X Blogi

Johto on vastuussa tietosuojan toteutumisessa, aina

Julkaissut Kai Kempas 6.11.2020 11:13

human-2944064_1920

Tietosuojan merkityksellisyys yhteiskunnassamme on kasvanut ja kasvaa jatkuvasti. Tietosuojasta huolehtiminen kuuluu meille kaikille. Kai Kempas Xcurelta käsittelee tässä blogissa johdon vastuuta tietosuoja-asetuksen osalta.

Yksilöinä meidän tulee saada nauttia tietosuojasta ja tietosuojasta huolehtiminen kuuluu meille kaikille, eikä se organisaatiossa ole yhden henkilön show. Olemme kuulleet ja nähneet taas julkisuudessa tietosuojavuodon nurjemman puolen Vastaamo-tapauksessa. Jäävuoren huippu, suurin osa vastaavista tapauksista jää piiloon, raportoimatta ja ovat vielä tutkinnan alla. Ei ehkä ihan näin törkeitä tapauksia, mutta kuitenkin. Pinnan alla kuitenkin kuohuu ja kuplia alkaa nousta tyyneen pintaan.

Tietosuoja-asetus määrittää, että vastuussa organisaationsa toiminnasta on aina johto tai virkamies ja näinhän se onkin, tietyllä tavalla. Kenellä olisi valtaa puuttua asioihin tai antaa mahtikäskyjä, jos ei johdolla tai vastuullisilla virkamiehillä? Ei kenelläkään. Kuitenkin meidän on hyvä muistaa, että yksin on vaikea tehdä kaikkea tai osata kaikkea. Kuinka voisimme olettaa, että toimitusjohtaja/virkamies hallitsisi kaikki alaisinaan toimivien asiantuntijoiden työtehtävät. Johto ja koko yritys tai organisaatio, ovat niin hyviä, kuin on koko henkilökunnan summa.

Mikä sitten on johdon vastuu?

Johdon vastuu on se, että tietoturvaan ja tietosuojaan liittyviä asioita tutkitaan ja vastuutetaan, jotta johto voi saada arvioita, johon reagoida ja korjausehdotuksia, joihin antaa mahtikäskyjä. Esimerkiksi, voimmeko olettaa, että toimitusjohtaja tietää palvelimessa olevan aukon? Voimmeko olettaa, että virkamies osaisi puutua jokaiseen liian heikkoon salasanaan? Vastuita, määräyksiä, huomioitavia asioita, lakeja ja lukemattomia huomioon otettavia asioita on niin paljon, että mielestäni on vaikea kuvitella toimitusjohtajien tai vastuullisten virkamiesten pystyvän kaikkia edes tietämään, vaikka se heidän työnkuvaansa kuuluukin. Tässä koko henkilökunnan pätevyyden summa nostaa taas päätään. Onko organisaatiokulttuuri sellainen, että epäkohtia on nostettu ja voidaan nostaa esiin, ollaanko iloisia havainnoista, jotka ovat korjattavissa? Vai suhtaudutaanko niihin tyylillä, taas näitä ylimääräisiä hömpötyksiä ja kulueriä tai älä tule minua neuvomaan - mentaliteetilla?

Johdon tehtävä on luoda organisaatioon kulttuuri, joka kannustaa kaikkia ottamaan vastuuta ja puhaltamaan yhteen hiileen. Johdon tehtävä on olla tietoinen uhista, siinä missä mahdollisuuksistakin ja tässä on monesti peiliin katsomisen paikka.

Tietosuojavastaava johdon avuksi

Jos johto tuntee itsensä epävaramaksi tietosuoja-asioissa, kannatta nimetä tietosuojavastaava (tai tietosuojavastuullinen). Tietosuojavastaavan nimeäminen ei kuitenkaan poista johdon vastuuta, vaan tuo organisaatioon vastuullisen henkilön, joka lähtee ottamaan haltuunsa ohjaksia tietosuojaan liittyvissä asioissa. Tietosuojavastaavan tehtävä on raportoida johdolle mm. epäkohdista, joita havaitsee, jotta johto voi antaa avaimet korjausliikkeisiin. Tietosuojavastaava organisaatiossa toimii myös opastajana henkilökunnalle, sekä yhteyshenkilönä tietosuoja-asioissa organisaatiosta ulospäin. Tietosuojavastaava ei onnistu tehtävässään, jos ei onnistu järjestelmällisesti lanseeraamaan johdonmukaista toimintamallia tai vastuita organisaatiossaan, eikä näin ollen johto tule saamaan oikeanlaista tietoa, eikä pysty tekemään oikeita liikkeitä. Siksi ei ole sama kuka tietosuojavastaavan toimenkuvaan nimitetään. Suosittelen johtoa vahvasti turvaamaan selustaansa ja kiinnittämään huomiota siihen, millainen henkilö toimenkuvassa on ja antamaan tietosuojavastaavalle tarpeeksi vapautta, valtaa, aikaa, varoja ja työkaluja, niin että hän pystyy toimenkuvansa täyttämään. Tietosuojavastaava tulisi ottaa mukaan johtokunnan kokouksiin neuvonantajaksi ja raportoimaan organisaation tilanteesta.

Avainasemassa organisaatiossa siis on vastuuttaminen ja prosessin hallinta. Mikäli tämä epäonnistuu, epäonnistuu valmius nähdä oman organisaation tietoturvan nykytilannetta ja tämä taas saattaa meidän alttiiksi vakavillekin virheille, jotka pahimmillaan voivat tuhota uria, ihmisiä ja yrityksiä.

Kai Kempas on toiminut tietoturvan ja tietosuojan parissa kaksikymmentä vuotta ja työskentelee tietosuojan asiantuntijana Xcuressa. Xcure on kehittänyt tietosuojan hallintaan Tietosuojatyökalu -palvelun ja Kempas on yksi Tietosuojatyökalun kehittäjistä.

Tietosuojatyökalun avulla huolehditaan tietosuojatyön jatkuvuudesta, koordinoidaan tietosuojatyötä, jaetaan vastuita sekä raportoidaan johdolle. Tietosuojatyökalu auttaa täyttämään asetuksen keskeisen periaatteen, osoitusvelvollisuuden.

Lue lisää Tietosuojatyökalusta tai ota yhteyttä Xcuren asiantuntijoihin. Autamme mielellämme kaikissa tietoturvan ja tietosuojan kysymyksissäsi!

Aiheet: Tietoturva, EU:n tietosuoja-asetus, GDPR, Tietosuoja-asetus, Tietosuojatyökalu, Privacy Management Tool