Hyvä tietosuojavastaava kuuntelee mutta myös kuuluu ja näkyy organisaatiossa

Tamperelainen tietosuojavastaava Ari Andreasson pitää tietosuojavastaavan tärkeimpinä ominaisuuksina kykyä kuunnella ja auttaa henkilöstöä mutta myös taitoa näkyä ja kuulua organisaatiossa.

Ari Andreasson valittiin Tampereen kaupungin peruskunnan eli kunnan ja liikelaitosten tietosuojavastaavaksi lokakuussa 2017. Sitä ennen hän oli toiminut lähes 10 vuotta sosiaali- ja terveyspalvelujen tietosuojavastaavana. Myös nykyinen lainsäädäntö on vaatinut sosiaali- ja terveysalan toimijoita nimeämään tietosuojavastaavan, EU-asetus laajentaa vaateen myös muille aloille.

Andreasson on koulutukseltaan sairaanhoitaja ja teki tätä työtä vuodeosastolla vuosikausia. Sieltä hän siirtyi terveydenhuollon tietohallintoon ja kouluttamaan henkilöstöä potilastietojärjestelmään. 

Pikkuhiljaa hänen tehtävänsä muuttuivat asiantuntijapainotteisimmiksi, ja hän veti muun muassa Tampereen kaupungin sähköisten hyvinvointipalvelujen kehitysprojektin. Matkan varrella hän kouluttautui tietosuojavastaavan tehtäviin muun muassa Itä-Suomen yliopiston tarjoamassa Osaava tietosuojavastaava -koulutusohjelmassa. Alaan liittyvää koulutusta on tarjolla runsaasti.

– Sairaanhoitajataustasta ei ainakaan haittaa ole ollut tässä työssä, sen verran monenlaisia yhteydenottoja tulee hoidettavaksi, Andreasson sanoo.

Paitsi kykyä kuunnella ja auttaa henkilöstöä ja asiakkaita, Andreasson pitää tietosuojavastaavan tärkeänä ominaisuutena myös taitoa profiloitua tehtävään organisaation sisällä.

– On tärkeää, että ylintä johtoa myöten tiedetään, kuka ja minkälainen henkilö toimii tietosuojavastaavana. Pahin henkilökuva olisi hajuton, mauton ja näkymätön tietosuojavastaava. Sellainen todennäköisesti aiheuttaisi organisaatiolle enemmän tietosuojaongelmia kuin edistäisi tietosuojakulttuuria, hän sanoo.

Organisaation rakenne ja prosessit haltuun 

Ari Andreassonin paikka on konsernihallinnon strategia- ja kehittämisyksikössä. Esimies on tietohallintojohtaja ja lähin työkaveri tietoturvapäällikkö.

– Itse koen, että tietosuoja on henkilötietojen oikeaoppista käsittelyä, ja sen seurauksena myös rekisteröidyn oikeusturva toteutuu. Tietoturvaa pidän tärkeänä toimintona, jonka avulla tiedot voidaan pitää suojassa sivullisilta, Andreasson linjaa.

Ensimmäinen tärkeä työtehtävä on tietosuoja-asetuksen toimeenpanoprojekti, jonka kimpussa Andreasson kevään 2018 työskentelee.

– On tärkeää ymmärtää organisaation rakenne ja prosessit, jotta kone saadaan viritettyä toimimaan siten, ettei henkilötietojen käsittelyssä pääse tapahtumaan yli- tai alilyöntejä.

– Olen käynyt lukuisissa kaupungin toimipisteissä puhumassa henkilöstön kanssa tietosuojatyön organisoinnista ja sen hallinnasta saadakseni kuvan, millä tasolla ymmärrys on eri palvelualueilla, Andreasson sanoo.

Koulutusta pienissä erissä usein

Tampereen kaupunki on kouluttanut henkilöstöään tietoturvaan ja tietosuojaan liittyvissä asioissa verkkokurssein jo lähes kymmenen vuotta.

–Verkkokurssit ovat ensisijainen tapa kouluttaa suuria määriä työntekijöitä. Lisäksi järjestämme auditorio- ja valtuustosalitilaisuuksia. Avainhenkilöt kouluttavat muun muassa johtoryhmiä paikan päällä.

Andreassonin oma koulutusta koskeva motto on ”pienissä erissä usein”. Tapoja ovat esimerkiksi intranetin etusivun tiedotteet, henkilöstölehden artikkelit, turvallisuus-teemaviikot, joihin kuuluvat videoesittelyt turvallisuuden eri osa-alueista, mukaan lukien tietosuoja.

Soveltamisohjeiden puute jarruna

Lokiselvitykset ovat Andreassonin mukaan kasvava vyyhti työssä. Hän hoitaa itse sosiaali- ja terveyspuolen lokipyyntöjen koordinoinnin.

– Meillä on määritelty asiaan selkeä prosessi ohjeineen. Lokien avulla valvotaan muutenkin tietojenkäsittelyä sosiaali- ja terveyspalveluissa, ei vain silloin, kun joku haluaa tietojensa käsittelystä selvityksen. Tällä tavalla pidämme yllä asiakkaiden luottamusta palvelujemme käyttäjinä.

Kaikki ilmoitukset – myös poikkeamailmoitukset menevät IT-tukikeskukseen tai esimiehille.

– He tietävät, miten vakavat poikkeamat reititetään nopeasti tietoturvapäällikölle ja tietosuojavastaavalle. Asiat käsitellään myös tietoturva- ja tietosuojaryhmissä, Andreasson sanoo,

Hankalimpana ja haastavimpana työssään juuri tällä hetkellä Ari Andreasson pitää puuttuvia soveltamisohjeita ja kansallisia käytännesääntöjä.

Vaikka EU:n tietosuoja-asetus on kansallisesti suoraan sovellettava säädös, se jättää jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Suomeen ollaan säätämässä uutta tietosuojalakia, jolla on tarkoitus täsmentää EU:n asetusta. Hallitus antoi lakiesityksensä eduskunnalle vasta maaliskuun 2018 alussa.

– Samoja asioita tehdään joka puolella vähän erilaisilla tulkinnoilla, eikä se voi olla kenenkään etu. Tietojärjestelmiinkin on tehtävä osittain muutoksia, ja niistä päättäminen on vaikeaa, jos vaikkapa rekisteröidyn oikeuksien toteuttamiseen ei ole selviä tulkintoja tyyliin miten ja milloin toteutetaan ”oikeus tulla unohdetuksi”, Andreasson sanoo.

Andreasson harmittelee hukkaan heitettyä työtä ja työaikaa.

– Usea asia on mennyt siten, että kun omassa projektiryhmässä kymmenien ihmisten työpanoksella jokin asia on saatu maaliin, niin sitten ilmestyykin EU-tasoinen tai paikallisesti annettu soveltamisohje. Organisaatiot olisivat tarvinneet enemmän käytännesääntöjä ja valmiita mallipohjia dokumenttien laatimisessa. Työaikaa on mennyt hukkaan, ja osin on varmasti tehty vääriäkin asioita.

Verkostoitumista tarvitaan

Andreasson itse on seurannut tietosuoja-asetusta sen valmistelusta lähtien ja on siksi etulyöntiasemassa varsinkin ”uunituoreisiin” kollegoihinsa verrattuna. Andreasson on ollut kirjoittamassa myös viime vuonna ilmestynyttä opasta ”Osaava tietosuojavastaava” (Tietosanoma Oy, 2017).

Verkostoitumista eli esimerkiksi koulutuspäiville ja alan seminaareihin osallistumista muiden Andreasson pitää tärkeänä.

– Kukaan ei pärjää yksin, eikä pyörää kannata keksiä uudelleen, hän sanoo.

Verkossa on useita erilaisia foorumeita ja keskustelupaikkoja tietosuojavastaaville. Niissä pystyy kontaktoitumaan ja keskustelemaan asiantuntijoiden kesken ja saa uusinta tietoa eri lähteistä. Tällaisia ovat esimerkiksi Tietosuojavastaavien foorumi (TIFO) ja Tietosuojamalli.fi:n tarjoama Tietosuojayhteisö. Pirkanmaalla julkisen ja osin yksityisenkin sektorin tietosuojavastaavat ovat olleet verkostoituneena jo vuosia ja tapaamiset ovat olleet säännöllisiä.

– Niistä on ollut paljon hyötyä, Andreasson sanoo.

Arin Andreassonin vinkit tietosuojavastaaville: 

  1. Suunnitelkaa tietosuojatyön organisointi huolella.
  2. Toteuttakaa sitä suunnitelman mukaisesti.
  3. Käyttäkää tarvittaessa ulkopuolisia asiantuntijoita – kukaan ei pärjää ”yksin”.
  4. Tehkää vaikutustenarviointi isoriskisessä henkilötietojen käsittelyssä.
  5. Muistakaa riittävä dokumentointi.
  6. Pitäkää tiedon elinkaaren hallinta keskiössä.
  7. Verkostoitukaa kollegojen kanssa niin paljon kuin mahdollista ja vertailkaa käytäntöjä! 

Julkaistu: 18.04.2018

Ota yhteyttä

Kiinnostuitko? Heräsikö lisäkysymyksiä? Kerromme mielellämme lisää - jätä yhteystietosi alla olevalla lomakkeella, niin palaamme tuota pikaa asiaan!

*pakollinen kenttä

Palvelua toteuttamassa