Tietosuoja ei ole vain järjestelmätoimittajan vastuulla

Tietosuoja ei ole vain järjestelmätoimittajan vastuulla

Yksi tietosuoja-asetuksesta keskeisesti esiin nousevia asioita on sisäänrakennetun- ja oletusarvoisen tietosuojan periaate. Se edellyttää toteuttamaan tarvittavat tekniset ja organisatoriset toimenpiteet asetuksen vaatimusten täyttämiseksi. Toteutuakseen parhaalla mahdollisella tavalla, vaatii periaate huomiota myös järjestelmän toimittajalta. Jos järjestelmässä käsitellään henkilötietoja, on sen suunnittelussa ja kehityksessä huomioitava, että sen peruselementit ja toiminta tukevat henkilötietojen asianmukaista suojaamista.


Käytettävän järjestelmän itsessään tulee tukea tietosuojan toteuttamista.

 

Käytännössä tämän edellyttää järjestelmän suunnittelijan tietosuojatuntemusta. Ei siis ihme, että ohjelmistoalalla asetus puhuttaa. Oikeanlaisella suunnittelulla on oleellinen vaikutus järjestelmän käyttäjän mahdollisuuteen täyttää asetuksen mukaiset velvoitteensa.

Toimivan tietosuojan suurin uhka ja pahin riski istuu sanonnan mukaan pöydän ja tuolin välissä. Parhaitenkin suunniteltu järjestelmä voi pettää, jos käyttäjä mokaa. Toimivan tietosuojan ytimessä on siis se, että järjestelmien käyttäjät ymmärtävät tietosuojan arvon ja vaatimukset. Mainitut organisatoriset toimet tarkoittavat mm. henkilökunnan riittävää koulutusta ja tietoturvallisten toimintamallien muodostamista.

Virheitä sattuu koska elämä on inhimillistä. Suuri osa tietosuojan vaarantumiseen johtaneista erehdyksistä johtuu kuitenkin tietämättömyydestä. Järjestelmä voidaan suunnitella tietosuoja-asetuksen vaatimukset täyttäväksi, mutta sen oikeanlaista käyttöä toimittaja ei voi valvoa. Toki järjestelmätoimittajan vastuulla on kouluttaa ja ohjeistaa järjestelmän oikeanlainen käyttö, mutta tämän jälkeen käyttäjä vastaa itse toimistaan.

Asetuksen velvoitteet ja niiden laiminlyömisestä koituvat sanktiot ovat loppukädessä rekisterinpitäjän vastuulla. Lisäksi vastuuta on käsittelijällä. Näihin termeihin ja rooleihin tulen palaamaan blogeissani myöhemmin, mutta lyhykäisyydessään olet rekisterinpitäjä, jos keräät henkilötietoja ja käsittelijä jos sinulla on mahdollisuus nähdä ja käyttää näitä tietoja. Kuljetusyrittäjä asemoituu usein molempiin rooleihin.

Siksi muuttuvaan lainsäädäntöön kannattaa perehtyä ja reagoida viimeistään nyt.

 

Järjestelmätoimittajalta saa ja pitää vaatia laatua

 

Tietosuoja-asetus sisältää useita rekisteröidyn suojaksi asetettuja vaatimuksia, joiden täyttäminen voi osoittautua jopa mahdottomaksi ilman hyvää järjestelmää. Esimerkiksi järjestelmässä valmiiksi määritelty tietojen säilytysaika tai tietojen käsittelyn minimointi paitsi toteuttavat rekisteröidyn tietosuojaa myös tehostavat järjestelmän käyttäjän työtä.

Liiasta rajoittamisesta ja käyttäjän ohjaamisesta pakolla kasvaa kuitenkin käytön este. Haasteena on suunnitella järjestelmiä, jotka tukevat tietosuojaa ja ovat silti helppoja käyttää, mahdollisia ylläpitää sekä edullisia tarjota.  Täytyy tunnistaa paikat, joissa tietosuoja saattaa vaarantua. Tämä vaatii alan toiminnan ja käytäntöjen tuntemista. Järjestelmä tulee suunnitella käyttöön käyttäjän, ei järjestelmätoimittajan ehdoilla.

Vähitellen alamme myös nähdä, kuinka tietosuoja-asetus otetaan huomioon julkispuolen tarjouskilpailuissa. Kunnilla on mahdollisuus pyytää tarjouksen jättäviä yrityksiä osoittamaan tietosuoja-asetuksen noudattaminen myös järjestelmien osalta.

Me teemme kehitystyötä jatkuvasti. Kieltäydymme näkemästä tietosuojaa esteenä kehitykselle vaan sen sijaan näemme sen yhtenä mittarina järjestelmän toimivuudelle.  Meidän alallamme hyvä järjestelmä tarkoittaa järjestelmää, joka pitää rekisteröityjä arvossaan ja on loppukäyttäjän mielestä yksinkertaisen toimiva. Tuemme asiakkaitamme tietosuojan toteuttamisessa ja pidämme heidät aktiivisesti mukana kehitystyössä.

Katja Kataja
Projektipäällikkö, Movit