Tulostusversio

2/2011

Tietojohtaminen: Ylimmän johdon asiaksi

Teksti: Päivi Männikkö

Valmistelussa oleva uusi henkilötietodirektiivi kasvattaa tietojohtamisen merkitystä.

Toissavuonna Hallinnon tietotekniikkakeskus Haltik julkaisi tietotilinpäätöksen tiettävästi ensimmäisenä valtionhallinnon viranomaisena. Siinä Haltik analysoi toimialaansa kuuluvien tietojen käsittelyä koskevista merkittävistä asioista, esimerkiksi käyttövaltuuksien hallinnasta, verkonhallinnasta ja järjestelmien ylläpidosta.

Tänä vuonna tietotilinpäätöksen teki myös Väestörekisterikeskus, jonka pitää uuden väestötietolain nojalla raportoida muiden muassa lokirekisteriin tallennettujen tietojen ja tapahtumatietojen käsittelystä.

Lähivuosina Suomen ja muiden EU-maiden viranomaiset ja yritykset saattavat seurata Haltikin ja Väestörekisterikeskuksen jalanjälkiä.

Tietotilinpäätöksellä ja vastaavilla raporteilla rekisterinpitäjät voisivat toteuttaa tilivelvollisuuden periaatetta, jonka EU:n komissio haluaa lisätä uuteen henkilötietodirektiiviin.

Komission ehdotuksessa tilivelvollisuudella (englanniksi accountability) tarkoitetaan sitä, että rekisterinpitäjä osoittaa noudattavansa tietosuojasäännöksiä ja pyydettäessä todistaa sen valvontaviranomaisille. Tarkoituksena on tehostaa direktiivin velvoitteiden toteutumista.

”Uutta tässä on se, että velvoitteiden täyttäminen pitää kyetä osoittamaan”, tietosuojavaltuutettu Reijo Aarnio sanoo.

Eduksi liiketoiminnalle

Aarnion mukaan tilivelvollisuus parantaisi myös liiketoiminnan edellytyksiä. Tietojenkäsittelyjärjestelmät ovat tuotannontekijöitä, joihin yrityksen johdon on kiinnitettävä huomiota kilpailukyvyn takaamiseksi.

”Vaikka, jälleen kerran, kun se kirjoitetaan velvoitteen muotoon, moni ymmärtää sen lisäbyrokratiana.”

Sähköisistä tietojärjestelmistä on tullut osa yhteiskunnan perusinfrastruktuuria. Tyypillistä myös on, että ihmiset käyttävät samaa käyttäjätunnus-salasanaparia useissa eri sähköisissä palveluissa. Näin yhden lenkin pettämisellä on välittömiä vaikutuksia muihinkin palveluntarjoajiin. Dominoefektin välttämiseksi kaikkien organisaatioiden pitäisi kantaa vastuunsa tietosuojasta, Aarnio sanoo:

”On hienoa, että sidosryhmät, viranomaiset ja mahdollisesti suuri yleisö pääsevät arvioimaan, kantaako organisaatio vastuunsa. Jos se ei kanna, voi äänestää jaloillaan.”

Pilvessä vastuuta myös palveluntarjoajalla

Tietojenkäsittelyn uudet liiketoimintamallit, pilvipalvelut etunenässä, kasvattavat tarvetta näyttää tietosuojasta huolehtiminen toteen. Tietosuojavaltuutettu korostaa, että oikein toteutettuina pilvipalvelut ja tilivelvollisuus suorastaan mahdollistavat toinen toisensa.

Pilvipalveluiden tarjoajat ovat henkilötietojen käsittelijöitä ja näin osaltaan vastuussa tietosuojasta, tulevaisuudessa ehkä myös tilivelvollisuudesta: 

”Jos rekisterinpitäjällä on velvollisuus kyetä osoittamaan tietosuojan toteuttaminen, ja se ulkoistaa palvelun, totta kai se silloin odottaa, että tilivelvollisuus kuuluu palveluntarjoajan palveluun.”

Tietosuojan toteutumisesta vastaa silti rekisterinpitäjä.

Toteutus riskien mukaan

EU-maissa on jo käytössä erilaisia toimia, joilla rekisterinpitäjä osoittaa noudattavansa tietosuojasäännöksiä. Auditoinnit, standardit ja muut hyväksymismenettelyt ovat jo yleisessä käytössä, samoin binding corporate rules -säännöt siirrettäessä tietoja EU:n ulkopuolelle.

Vaihtelevammin käytössä olevia toimia ovat tietotilinpäätökset, joiden laatiminen on Suomessa Haltikin ja Väestörekisterikeskuksen lakisääteinen velvollisuus. Joissakin maissa joka organisaatiolla on oltava oma tietosuojavastaava, Suomessa vain sosiaali- ja terveydenhuollon yksiköillä. Direktiiviin niin ikään kaavailtu yleinen tietoturvaloukkausten ilmoituspakko on jo käytössä muutamissa maissa. Suomessa ilmoitusta vaaditaan teleyrityksiltä.

”Nyt nämä toimet kootaan direktiivissä saman tilivelvollisuuden sateenvarjon alle”, Aarnio kiteyttää.

Kansalliset erityispiirteet, esimerkiksi pohjoismainen julkisuuslainsäädäntö, vaikuttavat tilivelvollisuudesta säätämiseen. Sitä koskeva yleinen säännös tullee sellaisenaan joka maan lainsäädäntöön. Sen sijaan tilivelvollisuuden toteuttamisesta päättäminen jätettäneen kansallisille viranomaisille. Voiko lopputuloksena olla 27 erilaista tulkintaa toteutuksesta?

”Sisältö on tärkein, muodot voivat vaihdella. Jos tilivelvollisuuden sisällöstä päästään yksimielisyyteen, se on mielestäni enemmän kuin puoli voittoa”, Aarnio rauhoittelee.

Liikkumavaraa tuo myös rekisterinpitäjän toiminnan luonne. Tietosuojaviranomaisten työryhmä ehdottaa, että rekisterinpitäjät voisivat valita sopivat toimet käsittelemiensä tietojen määrän, käyttötarkoituksen, luonteen ja tiedonkäsittelyn sisältämien riskien mukaan.

Voiko raporttiin luottaa?

Tällä hetkellä EU:ssa keskustellaan tilivelvollisuuden raportoinnin muodoista; sen julkisuudesta ja siitä, edellytetäänkö raportin toimittamista viranomaiselle automaattisesti vai erillisestä pyynnöstä.

Onko vaarana, että tilivelvollisuuden takia vaadittavista tietosuojaraporteista tulee talojen kuntotarkastusraporttien kaltaisia, tasoltaan ja laajuudeltaan vaihtelevia selontekoja, joiden perusteella asiakkaan on vaikea saada selvyyttä organisaation luotettavuudesta?

”Jos joku menee siihen halpaan, että raportoi vain täyttääkseen jonkun velvoitteen, siitä johtamisen kannalta saatavissa oleva hyöty jää saamatta. Se on varmasti tyhmä ratkaisu”, Aarnio kuittaa.

Hänen mukaansa tietosuojastandardien ja vastaavien hyväksyntämenettelyjen kehitys on menossa kohti määrämuotoisia raportteja, mikä helpottaisi asiakkaan luku-urakkaa.

---

Ilmoitusmenettely kevenee

Direktiiviehdotuksen lausuntokierroksella yritykset toivoivat, että jos tilivelvollisuuden periaate lisätään direktiiviin, sieltä vastaavasti otettaisiin jotakin pois.

Esillä on ollut ilmoitusvelvollisuuden kaventaminen.

Suomessa toimintailmoitus tulee tehdä vain tietyillä, henkilötietolaissa määritellyillä toimialoilla. Sen sijaan useissa muissa EU-maissa kaikkien rekisterinpitäjien on ilmoittauduttava kansalliselle tietosuojaviranomaiselle. Suomalaisyrityksiäkin yleinen ilmoituspakko koskee silloin, kun niillä on toimintaa kyseisissä maissa.

Henkilötietodirektiivin uudistamisesta EU:n komission verkkosivuilla >>

Lue myös

Tietojohtaminen: Bisneksen kovaa ydintä »
Tietojohtaminen: Tilannekuva johtamisen osaksi »
Tietojohtaminen: Viranomaisille oma turvallisuusverkko »
Tietojohtaminen: Sähköinen asianhallinta haastaa organisaatiot »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.