Tapahtumien tietosuoja – 11 kysymystä suunnittelun avuksi

Tapahtumien tietosuoja muodostuu monesta asiasta. Suunnitelmallisuus on tärkeää, sillä iso osa tapahtuman tietosuojatyöstä tehdään jo ennen ilmoittautumisen avaamista. Suunnittele tapahtumien tietosuoja seuraavien kysymysten avulla:

  1. Miksi tapahtuman järjestäminen vaatii henkilötietojen käsittelyä?
  2. Mitä tietoja oikeasti tarvitaan?
  3. Millaista oheistoimintaa tapahtumassa järjestetään ja käsitelläänkö siinä henkilötietoja?
  4. Miten osallistujien tietoja halutaan hyödyntää myöhemmin?
  5. Miten ulkopuolisia palveluntarjoajia hyödynnetään tapahtuman järjestämisessä?
  6. Millaisia valokuvia tapahtumassa otetaan ja missä niitä julkaistaan?
  7. Mille tahoille osallistujien tietoja luovutetaan?
  8. Miten tapahtuman materiaalit lähetetään osallistujille?
  9. Miten ja minne tarpeelliset tiedot otetaan talteen?
  10. Mitä muille tiedoille tehdään tapahtuman jälkeen?
  11. Missä osallistujalle kerrotaan henkilötietojen käsittelystä?

Aihetta on käsitelty laajemmin Talk-verkkolehdessä: Tietosuoja tapahtumissa – mitä pitää huomioida?

Tapahtumien tietosuojan suunnittelussa voi auttaa myös tietovirtojen kuvaaminen.

Tietovirtojen kuvaaminen – miksi se kannattaa tehdä?

Tietovirtojen kuvaaminen on toimenpide, joka auttaa organisaatiota ymmärtämään ja hallitsemaan tietojaan paremmin. Toimenpide auttaa myös EU:n tietosuoja-asetusten vaatimusten täyttämisessä.

Tarkoitus on, että yritys selvittäisi itselleen, miten sen hallussa olevat henkilötiedot kulkevat paikasta toiseen.

Monesti on niin, että jokin asia vaikuttaa täysin selkeältä… kunnes sen pistää paperille. Saan itseni kiinni tästä ajatusharhasta jatkuvasti. Tietojärjestelmäympäristöissä mikään ei ole niin, kuin ensin luulee olevan. Avaan ajatuksiani oheisten kuvioiden kautta.

Kuviossa 1 asiakas tekee tilauksen yrityksen verkkokaupassa. Tilauksen yhteydessä kysytään henkilötietoja, jotta tiedetään, mihin paketti toimitetaan. Kaupankäynnin jälkeen yritys lähettää vielä markkinointiviestintää asiakkaalle sähköpostitse.

Henkilötietoja menee siis verkkokauppaan, paketin toimittajalle ja sähköpostiin. Kohtuullisen yksinkertainen kokonaisuus, joka on helposti selitetty!

Kuvion 1 tietovirtojen kuvaaminen toi kuitenkin mieleen kaikenlaisia yksityiskohtia. Ne ovat seuraavassa kuviossa.

Kuviossa 2 on todellisuus. Verkkokauppasovellus käsittelee vain tilauksen ja tietojen siirron toimittajalle. Sen jälkeen tiedot siirtyvät yrityksen asiakkuudenhallintajärjestelmään (CRM). Uutiskirjeiden lähetyksessä puolestaan hyödynnetään erillistä palvelua. Tekninen kokonaisuus varmuuskopioidaan erilliseen paikkaan. Mikä tahansa kokonaisuuden osa on voitu tilata EU:n ulkopuolella toimivalta palveluntoimittajalta pilvipalveluna, joka puolestaan tuo kokonaisuuteen lisää huomioitavaa.

Tietovirtojen kuvaaminen auttoi hahmottamaan, ettei kyseessä ollutkaan ihan yksinkertainen kokonaisuus.

Henkilötietoinventaario – kaiken hyvän ja pahan alku

Henkilötietoinventaario on henkilötietojen käsittelyn kartoitus, jossa yritys selvittää, missä kaikkialla henkilötietoja käsitellään. Inventaario on kaiken hyvän ja pahan alku. Tieto todellakin lisää tuskaa, mutta samalla mahdollistaa asioiden kehittämisen.

Käytännössä yritysten ja organisaatioiden kannattaa tehdä henkilötietoinventaario, jotta ne pystyvät täyttämään EU:n tietosuoja-asetuksen vaatimukset. Henkilötietoinventaarion toteuttamisesta on kuitenkin muutakin hyötyä.

Suurin hyöty on tulokset, jotka kertovat, missä kaikkialla organisaatio käsittelee tietojaan. Inventaarion avulla saa näkymän omaan organisaatioon sekä sen toimintaan:

Nyt tiedät, mitä et tiennyt.

Näkymästä voidaan tuottaa osia, jotka hyödyttävät muita. Esimerkiksi yhdellä yleisdokumentilla voidaan osoittaa:

  • millaista henkilötietojen käsittelytoimintaa yrityksellä on,
  • mitä tietoja yritys käsittelee, ja
  • mihin tiedot on tallennettu.

Inventaarion tuloksista ilmenee, jos organisaatiossa on päällekkäisiä tietojenkäsittelytoimia. Esimerkiksi kahta eri järjestelmää käytetään yhden ja saman asian toteuttamiseen. Miksi maksaa molemmista?

Inventaarion tulokset auttavat priorisoimaan asioita. Esimerkiksi asiakasdata on olennaista yritykselle. Jos havaitaan, että asiakasdata on ripoteltuna ympäri levyalueita, pilvipalveluita ja vanhoja järjestelmiä, kannattaisi asialle varmasti tehdä jotain. Priorisoidaan tekeminen asiakasdatan keskittämiseen ja vanhojen järjestelmien hallittuun alasajoon sen sijaan, että puuhasteltaisiin jotain muka-olennaista.

Henkilötietoinventaariosta luvatut hyödyt nostavat intoa ja tuovat hymyn naamalle. Let’s do this! Inventaarion työmäärää ei kuitenkaan kannata aliarvioida. Keskisuurissa ja suurissa organisaatioissa naama palautuu peruslukemille hyvinkin nopeasti. Pienet yritykset pääsevät todennäköisesti vähemmällä.

Tuska paatissa muodostuu siitä, että tietoa on paljon. Valtavasti. Eri järjestelmissä. Eri tallennuspaikoissa. Kotimaassa. Ulkomailla. EU:ssa ja sen ulkopuolella. Omalla vastuulla. Muiden vastuulla. Kohta huomaa taas pyörivänsä GDPR:n kauhun kehässä!

Inventaario avaa silmät. Nyt pitää enää uskaltaa katsoa. Käännä katse tuskasta tulokseen. Kun hyväksyy sen, että kaikki ei ole täydellistä ja tekemistä riittää, voi tuloksia hyödyntää moneen asiaan.

Missä se GDPR:n lupaama kilpailuetu on?

EU:n tietosuojauudistuksen karu todellisuus: iso kasa ihmisiä tekee paljon hommia näkymättömän asian eteen. Ketään ei kiinnosta, bisnekset kärsivät, euroja kuluu ja työntekijät turhautuu. Vain siksi, että laki vaatii. Jos et tottele, iso käsi vie taskusta loputkin rahat.

Näinkin on asia koettu. Muutos tuntuu ikävältä.

EU toteutti uuden tietosuoja-asetuksen (GDPR), jotta henkilötietojen käsittelyyn saataisiin yhtenäiset säännöt koko unionin alueelle. Samalla haluttiin nostaa kansalaisten luottamusta digitaalisia palveluita kohtaan. Yrityksille uudistusta mainostettiin mahdollisuutena saavuttaa kilpailuetua.

Missä se luvattu kilpailuetu on?

Palveluntarjoajat, jotka pystyvät kertomaan, miten heidän tuotteensa helpottaa GDPR-vaatimusten täyttämistä, saavat varmasti kilpailuetua. Asiakasyrityksen on helpompi ostaa tuote tai palvelu, jossa tietoturva- ja tietosuojavaatimukset on huomioitu. Miksi lähtisin hankkimaan jotain, mikä ei täytä omia ja asiakkaideni vaatimuksia?

Yrittäjä, kun harkitset jonkun palvelun käyttöönottoa, tee seuraava testi. Mene palveluntuottajan www-sivuille ja etsi sieltä mainintoja palvelun tietosuojasta ja tietoturvasta. Vastaavasti voit etsiä netistä esimerkiksi ”palvelun nimi + tietosuoja” tms. Vertaile hakutuloksia. Huomaat varmasti, että osa huomioi tietosuojanäkökulmat paremmin kuin toiset. Kumpaan luotat enemmän?

Kilpailuetu käytännössä

Ohessa on muutama esimerkki, jossa tietosuojan kilpailuetu näkyy käytännössä.

Lyyti-palvelua voi käyttää tapahtumien ilmoittautumistietojen keruuseen. Lyyti on lisännyt palveluunsa toimintoja, jotka auttavat organisaatiota täyttämään GDPR:n vaatimukset. Lisäksi palvelun nettisivulla kerrotaan kattavasti ja opettavaisesti, miten eri toimintoja voidaan hyödyntää paremman tietosuojan toteuttamisessa. Organisaation näkökulmasta palvelu vaikuttaa hyvältä. Kuluttajana haluaisin myös suosia palveluita, jotka ottavat nämä asiat tosissaan.

WordPress on yksi suosituimmista ohjelmistoista koko internetissä. WordPressin yhteisö rakentaa sovellukseen toimintoja, joilla GDPR-vaatimuksia voidaan täyttää [1, 2]. WordPressiä hyödyntävät yritykset saavat tästä suoraan kilpailuetua, kun heidän ei tarvitse itse käyttää niin paljon resursseja toimintojen toteuttamiseen. Aika, raha ja ihmiset voidaan hyödyntää muualla.

Verkkokauppojen asiakkaana pyrin ostamaan tuotteita aina sellaisesta verkkokaupasta, johon luotan. Jos joudun hankkimaan tuotteita kokonaan uudesta kaupasta, haluaisin aina tietää edes jotakin verkkokaupan tietoturvasta ja tietosuojasta.

Kyllä, olen se henkilö, joka lukee teidän tietosuojaselosteenne… jos sellainen löytyy.

Verkkokaupan tulee siis herättää luottamusta. Aiheesta lisää esimerkiksi TIEKE:n julkaisusta Verkkokaupan luotettavuus. Verkkokauppa saa kilpailuetua, kun hoitaa tietosuojansa hyvin, ja kertoo sen.

Suurin kilpailuetu?

Mielestäni on olemassa vielä yksi iso asia, joka muuttuu kilpailueduksi vasta myöhemmin. Jos organisaatio ottaa tietosuojavaatimukset tosissaan, on organisaation tutkittava omaa toimintaansa. Näin ollen:

Suurin hyöty on itsensä tunteminen. Siitä kumpuaa kaikki muut mahdollisuudet.

Palataan asiaan…

Asennemuutos tietosuoja-asetuksen avulla?

Tietoturvan asennemuutos voidaan koittaa saavuttaa pakon ja kannustinten avulla. Jos laki pakottaa tiettyyn toimintaan tai rajoittaa käyttäytymistä, niin se voi johtaa myös käyttäytymistä koskevien asenteiden muutokseen. (Helkama ym. 2015, 203.)

Asennemuutos voi tapahtua myös ihmisen toiminnan kautta. Väitteessä on taustalla ns. kognitiivisen dissonanssin teoria. Teoriaan liittyy seuraava ajatusmalli:

Jos ihmisen tiedot ja teot ovat ristiriidassa, niin ihminen pyrkii pois tästä tilasta muuttamalla tietojaan, asenteitaan tai käyttäytymistään (Helkama ym. 2015, 360). Esimerkiksi työntekijä tietää, että pitäisi käyttää suojattuja tiedonsiirtomenetelmiä, mutta ei käytä. Tästä aiheutuu tunne väärästä toiminnasta. Työntekijä pyrkii korjaamaan tilanteen tai muulla tavalla oikeuttamaan toimintansa.

Aronson ja Mills (1959) tutkivat ajatusmallia käytännössä. Tutkimuksessa selvitettiin keskusteluryhmään liittyviä asenteita. Tulosten perusteella asenne ryhmää kohtaan muuttuu sitä myönteisemmäksi, mitä enemmän koettelemuksia ihminen joutuu läpikäymään päästäkseen ryhmän jäseneksi (Aronson & Mills 1959; Helkama ym. 2015, 204-205).

Tehdäänpä edellisistä tuloksista epätieteellinen maalaisjärkiyleistys: asenne asiaa kohtaan muuttuu myönteisemmäksi, jos henkilö joutuu tekemään paljon työtä asian saavuttamiseksi. Voisikohan tätä soveltaa esimerkiksi yrityksen sisäisissä tietoturvakoulutuksissa, joiden päätteeksi pidetään vaikea testi. Vaikean kokeen läpäiseminen nostaa myönteistä asennetta tietoturvaa kohtaan?

Tai jos työntekijä ymmärtää, että tietoturvallisilla toimintatavoilla voi olla suora yhteys yrityksen menestykseen, hän ei koe tietoturvallista toimintaa ongelmana tai taakkana*. Vaativat asiakkaat edellyttävät hyvää tietoturvan tasoa. Yritys saa enemmän tilauksia, koska asiakkaat arvostavat yrityksen tietoturvan tasoa. Tehdään siis tietoturvallista työtä, jolloin yrityksemme menestyy!

*Toisaalta, jos tietoturvallinen tapa tehdä töitä koetaan ongelmana tai taakkana, niin jossain muualla on isoja ongelmia.

Tietosuoja-asetus on mahdollisuus yrityksille ja asenteille

Mitenköhän ihmisten asenteet tietosuojaa ja tietoturvaa kohtaan tulevat muuttumaan EU:n tietosuoja-asetuksen (GDPR) myötä? Asetus kannustaa (asetuksen hyödyt) ja pakottaa (asetuksen sanktiot) yritykset huomioimaan tietosuojan päivittäisessä toiminnassaan. Mitä enemmän yrityksen työntekijät joutuvat näkemään vaivaa asetuksen vaatimusten täyttämiseksi, sitä myönteisemmäksi asenne tietosuojaa kohtaan muuttuu? Uskon, että asetus kokonaisuutena tulee vaikuttamaan positiivisesti yritysten työntekijöiden asenteisiin tietosuojaa ja tietoturvaa kohtaan, kunhan vaatimusten täyttämisen työtaakka ja koetut hyödyt ovat vähintään tasapainossa. Ensin pitäisi kuitenkin päästä ulos GDPR:n kauhun kehästä!


Tämä oli neljäs osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Viidennessä osassa kokoan yhteen oppimisprosessin aikana muodostuneita ajatuksia.

Lähteet
Aronson, E., Mills, J. 1959. The effect of severity of initiation on liking for a group. Journal of Abnormal and Social Psychology, 59(2), 177-181.
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Ajatusapua, lisää materiaalia ja lähteitä löytyy esimerkiksi Wikipediasta: https://en.wikipedia.org/wiki/Attitude_change#Cognitive_dissonance_theory https://en.wikipedia.org/wiki/Cognitive_dissonance