Kotipalveluyritykset tarvitsevat tietosuojaan liittyvää lisäkoulutusta

Kirjoittajat: Sirpa Heponiemi, Joni Lehtinen, Tiina Metso Aija Tuliniemi & Hannele Tiittanen

Tietosuoja on jokaisen perusoikeus ja perustuu aina lakiin. Se turvaa henkilötietojen käsittelyssä rekisteröidyn oikeuksien ja vapauksien toteutumisen. Tietosuoja myös osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Asiakas- ja potilastietojen käsittelyä säätelee EU:n yleinen tietosuoja-asetus 2016/679 ja tietosuojalaki 5.12.2018/1050.

Henkilötietojen käsittelyssä tulee aina noudattaa tietosuojalainsäädännön mukaisia tietosuojaperiaatteita. Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Lisäksi on huomioitava käyttötarkoitussidonnaisuus, tietojen minimointi, tietojen täsmällisyys, säilytyksen rajoittaminen, luottamuksellisuus ja turvallisuus. Rekisterinpitäjän tulee pystyä osoittamaan, että henkilötietoja käsitellään edellä mainittujen periaatteiden mukaan. (Tietosuojavaltuutetun toimisto b.)

Tietosuojasta tulee huolehtia koko organisaation laajuisesti, tietosuojan hallinnointi tulee olla hyvin organisoitua ja siihen tulee varata riittävästi resursseja. Tietosuojavastaava toimii yrityksen keskeisenä resurssina tietosuojaa koskevissa asioissa. Hän seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa. (Tietosuojavaltuutetun toimisto c; THL 2020, 3–4.)

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta (Tietosuojavaltuutetun toimisto d). Riskien minimoimiseksi tietosuojasta huolehtimisen tulee olla tärkeä osa organisaatioiden toimintaa ja henkilötietojen käsittelyyn liittyvät riskit on arvioitava etukäteen (Tietosuojavaltuutetun toimisto a; THL 2020, 2).

Riskianalyysin avulla on mahdollista tunnistaa jo suunnitteluvaiheessa toimenpiteet riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi sekä varmistaa tietosuojaperiaatteiden tehokas toteutuminen suhteessa käsittelyyn liittyvään riskiin. Jokaisen työntekijän tulee vastata omasta toiminnastaan, mutta vastuu tietosuojan toteutumisesta on organisaation johdolla. (Tietosuojavaltuutetun toimisto a; Tietosuojavaltuutetun toimisto e; THL 2020, 2–3.)

KOHOTE-hankkeen aloitustilaisuudessa marraskuussa 2021 oli tarkoitus kartoittaa Päijät-Hämeen alueella toimivien kotihoitopalveluiden edustajilta työyhteisöjen tietosuojaosaamista ja mahdollisia kehittämistarpeita (LAB 2021). Koronatilanteen ja päällekkäisten tilaisuuksien vuoksi vain yhdelle kotihoitoyrityksen edustajalle päästiin esittämään kysymyksiä tietosuojaosaamiseen ja aihealueen mahdollisiin kehittämistarpeisiin liittyen.  Yrityksen edustaja toivoi erityisesti tukea pienille yrityksille, jotta tietosuojakoulutuksiin osallistuminen helpottuisi. Haastattelun jälkeen tiedonkeruuta jatkettiin kyselyllä, joka lähetettiin Webropol-kyselynä 35:lle palveluseteliä käyttävälle kotihoitopalveluyritykselle. Kohderyhmänä olevien yritysten henkilöstömäärä vaihteli viidestä viiteenkymmeneen henkilöön. Kyselyyn vastasi 16 kotihoitopalveluiden johtajaa tai esimiestä.

Tietosuojakyselyn tulokset

Kysymysten aihealueina olivat vastaajien tietosuojaan liittyvä osaaminen ja koulutus sekä mahdolliset lisäkoulutustarpeet. Organisaatiotasolla kartoitettiin, oliko työyhteisöissä nimetty tietosuojavastaava tai varauduttu tietosuojaloukkauksiin. Tulosten mukaan tietoturvakoulutusta oli järjestetty yhdeksässä organisaatiossa. Kymmenen kyselyyn vastanneista kertoi, että työyhteisössä oli nimetty tietosuojavaltuutettu. Henkilökunnan tietosuojakouluttautumiseen oli ollut mahdollisuus seitsemässä yrityksessä.

Lisäkoulutustarpeita kartoitimme kahdeksasta eri aihealueesta liittyen tietotuojaosaamiseen (Kuvio 1). Näitä olivat henkilötietojen käsittely, tietosuojaperiaatteet, tietosuojasäännökset, asiakastietojen siirto, asiakkaan informointi, asiakkaan oikeudet tietosuojaan liittyen, tietosuojavastaavan tehtävät ja tietoturvaloukkaukset. Kyselystä tärkeimmäksi lisäkoulutuksen aihealueeksi tietosuojaan liittyen nousi asiakastietojen siirto ja matalin koulutustarve liittyi asiakkaan informointiin.

Kuvio 1. Tietosuojaosaamiseen liittyvä koulutustarve kotipalveluyrityksissä.

Riskianalyysi tietosuojaloukkausiin liittyen oli tehty yhdeksässä yrityksessä, mutta puuttui seitsemältä yritykseltä. Toimiva toimintasuunnitelma tietosuojaloukkausten varalle löytyi vain kahdesta organisaatiosta. Kahdeksan yrityksen toimintasuunnitelmat kaipasivat päivitystä. Kuusi vastaajista oli sitä mieltä, ettei toimintasuunnitelmaa löytynyt yrityksestä.

Lisää koulutusta tarvitaan

Vaikka kyselyyn vastanneiden joukko oli pieni, antoi se viitteitä Päijät-Hämeen kotihoitopalveluita tarjoavien yritysten ja kolmannen sektorin tietosuojaan liittyvistä kehittämiskohteista ja koulutustarpeista. Kyselyn tuloksissa huolestuttavaa oli, että isossa osassa yrityksiä ei ollut järjestetty tietoturvakoulutusta. Yllättävää oli myös, että tulosten mukaan ainoastaan kahdessa yrityksessä oli toimiva suunnitelma tietosuojaloukkauksia varten ja vain seitsemässä yrityksessä oli tehty riskianalyysi tietosuojaloukkauksiin liittyen.

Tietosuojaloukkauksiin tulisi varautua tietosuojasuunnitelmalla. Gröhn ym. (2016, 65–66) mukaan tietoturvallisuuden tulee olla kiinteä osa organisaation muuta toimintaa. Tietoturvasuunnitelmia tulee päivittää aina, kun toimintaympäristössä, riskeissä tai toiminnoissa ilmenee merkittäviä muutoksia, virheitä tai puutteita.

Aloitustilaisuudessa haastateltu yrityksen edustaja toivoi tukea pienten yritysten tietosuojakoulutuksiin. Hän olisi mielellään panostanut henkilökunnan tietosuojaosaamiseen, mikäli tukitoimia osaamisen päivittämiseen olisi tarjolla. Hänen mielestään pienen yrityksen on vaikea irrottaa henkilöstöä koulutuksia varten ja ilman tukitoimia kustannuskysymykset nousevat usein esteeksi.  Lisäkoulutus koettiin tarpeelliseksi useimmissa yrityksissä liittyen etenkin henkilötietojen käsittelyyn ja tietosuojaperiaatteisiin. Koulutustarvetta on myös tietosuojasäännöksiin ja asiakastietojen siirtoon liittyen. Tuloksista ilmeni pienten yritysten tarvitsevan tukea tietosuojakoulutuksen mahdollistamiseen.

EU:n yleisten tietosuoja-asetusten tavoitteiden saavuttamiseksi yrityksille tulisi kehittää kattava ja yhdenmukainen koulutus. Tietosuojavastaavan roolia, vastuuta ja tehtävän tärkeyttä tulee korostaa toiminnassa. Tietosuojavastaavan tehtävät eivät voi olla pelkästään yrityksen johdon vastuulla, vaan sen hoitamiseen voidaan nimetä joku henkilöstöstä.

Lisäksi tukitoimenpiteitä tulee kohdistaa tietosuojaosaamisen varmistamiseksi Päijät-Hämeen kotihoitopalveluita tarjoaville yrityksille ja kolmannen sektorin toimijoille. Seppälän ja Purasen mukaan (2019, 50) yhteisiä malleja tulee kehittää sektorirajojen yli. Yhteinen toimintatapa – ja malli helpottavat myös kyselymme kohderyhmän taakkaa tietosuojaosaamisen päivittämiseen liittyen. Seppälä ja Puranen (2019, 50) mainitsevat myös, että yhtenäiset järjestelmät kehittävät tietosuojaa.  Tietosuojaosaamiseen suunnitellun koulutuksen tulee olla jatkuvaa ja sitä tulee arvioida ja kehittää yrityksestä nousseiden tarpeiden mukaan.

Yhtenäiset linjaukset toimivat tietosuojaa ja laatua edistävästi. Lehtilän ym. (2021, 50) mukaan riittävästä tietoturvasta ja tietosuojasta huolehtimisella vahvistetaan myös kansalaisten luottamusta digitaaliseen yhteiskuntaan. Yhtenäinen käytäntö auttaa varmistamaan tietosuojaosaamisen tason Päijät-Hämeen kotihoitopalveluita tarjoavissa yrityksissä ja kolmannella sektorilla, joihin tarpeisiin myös KOHOTE-hankkeella pyritään vastaamaan.

Lähteet

EU yleinen tietosuoja-asetus 2016/679. Viitattu 22.11.2021. Saatavissa https://www.privacy-regulation.eu/fi/

Gröhn, R., Ahvenainen, J., Aitta, M., Hummelholm, A., Kinnunen, E., Kinnunen, P., Knape, K., Lappalainen, P., Marjamäki-Ruuskanen, S., Pietarinen, J., Romppanen, M. & Vainio, E.  2016. Toiminnan jatkuvuuden hallinta. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä. VAHTI 2/2016. Julkisen hallinnon ICT. Valtionvarainministeriö. Viitattu 29.11.2021. Saatavissa http://urn.fi/URN:ISBN:978-952-251-779-1

LAB. 2021. KOHOTE-hanke. Viitattu 29.12.2021. Saatavissa https://www.lab.fi/fi/projekti/kotihoitopalveluihin-teknologiaa-ja-digitalisaatiota

Lehtilä, O., Nyström, P., Ronikonmäki, N-M. & Sirviö, T-H. 2021. Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla Työryhmän loppuraportti. Liikenne- ja viestintäministeriön julkaisuja 2021:1. Liikenne- ja viestintäministeriö. Viitattu 29.11.2021. Saatavissa http://urn.fi/URN:ISBN:978-952-243-614-6

Seppälä, A. & Puranen, K. 2019. Sote-tieto hyötykäyttöön. Strategian väliarviointi. Loppuraportti 14.11.2018. Sosiaali- ja terveysministeriön raportteja ja muistioita 2019:1. Sosiaali- ja terveysministeriö. Viitattu 29.11.2021. Saatavissa http://urn.fi/URN:ISBN:978-952-00-4023-9

THL 2020. Tietosuoja. Opit, mitä on tietosuoja ja mikä on tietosuojavastaavan tehtävä ja rooli. 17.2.2020. Terveyden ja hyvinvoinnin laitos. Viitattu 22.11.2021. Saatavissa https://thl.fi/documents/920442/3022844/Tietosuoja+ja+tietosuojavastaavan+teht%C3%A4v%C3%A4+ja+rooli_final.pdf/dbaa4751-9689-755f-e751-5a19c29fbab0?t=1582388498596

Tietosuojalaki 5.12.2018/1050. Finlex. Viitattu 22.11.2021. Saatavissa https://finlex.fi/fi/laki/ajantasa/2018/20181050

Tietosuojavaltuutetun toimisto a. Tietosuoja. Viitattu 22.11.2021. Saatavissa https://tietosuoja.fi/tietosuoja

Tietosuojavaltuutetun toimisto b. Tietosuojaperiaatteet. Viitattu 30.11.2021. Saatavissa https://tietosuoja.fi/tietosuojaperiaatteet

Tietosuojavaltuutetun toimisto c. Tietosuojavastaavat. Viitattu 22.11.2021. Saatavissa https://tietosuoja.fi/tietosuojavastaavat

Tietosuojavaltuutetun toimisto d. Tietoturvaloukkaukset. Viitattu 29.11.2021. Saatavissa https://tietosuoja.fi/tietoturvaloukkaukset

Tietosuojavaltuutetun toimisto e. Arvioi riskit ja suunnittele toimenpiteet tietosuojan toteuttamiseksi. Viitattu 29.11.2021. Saatavissa https://tietosuoja.fi/arvioi-riskit

Kirjoittajat

Sirpa Heponiemi, Joni Lehtinen, Tiina Metso ja Aija Tuliniemi suorittavat ylempää ammattikorkeakoulututkintoa LAB-ammattikorkeakoulussa.

Hannele Tiittanen toimii yliopettajana LAB ammattikorkeakoulussa.

Artikkelikuva: https://pixabay.com/fi/illustrations/n%c3%a4pp%c3%a4imist%c3%b6-tietokone-tyhj%c3%a4-oma-895556/ (CC0)

Julkaistu 17.1.2022

Viittausohje

Heponiemi, S., Lehtinen, J., Metso, T., Tuliniemi, A. & Tiittanen, H. 2022. Kotipalveluyritykset tarvitsevat tietosuojaan liittyvää lisäkoulutusta. LAB Pro. Viitattu pvm. Saatavissa https://www.labopen.fi/lab-pro/kotipalveluyritykset-tarvitsevat-tietosuojaan-liittyvaa-lisakoulutusta/