Juttelimme Me-säätiön teknologian kehityksestä vastaavan Wondershop Oy:n perustajajäsenen ja teknologiajohtajan Samu Hautalan sekä säätiön tietosuoja-asioista vastaavan juristi Juho Roimaan kanssa tietosuojasta ja tietoturvasta. Mitä nämä termit todella tarkoittavat ja mitä vaikuttavuuden mittaamisesta kiinnostuneen tulisi niistä tietää? Entä miten EU:ssa tapahtuneet lakimuutokset ja GDPR liittyvät asiaan?
Tietoturva on kuin pankkiholvi
Tietoturva ja tietosuoja menevät monelta ihmiseltä iloisesti sekaisin ja toisinaan niitä näkee käyttävän toistensa synonyymeina. Et siis ole ainoa, jos termit ovat joskus menneet sekaisin! Tietoturva ja tietosuoja eivät kuitenkaan ole synonyymeja vaan viittaavat eri asioihin. Samu ja Juho havainnollistavat asiaa pankki ja raha -vertauskuvan avulla.
“Henkilötietoa voi ajatella vaikkapa rahana pankissa, jolloin tietoturva on kuin pankin holvi. Tietoturva määrittelee millainen suojaus kerätyillä henkilötiedoilla on, samaan tapaan kuin pankkiholvi rahojen suojaa. Omassa työssäni tehtävänäni on varmistaa, että Me-säätiön vaikuttavuuden mittausjärjestelmän suojaus, eli pankkiholvi, on tarpeeksi järeä, jotta tiedot pysyvät turvassa sisällä ja tietoja ilman lupaa havittelevat ulkona.”, Samu avaa asiaa.
Juho nyökkäilee ja jatkaa:
“Juuri näin. Samun vertauskuvaa jatkaakseni, tietosuoja taas voidaan käsittää ymmärryksenä siitä, kenellä on lupa päästä holviin ja siellä sijaitseviin rahoihin. Tietosuojasta vastaavana juristina pyrin varmistamaan, että tietosuojan lakitekninen puoli on aina kunnossa, ja että voimme viestiä näistä teemoista mahdollisimman ymmärrettävästi. Tietosuoja on siis termeistä laajempi ja pitää sisällään myös tietoturvan.”
Samu Hautalan mielestä yksi yleisimpiä teemaan liittyviä harhaluuloja on, että tietoturva ja tietosuoja olisivat joko–tai kysymyksiä, joita organisaatiot hoitaisivat aina joko täydellisesti tai täysin väärin: “Sen sijaan maailmassa on hyvin paljon erilaisia pankkeja, joita suojataan vaihtelevilla tyyleillä ja tasoilla. Se, millaisen holvin ja suojauksen pankki tarvitsee rahoilleen, riippuu taas siitä, kuinka arvokasta tavaraa holviin on kerätty.”
Juho lisää: “Ja maailman täydellisintäkin holvia käyttävät ja valvovat loppupeleissä epätäydelliset ihmiset.”
Yksi tärkeimpiä ensiaskeleita laadukkaan tietosuojan ja tietoturvan suunnittelussa onkin määrittää kerättävien henkilötietojen taso: kuuluvatko kerättävät tiedot tavanomaisen tiedon tasolle kuten vaikkapa nimi ja osoite vai luokitellaanko ne erityisten henkilötietojen ryhmään kuten esimerkiksi terveyttä koskevat tiedot? Me-säätiön vaikuttavuuden mittamisjärjestelmän suhteen kehitystiimi on tehnyt tietoisen päätöksen kerätessään vain tavanomaista tietoa ja huolehtinut, etteivät järjestelmässä esitettävät kysymykset johdattele vastaajaa luovuttamaan esimerkiksi tietoa lapsen allergioista. Tällaiset terveystiedot ovat arkaluonteista tietoa, jota on suojeltava erityisen tarkasti.
GDPR yhtenäistää henkilötietojen keräämistä ja tekee sitä läpinäkyvämpää
Tietosuojaan ja -turvaan liittyy olennaisesti myös kaikissa EU-maissa vuonna 2018 voimaan tullut GDPR-asetus eli koko EU-aluetta velvoittava yleinen tietosuoja-asetus. GDPR puhutti paljon voimaan tullessaan, mutta mitä siitä oikein pitäisi ajatella?
“GDPR-asetuksella ollaan haluttu yhtenäistää EU:n alueella henkilötiedon suojaa ja erityisesti henkilötiedoilla käytävän kaupankäynnin sääntöjä. Asetus vahvisti läpinäkyvyyttä sekä yksilön oikeuksia. Suomessa oli jo entuudestaan hyvä tietosuojalainsäädäntö, joten muutos näkyi meillä lähinnä laajemmassa osoitusvelvollisuudessa sekä selkeiden käytäntöjen tuomisesta virhetilanteiden käsittelyyn,” Juho kertaa.
Osoitusvelvollisuudella tarkoitetaan organisaation velvollisuutta osoittaa noudattavansa tietosuojalainsäädäntöä. Yksilöllä on esimerkiksi oikeus tietää, kun hänestä kerätään henkilötietoja, sekä mahdollisuus vaikuttaa siihen, mitä tietoa hänestä kerätään.
Selkeitä käytäntöjä virhetilanteiden käsittelyyn Samu vertaa kuluttajansuojalakiin:
“Uusi tietosuoja-asetus on kuin henkilötietoihin keskittyvä kuluttajansuojalaki internetissä. Jos saa käsiinsä virheellisen tuotteen, kuluttajalla on selkeä ja ennalta määritelty oikeus palauttaa tai korjauttaa tuote. Kuluttajansuojalaki ei takaa, etteivätkö tuotteet koskaan menisi rikki, mutta ennen kuluttajansuojalakia yksilö joutui vain elämään pettymyksensä ja rikkinäisen tuotteen kanssa. Tietosuoja-asetus pyrkii tekemään saman henkilötietojen kanssa pitäen yksilön oikeudet uudistuksen keskiössä.”
Tiedon tulee tuottaa arvoa molemmille osapuolille
Uusi tietosuoja-asetus on siis yhtenäistänyt henkilötietojen käyttöä EU:n alueella sekä luonut motivaatiota tietosuojan aktiivisemmalle ja systemaattisemmalle kehittämiselle. Juho tiivistää asian osuvasti:
“Tietosuoja ei ole enää vain mielipidekysymys, vaan jokaisen organisaation asia, jonka tavoitteena on EU:n alueella sekä yksilön oikeuden että demokratian vahvistaminen.”
Samanaikaisesti on hyvä tiedostaa, että niille asioille, jotka tuottavat arvoa, löytyy aina markkina – näin on myös henkilötietojen yhteydessä. Juuri siksi myös yksilön itse pitäisi hyötyä valitsemansa tiedon luovuttamisesta, kuten Samu painottaa:
“Henkilötiedon luovuttaminen ja sen kerääminen on vastavuoroinen transaktio, jonka pitää tuottaa arvoa molemmille osapuolille. Esimerkiksi Me-säätiön kehittämään vaikuttavuuden mittaamisjärjestelmään henkilötietojaan antavat saavat arvoa heidän yksilöllisiä tarpeitaan paremmin huomioivan yhteisötyön ja palvelun kautta.”
Me-säätiön teknologian tietosuoja- ja tietoturvan kehittämisen pääprioriteettina onkin luottamussuhteen synnyttäminen ja vaaliminen, sekä yksilöä että järjestelmää käyttävää organisaatiota kohtaan. Tiedon keräämisen prosessi on kehitetty yksilön edun näkökulmasta, ja tietosuoja on koko järjestelmän kehitystyön kulmakivenä. Me-säätiön teknologiaa on myös auditoinut riippumaton toimija. Arviointien avulla voidaan varmistaa, että järjestelmä on tietoturvallinen ja mahdolliset riskit vähäisiä.
”Näemme vielä tällä hetkellä järjestelmämme kattavan tietosuojan ja pitkälle kehitetyn tietoturvan sen erityispiirteinä, vaikka toivottavasti molemmat ovat pian jo aivan tavallinen osa tuotetta kuin tuotetta”, toivoo Samu.
Eli, miten nyt on: saako sitä henkilötietoa siis kerätä tai kannattaako sitä luovuttaa?
“Saa luovuttaa ja kerätä – ja hyvillä mielin”, hymähtää Juho.
Samun ja Juhon kolme vinkkiä tietosuojan ja tietoturvan kehittämiseen:
- Aloita selvittämällä, millaista tietoa keräätte. Onko tieto henkilötietoa? Jos on, niin minkä tasoista? Tarvitsetteko arkaluonteista tietoa vai riittäisikö tavanomainen tieto? Miten keräämäänne tietoa tulee tietosuoja-asetuksen mukaan suojata? Autamme kumppaneitamme aiheen tiimoilta ennen vaikuttavuuden mittaamisjärjestelmän käyttöönottoa.
- Hyödynnä tietoturvan auditointia. Luottaisitko itse pankkiin enemmän silloin, jos he itse vakuuttavat kaiken olevan kunnossa vai kun ulkopuolinen finanssivalvonta todistaa saman väitteen todeksi? Tietoturva on erikoisala, jossa kannattaa kuunnella ammattilaisten mielipiteitä.
- Huomioi inhimillisten tekijöiden vaikutus tietoturvaan. Tietoturva ei ole pelkästään tekninen prosessi vaan myös ihmiset joko tuottavat tai riskeeraavat sitä. Pyrkikää tunnistamaan ne potentiaaliset kohdat, jossa inhimillinen vaikutus on mahdollista ja ottakaa tämä huomioon kehitystyössä.
Lue täältä lisää Me-säätiön vaikuttavuuden mittaamisjärjestelmästä, jonka tietosuojan ja -turvan kehittämisessä Samu ja Juho ovat tiiviisti mukana.
Tietosuoja, tietoturva ja GDPR -blogisarjan seuraavassa osassa mietimme Samun ja Juhon kanssa sitä, mihin organisaatioiden tulee erityisesti keskittyä kerätessään lapsiin liittyviä henkilötietoja.