analyysin myötä saadaan käsitys muun muassa tietosuoja-asetuksen vaatimuksista, henkilötietojen käyttötarkoituksista, henkilötietoja käsittelevistä järjestelmistä ja sovelluksista sekä henkilötietojen siirtotilanteista. Siten voidaan tehdä henkilötieto- ja sopimusinventaariota sekä tehdä kehittämistoimenpiteitä, kun on selkeä ymmärrys nykytilanteesta.

Tämän jälkeen on suositeltavaa suorittaa tietoriskien tunnistaminen ja arviointi sekä valita riskitason mukaan hallintatoimenpiteet. Riskilähtöisyys ohjaa koko organisaation tietosuojatoimintaa ja on tärkeä osa rekisterinpitäjän osoitusvelvollisuuden toteuttamista.

Tietoriskien tunnistaminen ja arviointi

Riskien arvioinnin tekeminen hyvin edellyttää menetelmien hallintaa ja palaverikäytäntöjen osaamista. Siksi ensimmäisillä kerroilla on mukaan hyvä saada henkilö, jolla on tästä kokemusta. Jatkossa työtä voidaan tehdä omin voimin.  Tietosuojavastaavalla on myös tärkeä rooli, koska hänen tulee tukea organisaatioin eri yksiköitä, jotta tietoriskejä tunnistettaisiin paremmin. Lisäksi hänen tulee olla mukana määrittelemässä hallintatoimenpiteitä.

Tärkeää on, että palaverit eivät ole liian pitkiä, ja niissä tulee voida antaa palautetta sekä kertoa omista kokemuksista. Riskejä tunnistettaessa ei myöskään haeta syyllisiä vaan syitä, koska erityisesti pienemmissä organisaatioissa riskit saattavat liittyä yksittäisten henkilöiden tekemiin toimenpiteisiin. Riskien tunnistamisen lähtökohtana on oltava avoimuus ja rehellisyys. Asiat pitää käsitellä palavereissa ja saada dokumentoitua sellaisina kuin ne todellisuudessa ovat, ei niin kuin juhlapuheissa on tapana kertoa.

Keskeistä on tunnistaa mitkä riskit ovat suurimmat ja tärkeimmät hallita. Riskit tulee priorisoida selvittämällä niiden suuruus. Tämä määräytyy mahdollisten vahinkojen suuruuden ja vahingon todennäköisyyden perusteella. Riskilomakkeisiin kannattaa dokumentoida tiedot yksityiskohtaisesti ja selkeästi. Riskit määritellään riskilukujen perusteella riskikartaksi.

Tietosuojan vaikutustenarviointi

Tietosuoja-asetus määrittää tietosuojan vaikutustenarvioinnin pakolliseksi toimenpiteeksi sellaisille henkilötietojen käsittelytoimille, joihin liittyy yksilöiden oikeuksien ja vapauksien kannalta merkittäviä riskejä.

Vaikutustenarviointien tekeminen on kuitenkin suositeltavaa kaikille organisaatioille, jotta asetuksen vaatimustenmukaisuudesta voidaan varmistua. Ylipäätään osana riskien arviointia ja analysointia selvitetään epävarmuustekijöiden vaikutukset ydintoimintaan ja mahdollisten vaikutusten suuruus, mikäli tietyt riskit toteutuvat.

Asetuksen mukainen vaikutustenarviointi on siis luonnollinen osa riskienhallintaa ja liiketoiminnan jatkuvuuden turvaamista. Jos arvioinnin perusteella riskitaso on suuri, eikä rekisterinpitäjä pysty sitä pienentämään, on asetuksen mukaan otettava yhteyttä valvontaviranomaiseen. Tässä on kyseessä ennakkokuuleminen.

Arviointien tulokset tulee dokumentoida määrämuotoisesti, jotta niiden tulokset ovat vertailukelpoisia ja määriteltyjen hallintakeinojen toteuttamista voidaan seurata systemaattisesti. Dokumentaatio on tärkeä osa osoitusvelvollisuuden toteuttamista, joten siihen kannattaa panostaa jo oikeusturvan takia.

Johdon linjaus ja kehittämistoimenpiteet

Nykytila-analyysin ja riskien arvioinnin pohjalta voidaan suunnitella vaadittavat kehittämistoimenpiteet, jossa voidaan täyttää asetuksen vaatimukset. Toimenpiteiden joustava eteenpäin vieminen edellyttää organisaation johdon linjausta siitä, mikä on hyväksyttävä riskitaso ja miten asioita lähdetään käytännössä kehittämään.

Jokaiselle toimenpiteelle tulee nimetä vastuu­henkilö. Pienet kehittämistoimenpiteet, jotka eivät vaadi isoja resursseja, voi toteuttaa oma-aloitteisesti prosessin omistaja, jonka vastuualueelle tämä kyseinen riski kohdistuu. Yksittäisille riskeille voidaan tehdä esimerkiksi riskikarttaan merkintä riskilomakkeen pohjalta, jolloin tiedetään riskien osalta toimen­piteet, vastuuhenkilöt ja tilat.

Kehittämistoimenpiteiden valinnassa tulee huomioida, ettei kaikkia kehittämistoimia saada heti työn alle, joten toimenpiteet pitää priorisoida. Priorisoinnissa voidaan kiinnittää huomiota esimerkiksi toimenpiteen vaikuttavuuteen ja toteutuksen helppouteen.

Kun organisaation henkilöstö otetaan mukaan riskien arviointiin ja päättämään hallintatoimenpiteiden valinnasta, on niiden toteuttaminen helpompaa ja samalla henkilöstö sitoutuu paremmin kehittämistoimenpiteiden toteuttamiseen.

Samalla saadaan luotua myös johdon ja henkilöstön välinen keskusteluyhteys. Lisäksi henkilöstön näkemyksen avulla saadaan kohdennettua resursseja tehokkaammin käytäntöön. Onnistunut riskienhallinta onkin prosessi, jossa tunnistetaan riskit ja vastuut ja hyödynnetään vahvan turvallisuuskulttuurin aikaansaama henkilöstön sitoutuminen.