Oletko huomannut, että tietoturvan ja tietosuojan välillä on jännite? Se on sellainen jännite, joka piiloutuu syvälle tietoturva- ja tietosuojatyön ytimeen.
Ihmisten puheissa, käsitteellisellä tasolla ja lainsäädännössä tietoturva ja tietosuoja pelaavat samaa peliä. Mutta käytännön työssä tuo jännite vaikuttaa. Se vaikuttaa niin, että pahimmassa tapauksessa tietoturvan ja tietosuojan yhteistyö kärsii.
Tietoturva ja tietosuoja ovat liian tärkeitä aiheita, jotta niillä olisi varaa kaatua huonoon yhteistyöhön!
Mistä tietoturvan ja tietosuojan välinen jännite muodostuu?
Jännite muodostuu hiljalleen kolmesta eri asiasta:
- Tehtävien lähtökohdat ja luonne
- Tietosuojavastaavan ja tietoturvapäällikön roolit
- Ihmisten ajatukset ja toiminta
Tarkastellaan näitä kolmea asiaa erikseen.
Tehtävien lähtökohdat ja luonne:
Tietoturvalla ja tietosuojalla on yhteinen intressi, henkilötietojen suojaaminen. Siitä huolimatta lähtökohdat käytännön työhön poikkeavat merkittävästi. Ääripäiden kautta tarkasteltuna lähtökohdat ovat seuraavat:
Tietosuoja: käsitellään mahdollisimman vähän tietoa, jotta noudatamme tietosuojan perusperiaatteita.
Tietoturva: käsitellään mahdollisimman paljon tietoa, jotta meillä on laaja näkyvyys ja toimintakyky tiedon turvaamiseksi.
Tämä lähtökohta aiheuttaa jännitteen tehtävien välille.
Esimerkkinä tietoturvan valvonta:
Organisaation tietoturvallisuuden valvonta edellyttää kattavaa näkymää laitteisiin ja muuhun IT-ympäristöön. Pitää tietää mitä laitteilla ja järjestelmissä tapahtuu, onko ne päivitettyjä, kuka niitä käyttää, mistä sijainnista, millaisia toimenpiteitä järjestelmissä tapahtuu jne. Jotta voimme toteuttaa tietoturvaa, haluamme mahdollisimman paljon tietoa monesta asiasta. Myös ihmisten toiminnasta. Kuka teki, mitä teki, koska teki?
Tietosuojavastaavan ja tietoturvapäällikön roolit
Molemmat ovat oman alansa asiantuntijoita, ja molempien tehtäviin kuuluu tiettyjä asioita.
Siinä missä tietoturvapäällikkö toteuttaa organisaation edellyttämiä tehtäviä, tietosuojavastaava puolestaan toteuttaa lakisääteisiä tehtäviään, kuten valvoo tietosuojan toteutumista.
Tietosuojavastaavan tehtävänä on valvoa myös tietoturvapäällikön toimintaa.
Tämä aiheuttaa jännitteen tehtävien välille.
Tutustu myös erilliseen blogipostaukseen Tietoturvapäällikön ja tietosuojavastaavan tehtävien vertailua
Jos toimit tietoturvatehtävissä ja haluat tietää enemmän tietosuojasta, lataa Tietoturvapäällikön tietosuojaopas.
Ihmisten ajatukset ja toiminta
Lähtökohta on se, että ihmiset haluavat tehdä työnsä hyvin.
Tietosuojan parissa työskenteleville se tarkoittaa, että noudatetaan vaatimuksia, tietosuojaperiaatteita, tiedon minimointia ja muita tietosuojan kannalta olennaisia asioita. Tietoturvan parissa työskentelevät ovat suojaamassa tietoja ja tietojärjestelmiä rikollisilta, tiedon tuhoutumiselta ja muilta uhkilta.
Tietysti molemmat osapuolet haluavat tehdä työnsä hyvin.
Tietysti molemmat haluavat suojata tietoja.
Mutta se edellyttää, että molemmat osapuolet tuntevat myös toisen osapuolen pelikentän ja vaatimukset. Tietoturvatyössä tulee myös noudattaa lakia. Tietosuojatyö on muutakin kuin lakia ja periaatteita.
Jos toista osapuolta ei ymmärrä, ollaan helposti ikävässä tilanteessa. Vastakkainasettelu, jossa on me ja ne. Toinen osapuoli nähdään hidasteena tai esteenä omalle tekemiselle. Tämä jos mikä, luo jännitettä ja ajaa osapuolia erilleen. Ei hyvä!
Miten tietoturvan ja tietosuojan yhteistyö onnistuu?
Ratkaisut löytyvät sieltä, missä jännitteitä muodostuu. Meillä ihmisillä on avainrooli jännitteiden purkamisessa.
Onnistunut tietoturva- ja tietosuojatyö edellyttää yhteistyötä. Se edellyttää, että ymmärrämme yhdessä sekä tietoturvan että tietosuojan laajuuden ja monimutkaisuuden. Ymmärrämme myös toisen tehtävää: tiedämme mitä siihen kuuluu – ja mitä ei kuulu.
Onnistunut yhteistyö edellyttää keskusteluyhteyttä. Avaa keskustelu toisen osapuolen edustajien kanssa. Tarkastele myös omaa ajatteluasi, näetkö toisessa vastustajan?
Ja lopuksi unohda osapuolet. Meillä on yhteinen intressi, jota tehdään yhdessä.
Nämä aiheet ovat liian tärkeitä, jotta ne voisi kaatua huonoon yhteistyöhön!
Teksti perustuu esitykseeni Kansainvälisen tietosuojapäivän etkot -webinaarissa 27.1.2026.
Vastaa