Nykypäivänä lähes jokaisen yrityksen on digitalisoitava liiketoimintaprosessejaan pysyäkseen kilpailukykyisenä. Pk-yrityksiä koskevan tutkimuksen mukaan digitaalisuutta hyödynnetään yhä enenevässä määrin niin sisäisissä prosesseissa kuin asiakaspalvelussakin (Kivikoski & Kauppinen 2021). Muuttuva toimintaympäristö, uudet työtavat ja järjestelmät sekä uusien työntekijöiden rekrytointi aiheuttaa tarpeen henkilöstön jatkuvalle digiosaamisen kehittämiselle, myös tietosuojan näkökulmasta.

Säädökset tietosuojasta koskevat kaikkia henkilötietoja käsitteleviä yrityksiä

Vuonna 2018 voimaan astunut yleinen tietosuoja-asetus (GDPR) otettiin käyttöön kaikissa EU-maissa, jotta koko alueella voitaisiin vastata paremmin digitalisaation ja globalisaation aiheuttamiin tietosuojahaasteisiin ja näin parantaa ja yhtenäistää henkilötietojen suojaa (Usein kysyttyä EU:n tietosuoja-asetuksesta n.d). Monissa yrityksissä muutos aiheutti paljon selvitystyötä sekä tarpeita muokata omia järjestelmiä ja prosesseja asetuksen mukaisiksi. Vaikka alkuhämmennyksestä on useimmissa yrityksissä selvitty ja dokumentit sekä toimintatavat on saatu muokattua asetuksen vaatimusten mukaisiksi, digitalisaatio pitää huolen siitä, että tietosuojahaasteisiin vastaaminen on osa jokaisen yrityksen arkipäivää.

Tietosuoja-asetus koskee jokaista yritystä, joka pitää yllä henkilötietoja sisältävää rekisteriä tai käsittelee jossain muodossa ihmisten henkilötietoja. On hyvä huomata, että asiakkaisiin liittyvien tietojen lisäksi lakia sovelletaan muun muassa työntekijöitä, alihankkijoita, ulkoisia palveluntuottajia, mahdollista kulunvalvontaa tai vaikkapa tapahtuman osallistujia koskeviin tietoihin. (Laakko 2017.) Tietosuojaan liittyvän digiosaamisen ajantasaisuus on siis oleellista kaikilla organisaation tasoilla ja toiminnoissa.

Puutteellinen osaaminen voi johtaa tietosuojaloukkaukseen

Usein tietosuojan vaarantuminen yhdistetään ensimmäisenä tietomurtoihin, rikolliseen toimintaan ja haittaohjelmiin. Näinkin toki on, mutta yhtä lailla tietosuojaloukkauksen syynä voi olla tavallisen työntekijän osaamattomuus tai huolimattomuus. Vaikka organisaation johto huolehtisi esimerkillisesti digitaalisen työympäristön ja ohjelmistojen suojauksesta, viimekädessä tietosuojan toteutuminen on kiinni yrityksessä työskentelevien ihmisten toiminnasta työn arjessa.

Tietosuojaviranomaisen (Tietoturvaloukkaukset n.d.) mukaan henkilötietojen tietoturvaloukkauksiin voivat johtaa yhtä lailla niin kyberhyökkäykset kuin kadotettu muistitikkukin. Alle on listattuna muutamia muitakin mahdollisia tietosuojan riskejä:

  • Sopimusdokumentin tms. henkilötietojen lähettäminen väärälle henkilölle
  • Varastettu tietokone tai muu älylaite
  • Salaamaton sähköposti
  • Sähköpostin avoin jakelulista
  • Lomalistat tms. kalenterit kaikkien nähtävillä
  • Henkilöstön jäsenestä tai asiakkaasta keskustelu avoimessa kanavassa
  • Salasanojen tai käyttäjätunnusten joutuminen vääriin käsiin
  • Lukitsematon laite
  • Työnteko julkisessa kulkuvälineessä tai muussa epätavallisessa etätyöpaikassa
  • Osaamattomuus käyttöoikeuksien hallinnassa
  • Tulostetut dokumentit lukitsemattomassa paikassa

Tietosuojariskit voivat toteutua, mikäli esimerkiksi asiakastietoja käsittelevällä työntekijällä ei ole ymmärrystä siitä, mitä termi henkilötieto tarkoittaa, mihin tietoja on turvallista tallettaa tai missä kohtaa hänen työtään tiedot ovat vaarassa joutua vääriin käsiin. Puutteellisesta osaamisesta johtuva tietosuojarikkomus voi aiheuttaa ongelmia paitsi rikkomuksen kohteeksi joutuneelle henkilölle, myös sakkorangaistuksista ja mainehaitoista johtuvia isoja taloudellisia menetyksiä yritykselle.

Yrityksen kokoluokasta riippumatta yrityksen johdon tehtävä on varmistaa, että tietosuojaan liittyvät riskit kartoitetaan ja minimoidaan ja että lain velvoittamat toimet toteutuvat kaikessa toiminnassa (Laakko 2017). Työnantaja huolehtii myös riittävin suojatoimin sekä asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä siitä, että kullakin on saatavillaan vain se tieto, jonka oma tehtävänkuva vaatii (Henkilötietojen käsittelijän velvollisuudet n.d.).

Henkilöstön digitaitojen kehittäminen osana riskinhallintaa

Osaamiseen liittyvässä riskienhallinnassa lähtökohtana on koko henkilöstön perustason tietosuojaosaaminen. Jokaisen henkilöstön jäsenen on hyvä olla selvillä tietosuojalain vaatimuksista, sekä siitä, miten säädökset tulee ottaa huomioon omassa työssä ja kenen puoleen mahdollisten kysymysten ja ongelmien ilmetessä voi kääntyä. Perustana esimerkiksi henkilötietojen suojaamiselle on se, että ihmiset tunnistavat, mitä kaikkea henkilötiedoilla tarkoitetaan. Toisena nyrkkisääntönä voidaan pitää sitä, että henkilötietojen suojaamisen periaatteiden ei pitäisi koskaan olla työntekijän oman harkinnan varassa, vaan työnantaja huolehtii siitä, että henkilöstöllä on riittävä osaaminen ja selkeät ohjeet myös muuttuvissa tilanteissa toimimiseen. (Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon? N.d.)

Digiosaamiseen liittyen yrityksissä on hyvä selvittää vaihe vaiheelta, millaisia tietosuojaan liittyviä riskejä henkilöstön työtehtäviin tai järjestelmän käyttöön liittyy ja millaista osaamista riskien minimoiminen vaatii. Hyvänä apuna tässä toimivat erilaiset valmiit, omaan tarpeeseen muokattavissa olevat osaamis- ja riskikartoitukset. Kartoitusten pohjalta on myös helpompaa luoda suunnitelmaa jatkuvaan henkilöstön osaamisen kehittämiseen ja ylläpitämiseen. Tietoturvapäivitykset koskevat siis niin järjestelmiä kuin ihmisten osaamistakin.

Yksinkertaisimmillaan tietosuojaan liittyvän digiosaamisen kehittämisessä kyse voi olla vaikkapa uuden sähköpostiohjelman käytön opettelusta. Esimerkiksi turvasähköpostin tai piilokopiotoiminnon käyttö voi olla monelle tarpeellinen, mutta ei automaattisesti tuttu tapa suojata työssään tarvitsemiaan henkilötietoja. Riittävien tietosuoja- ja digitaitojen ylläpitäminen vaatii yritykseltä aina panostuksia, mutta on pieni vaiva siihen nähden, mitä henkilötietoja sisältävän massasähköpostin lähettäminen voi pahimmillaan aiheuttaa.

Toimiva työyhteisö tukee oppimista

Kuten huomataan, kaikissa tapauksissa, joissa tietosuoja vaarantuu, kyse ei ole henkilöstön osaamattomuudesta, vaan joskus syy voi olla huolimattomuus tai puhdas vahinko. Tästä syystä työssä ei saisi koskaan olla niin kiire, että tietoturvasta ei ehditä huolehtia. Perehdytyksen lisäksi tietosuojariskien hallinnassa korostuukin ihmisten hyvinvoinnista ja sujuvan työn edellytyksistä huolehtiminen. Lisäksi tärkeää on se, kuinka yrityksen johto suhtautuu tiedonkäsittelyn vaatimuksiin. Organisaatiossa vallitseva kulttuuri ja asenneilmapiiri määrittävät hyvin pitkälle sitä, pidetäänkö GDPR:n vaatimuksia tärkeinä, vai pahimmassa tapauksessa jopa turhana EU-byrokratiana.

Huolellisuudesta ja riittävästä osaamisesta huolimatta virheitä joskus sattuu. Näihin tilanteisiin on pystyttävä reagoimaan nopeasti ja lain vaatimusten mukaisesti (Tietoturvaloukkaukset n.d.; Ilmoitus tietoturvaloukkauksesta n.d.). Jotta tietosuojan vaarantuminen tulisi ilmi ja siihen voidaan reagoida, työntekijän tulee voida ja uskaltaa kertoa tapahtuneesta virheestä esihenkilölleen. Työyhteisön avoin ja luottamuksellinen ilmapiiri on lopulta se tekijä, joka turvaa näihin tilanteisiin puuttumisen ja oikea-aikaisen reagoinnin. Ja mikä parasta, hyvinvoiva, tunneilmastoltaan luottamuksellinen työyhteisö on usein myös paikka, jossa osaamista ja vinkkejä jaetaan mielellään muille. Näin digiosaamisvajeesta johtuvia riskejä ei pääse yhtä helposti syntymäänkään.

Lue lisää tietosuojasta:

Euroopan unionin virallinen verkkosivusto: Yleinen tietosuoja-asetus (GDPR) – Your Europe (europa.eu)

Tietosuojavaltuutetun toimisto: https://tietosuoja.fi/

Satu Honkanen Jamk

Kirjoittaja: Satu Honkanen työskentelee DigiKyky-projektissa projektisihteerinä. Hän on henkilöstöasiantuntijuuteen suuntautunut liiketalouden tradenomi, jonka erityisinä mielenkiinnon kohteina ovat henkilöstön hyvinvointi, johtamisen kehittäminen sekä nykyaikaiset digitaaliset ratkaisut sujuvan työn ja osaamisen kehittämisen tukena.

Artikkelin pääkuva: Pixabay
Kirjoittajan kuva: Mari Varonen, Jamk

DigiKyky – Digitaalinen kyvykkyys pk-yrityksen kilpailukyvyn parantajana -projektissa lisätään yritysten kilpailukykyä parantamalla niiden henkilöstön osaamistasoa digitaalisten palveluiden ja järjestelmien käytössä. Projektin toteutusaika on 1.11.2021–31.8.2023. Projektin toteutuksesta vastaa Jyväskylän ammattikorkeakoulu. Projekti rahoitetaan Euroopan Unionin sosiaalirahastosta. REACT-EU-hankkeet rahoitetaan osana Euroopan unionin COVID-19-pandemian johdosta toteuttamia toimia.

Lue lisää projektista: jamk.fi/digikyky

Rahoittajalogot Euroopan unioni/Euroopan sosiaalirahasto, Vipuvoimaa EU:lta ja Jyväskylän ammattikorkeakoulu

Lähteet:

Henkilötietojen käsittelijän velvollisuudet. N.d. Tietosuojavaltuutetun toimiston verkkosivut. Viitattu 11.4.2022. https://tietosuoja.fi/henkilotietojen-kasittelijan-velvollisuudet.

Ilmoitus tietoturvaloukkauksesta. N.d. Tietosuojavaltuutetun toimiston verkkosivut. Viitattu 11.4.2022. https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta.

Kivikoski, J. & Kauppinen, T. 2021. Pk-yritysten opit digitalisaatiosta 2020. Viitattu 8.4.2022. https://www.yrittajat.fi//data/wordpress/htdocs/wp-content/uploads/2021/09/tutkimus_pk_yritysten_digitalisaatiosta_2020-1.pdf.

Laakko, H. 2017. EU:n tietosuoja-asetus koskee kaikkia yrityksiä – Aloita valmistautuminen viimeistään nyt. Uutinen Yrittäjät.fi -sivustolla. Viitattu 28.3.2022. EU:n tietosuoja-asetus koskee kaikkia yrityksiä – Aloita valmistautuminen viimeistään nyt – Yrittajat.fi.

Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon? N.d. Tietosuojavaltuutetun toimiston verkkosivut. Viitattu 8.4.2022. https://tietosuoja.fi/usein-kysyttya-tietosuojavastaavista.

Tietoturvaloukkaukset. N.d. Tietosuojavaltuutetun toimiston verkkosivut. Viitattu 8.3.2022. https://tietosuoja.fi/tietoturvaloukkaukset.

Usein kysyttyä EU:n tietosuoja-asetuksesta. N.d. Tietosuojavaltuutetun toimiston verkkosivut. Viitattu 8.3.2022. https://tietosuoja.fi/GDPR.