-osioon:
DALL-E:n näkemys tietosuojasta ja tietoturvasta hankinnoissa

Hankinnat, tietoturva ja tietosuoja

Tietoturva- ja tietosuojaihmisiä työllistävät hankinnat hyvin paljon. Melkein kaikkien palvelu- ja järjestelmähankintojen kohdalla tapahtuu henkilötietojen käsittelyä. Niitä joko siirretään suoraan palvelutoimittajalle käsiteltäviksi tai sitten palvelua tuotettaessa toinen osapuoli saa pääsyn organisaation henkilötietoihin. Järjestelmätoimituksissa – etenkin pilvipalveluissa – on lähes väistämätöntä, että henkilötiedot annetaan toiselle organisaatiolle ylläpidettäväksi ja säilytettäväksi. 

Ennen kuin päästään järjestelmän tai palvelun käyttöön, on monta asiaa tehtävänä. Ja kaikkihan muistavat jo osoitusvelvollisuuden? Kaikkien tehtävien tekeminen ja niiden tulokset ja havainnot on siis syytä kirjata ylös. Ensimmäinen tehtävä on varmistua siitä, että tietosuojaperiaatteet toteutuvat. Miten on varmistettu, ettei järjestelmä kerää liikaa tietoja tai ettei palvelutoimittaja säilö niitä liian pitkään? Ovatko kaikki käsiteltävät tiedot kohtuullisia ja rajoitettuja käsittelyn tarkoituksiin nähden?

Seuraavaksi tulee varmistua siitä, että ihmisille kuuluvien oikeuksien toteuttaminen on mahdollista. Voidaanko järjestelmästä poistaa henkilötietoja ja onko siihen ehkä käytössä helpottavaa automatiikkaa? Saadaanko tiedoista helposti kopioita, jos joku niitä pyytäisi? Pystyykö palvelun tarjoaja rajoittamaan tietojen käsittelyä ja entä jos joku vastustaisi tietojensa käsittelyä – miten asiat kommunikoidaan ja kenen vastuulle jää mitäkin? Nämä ovat myös hankinnan hintaan vaikuttavia asioita. Jos niistä peritään lisämaksuja tai asiat ovat vaikeita tehdä, nousevat myös hankinnan elinkaarikustannukset. 

No entä itse toimittaja sitten? Tietosuoja-asetuksen mukaan organisaatiot saavat käyttää vain sellaisia henkilötietojen käsittelyä suorittavia toimittajia, jotka voivat antaa riittävät takeet siitä, että lainsäädäntöä noudatetaan ja kaikkien oikeudet on huomioitu. Toimittajalta tarvitaan siis muutakin kuin Y-tunnus. Onko toimittajalla kuvauksia tietoturvan tasosta? Julkisia tietosuojaperiaatteita tai -raportteja? Onko heidän tietosuojaselosteensa ja palvelunsa uskottavia? Tulisiko toimittaja auditoida ainakin jollain kysymyspatteristolla ennen sopimuksen tekoa, että voitaisiin varmistua siitä, että he edes ymmärtävät tietosuojan merkityksen? Toimittajan tietoturvamenettelyiden auditointi on tarpeen siksikin, että kukaan ei halua tietoturvan tason laskevan toimitusketjussa ottamalla mukaan heikompi lenkki kuin itse on. 

Tässä vaiheessa vasta päästään sopimuksiin asti. Sopimuksella tulee toki olla kaikki tietosuoja-asetuksen vaatimat elementit, mutta itse tarkistaisin niiden lisäksi ainakin neljä asiaa. 

  1. Sitoutuuhan toimittaja todella käsittelemään henkilötietoja vain tilaajan lukuun, vai varaako se jotain omia käyttötarkoituksiaan sopimuksilla? 
  2. Sitoutuuko toimittaja olemaan siirtämättä tietoja ETA-alueen ulkopuolelle ja jos näin tekee, kenen vastuulla on kustannukset siirtoon liittyvistä arvioista? 
  3. Rajoittaako toimittaja kohtuuttomasti tilaajan oikeutta auditoida toimittajan toimintaa asettamalla kustannusvaatimuksia tai muita kohtuuttomia ehtoja? 
  4. Vahingonkorvausvastuu – jos toimittajan vastuut on merkittävällä tavalla rajattu, antaako se silloin riittävät takeet hyvästä tietosuojan tasosta? 

Kannattaa myös tarkistaa omat sopimukset. Jos oma organisaatio on sitoutunut sopimuksilla päämiestensä suuntaan tiettyyn tietoturvatasoon, varmistu, että nämä vaatimukset viety myös omille toimittajille.

Tilaajaorganisaatio on velvollinen ohjeistamaan henkilötietojen käsittelyn, jota sen lukuun tehdään. Lainsäädäntö ei tyhjentävästi avaa sitä, mitä tähän ohjeistamiseen tulee kuulua. Monesti erityisiä palveluita ostettaessa, ostetaan juuri sellaista käsittelyä, mitä ei itse osata. Esimerkiksi oma organisaationi ostaa palkkahallinnon palveluita siksi, että me emme osaa itse sitä tehdä riittävän hyvin. Tällaisessa tapauksessa ei luonnollisesti ole odotuskaan, että osaisin kertoa palkkahallinnon asiantuntijalle, miten hänen tulee työnsä tehdä. Monesti asia kääntyy niin päin, että toimittaja itse avaa riittävällä tavalla käsittelytoimintaansa, että tilaaja voi arvioida sen laatua ja päättää mikä taso on hyväksyttävä. Ja ainakin haluttu tietoturvan taso olisi hyvä ohjeistaa. Myös erityistilanteisiin on hyvä varautua – saako tuotantojärjestelmään tehdä tietoturvatestauksia tai ajaa sinne testaamattomia päivityksiä, miten toimitaan poikkeamatilanteissa, miten tietoihin pääsyä tulisi voida rajoittaa, jne.  

Vaikka tietosuojaa koskevaa vaikutustenarviointia ei tarvita, tulisi sen tekemättä jättämisestä olla perusteltu päätös, kuten olemme oppineet tähänastisesta sakotuskäytännöstä. Perustelematon, tekemättä jätetty vaikutustenarviointi voidaan katsoa laiminlyönniksi. Sen lisäksi kannattaa muistaa, että riskienarviointi on välttämätöntä myös silloin, kun systemaattisempaa tietosuojaa koskevaa vaikutustenarviointia ei tarvita. Hankinnan vaikutukset käsittelytoiminnan riskeihin on siis joka tapauksessa arvioitava jollain tavalla johtuen rekisterinpitäjän vastuusta ja sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksista.  

Ja kun hankinta on loppusuoralla, tulee siihen liittyen päivittää tiedot vielä niihin kahteen dokumenttiin, joita kaikilla on velvollisuus ylläpitää. 

  1. Käsittelytoimien selosteeseen
  2. Tietosuojaselosteille ja julkisiin ilmoituksiin

Melkein aina hankinnat vaikuttavat käsittelyyn tuomalla mukaan lisää toimittajia ja aiempaa laajemman toimitusketjun, usein jopa kansainvälisiä siirtoja. Myös käsitellyt henkilötiedot voivat muuttua, käsittelytoimia voi tulla lisää tai aiempia jäädä pois. Siksi hankintaprosessin tulisi aina käynnistää myös edellisten dokumenttien päivitysprosessin. 

Lopuksi vielä lista siitä, mitä kaikkea pitikään muistaa:

  1. Tietosuojaperiaatteiden toteutuminen
  2. Rekisteröityjen oikeuksien ja vapauksien suoja ja oikeuksien toteuttaminen
  3. Toimittajavalidointi
  4. Henkilötietojen käsittelysopimukset
  5. Rekisterinpitäjän ohjeet
  6. Yleinen riskiarvio tai tietosuojaa koskeva vaikutustenarviointi
  7. Käsittelytoimien selosteet
  8. Informointi

Ja että kaikki muistettaisiin, on tästä syytä tehdä yhtenäinen prosessiohje ja luoda sille menetelmät ja työvälineet ja kouluttaa ne. Samoin yksiselitteinen vastuuttaminen eri tehtävistä ja kuka niistä vastaa. Vasta muutaman kerran toistettuna siitä alkaa tulla automaatio, mutta sen jälkeen ei tarvitse enää stressata lainsäädännön noudattamisesta hankintojen osalta.