Tietosuoja turvaa luottamusta | Jari Ala-Varvi | Myrskynpitävä-podcast 4. jakso

Myrskynpitävä-podcastin neljännessä jaksossa Opsec Oy:n tietosuoja-asiantuntija Jari Ala-Varvi purkaa tietosuojan ja tietoturvan myytit. Jakso tarjoaa pk-yrityksille selkeän oppaan siihen, miten lainsäädännön vaatimukset käännetään aidoksi kilpailueduksi ja brändin suojaksi.

Monelle yrittäjälle termi tietosuoja tai GDPR tuo mieleen vain pakollisen paperisodan ja ankarat sanktiot. Todellisuudessa tietosuojassa ei ole kyse pelkästä juridiikasta tai it-järjestelmistä, vaan ihmisten perusoikeuksien suojaamisesta ja luottamuksen rakentamisesta.

1. Osoitusvelvollisuus – Ei riitä, että toimii oikein

Suomalaiset yritykset toimivat pääsääntöisesti rehellisesti ja laadukkaasti. Suurin kompastuskivi GDPR:n tulon jälkeen onkin ollut osoitusvelvollisuus.

• Mitä se tarkoittaa? Yrityksen on pystyttävä todistamaan ja dokumentoimaan, miksi ja miten henkilötietoja käsitellään.
• Vertaus arjesta: Kyse on samasta asiasta kuin elintarvikealan omavalvonnassa, jossa kylmäketjun toimivuus on pystyttävä osoittamaan kirjauksilla. Tietosuojassa yrityksen on pystyttävä näyttämään, että sen tietoketjut ovat turvallisia.

2. ”Ei meillä käsitellä henkilötietoja” – Yleisin harhaluulo

Yksikään yritys ei toimi tyhjiössä ilman ihmisiä. Henkilötietoa on kaikki sellaiseen tietoon liittyvä, josta yksilö on tunnistettavissa.

• Yrityksillä on aina työntekijöitä, sidosryhmiä, asiakasyritysten yhteyshenkilöitä ja käyttövaltuusrekistereitä.
• Jopa pelkkiä muttereita käsittelevässä toiminnanohjausjärjestelmässä (ERP) on henkilötietoa heti, kun työntekijä kirjautuu sinne omilla tunnuksillaan.
• Ratkaisu: Älä pyristele vastaan, vaan hyväksy, että henkilötietoa on kaikkialla. Luo yhdenmukaiset prosessit, niin arki rullaa dynaamisesti ja turvallisesti.

3. Tekoäly ja tietosuoja: Kysy oikea kysymys

• Väärä kysymys: ”Onko tämä tekoälyjärjestelmä turvallinen?”
• Oikea kysymys: ”Voinko käyttää tätä järjestelmää tähän tiettyyn käyttötarkoitukseen?”
• Mellastuksen esto: Älä päästä tekoälyagentteja hallitsemattomasti käsiksi yrityksen kaikkeen dataan. Jos oikeuksia ei rajata, kausityöntekijä tai ulkopuolinen urakoitsija saattaa päästä käsiksi yrityksen salaisiin liikevaihtoennusteisiin pelkästään tekoälyltä kysymällä.
• Tekoälylukutaito: Uusi lainsäädäntö vaatii organisaatioilta tekoälylukutaitoa. Se on työnantajan velvollisuus kouluttaa ja ohjeistaa työntekijät käyttämään tekoälyä oikein ja tietoturvallisesti.

4. Datan sijainti ja geopoliittiset riskit

Geopoliittinen tilanne on saanut yritykset havahtumaan siihen, missä heidän datansa fyysisesti sijaitsee. Täydellinen irtautuminen yhdysvaltalaisista jäteistä ei ole pk-yritykselle realistista, mutta riskienhallinta on.

• Tunnista kriittisin data, jota ilman liiketoiminta pysähtyy.
• Varmista datan saatavuus esimerkiksi paikallisilla varmuuskopioilla (backup) siltä varalta, että pääsy globaaleihin pilvipalveluihin estyisi tai merikaapelit katkeaisivat.

Opsec-prosessi: Kolme askelta turvallisempaan arkeen

Jari Ala-Varvi tiivistää turvallisuuden ja myrskynpitävyyden ytimen kolmeen peruskysymykseen, joiden pohtimiseen ei tarvita juristin tutkintoa:

1. Tunnista: Mikä tieto tai toiminto on yrityksellesi kaikkein tärkeintä? Mitä ilman et voi elää?
2. Analysoi: Mikä tätä tietoa uhkaa? (Uhkamallinnus)
3. Toteuta: Mitkä ovat ne konkreettiset kontrollit ja suojakeinot, joilla poistat tai minimoit riskit?

Kun tietoturva ja tietosuoja kulkevat samalla kaistalla, yritys välttää päällekkäisen työn ja rakentaa markkinoille vahvan luottamussuojan. Mainehaitta on usein taloudellista sakkoa huomattavasti vaikeampi korjata.

Usein kysytyt kysymykset (FAQ)

Mitä eroa on tietosuojalla ja tietoturvalla? Tietosuoja (Data Protection) on juridinen perusoikeus, joka määrittää miten ja millä oikeudella henkilötietoja saa käsitellä avoimesti ja reilusti. Tietoturva taas on se tekninen ja toiminnallinen keino (kuten salaukset, palomuurit ja ohjeistukset), jolla tietosuojaa ja yrityksen muuta dataa suojataan.

Kytkeytyykö NIS2-direktiivi tietosuojaan? Kyllä kytkeytyy. Vaikka NIS2-direktiivi keskittyy yrityksen toiminnan jatkuvuuden varmistamiseen ja huoltovarmuuteen, henkilötiedot liikkuvat osana yrityksen muuta datavirtaa. Toimiva tietoturva ja jatkuvuudenhallinta suojaavat samalla myös henkilötietoja.

Mitä tekoälylukutaito tarkoittaa käytännössä? Tekoälylukutaito tarkoittaa sitä, että organisaation työntekijät ymmärtävät käyttämiensä tekoälytyökalujen toimintalogiikan, kyvykkyydet ja riskit. Se on työnantajan velvollisuutta ohjeistaa, mitä dataa tekoälylle saa syöttää ja missä roolissa sitä käytetään.