Yhtymähallitus, kokous 9.3.2021

§ 27 Tietosuojan vuosiraportti 2019-2020

KEUDno-2021-3691

Valmistelija

  • Erja Heikkinen, tietosuojavastaava, erja.heikkinen@keusote.fi

Perustelut

Tietosuojasta säädetään EU-yleisessä tietosuoja-asetuksessa (679/2016) ja sitä täydennetään kansallisella tietosuojalailla (1050/2018). 

Hallintosäännön mukaan yhtymähallitus toimii tietosuoja-asetuksen 4 artiklan 7 kohdan tarkoittamana rekisterinpitäjänä ja vastaa siitä, että kuntayhtymä täyttää tietosuojalainsäädännön velvoitteet ja valvoo niiden toteutumista. Kuntayhtymän johdolla on puolestaan vastuu toiminnan lainmukaisuudesta henkilötietojen käsittelyssä. Tietosuojasäännösten noudattaminen on aina rekisterinpitäjän ja/tai henkilötietojen käsittelijän vastuulla. 

EU-tietosuoja-asetus perustuu riskilähtöiseen lähestymistapaan ja rekisterinpitäjän tulee huolehtia siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjää koskee osoitusvelvollisuus, mikä tarkoittaa käytännössä sitä, että sen on pystyttävä myös osoittamaan, että tietosuojaperiaatteita noudatetaan ja miten ne toteutuvat omassa toiminnassa. Periaatteiden noudattamisen osoittaminen edellyttää rekisterinpitäjältä mm. henkilötietojen aiempaa tarkempaa suunnitelmaa ja dokumentointia.

Erityisesti, kun organisaatio käsittelee korkeamman riskin, kuten salassa pidettävien sosiaali- ja terveydenhuollon henkilötietoja tai erityisiä henkilötietoryhmiä (mm. terveyttä koskevat tiedot) tai heikommassa asemassa olevien tai erityisiä henkilötietoryhmiin kuuluvien henkilöiden tietoja, kuten lasten, vanhusten tai työntekijöiden tietoja tulee organisaation toteuttaa suojatoimet henkilötietojen käsittelystä korkealla prioriteetilla. Arvioinnissa tulee kiinnittää huomiota siihen, millaisia riskejä tietojen käsittelystä voi aiheutua rekisteröidylle.

EU-asetus säätää (artikla 35) velvoitteen vaikutusten ja riskien arviointiin (DPIA): jos tietyntyyppinen käsittely etenkin uuttaa teknologiaa käytettäessä todennäköisesti aiheuttaa luonnollisen henkilön oikeuksille ja vapauksille korkean riskin, rekisterinpitäjän tulee jo ennen käsittelyä toteuttaa arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Tässä arvioinnissa rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta. 

Tietosuojavastaavan tehtävistä ja asemasta säädetään asetuksen 38 ja 39 artikloissa. Tietosuojavastavan tulee raportoida rekisterinpitäjälle ja ylimmälle johdolle tietosuojan tilasta ja toimenpiteistä. 

Vuoden 2020 tietosuojan keskeiset havainnot (Top 5): 

TOP 1: Tietosuojan merkitys ja rooli on noussut merkittävästi GDPR voimaantulon jälkeen

  • Selkeästi kasvaneet tietopyyntöjen määrät ovat merkki tarpeesta rekisteröityjen tietää omien tietojen käsittelyn tilanne sekä tarve tietää, mitä minusta on tallennettu meidän järjestelmiin ja rekistereihin ja onko näiden tietojen käyttö ollut lain mukaista ja asiallista.
  • Myös kasvaneet henkilöstön kysymysten ja sähköpostien määrät osoittavat joko tarvetta varmistaa omia menettelyjä tai se osoittaa huolta siitä, onko tietosuoja riittävästi otettu huomioon toiminnassa. 
  • Myös lakiavulle tietosuoja-asioissa, henkilötietojen käsittelyssä ja erityisesti tietojen luovuttamisessa, on selvästi lisääntynyt tarve.
  • Sekä työntekijöiden että asiakkaiden tarve olla yhteydessä tietosuojaan ja saada asiantuntevaa apua, lisää tietosuojan resurssien riittävyyden tarkastelun  tarvetta.

 

TOP 2: Riskien ennakollinen hallinta on keskeinen toimenpide – onko tilannekuva selvä

  • HaiPron kautta tehdyt ilmoitukset ovat osa tietosuojariskien tunnistamista. Nämä ilmoitukset osoittavat arkielämän realiteetin mahdollistavan erilaiset riskit ja niiden toteutumisen. Kasvua edelliseen vuoteen on selvästi ja se osoittaa riskienhallinnan entistä tärkemmäksi prosessiksi ja yhteistyön osa-alueeksi.
  • Vaikutusten arvioinnit (DPIA) ovat alussa ja tarvitaan edelleen vahvaa yhteistyötä, jotta riskien arvioinnit kehitystyössä, järjestelmissä ja jo hankintavaiheessa tulee tehtyä, aina silloin kun käsitellään henkilötietoja.
  • Tietosuojan riskienarvioinnin ja hallinnan suunnitelman työstäminen osaksi Keusoten turvallisuus- ja riskienhallintapolitiikkaa

 

TOP 3:  Ihminen on keskiössä – varmistammeko heikoimmankin lenkin osaamisen

  • HaiPro-raporit osoittavat osaamisen puutteesta tulevat virheet, vaaralle altistavat työtavat sekä ettei välttämättä opita tehdyistä virheistä. 
  • Samalla raporti kertovat, että työskennellään aikapaineessa ja suuressa työkuormassa. Tämä selvästi lisää riskejä.
  • Samoin koetaan, että useiden käytössä olevien järjestelmien käytettävyys on huono. Työntekijän ei pitäisi olla tilanteessa, jossa se ei voi luottaa oletusarvoiseen tietosuojaan, myös järjestelmiä käyttäessä.
  • Tietosuojaosaamiseen tulee kiinnittää edelleen huomiota. Tietosuoja on tarjonnut jo kahden vuoden ajan merkittävän määrän koulutusta useista eri tietosuojan osa-alueista. Osallistujamäärät eivät ole kuitenkaan olleet vuodessa kovin suuria henkilökuntamäärään nähden. 
  • Tietosuoja tarjoaa LaaS-palvelun kautta vuoden 2021 alusta myös täsmä koulutusta ja lyhyitä infoja Teamsin kautta.

 

 

TOP 4: Tietosuoja ja tietoturvan toimivuus - varmistammeko säännöllisesti

  • Keusote on harjoitellut varautumista kahden vuoden aikana ns. Taisto-harjoituksessa. Osaammeko uhan tai ongelman sattuessa soveltaa osaamamme käytäntöön? 
  • Turvallisuuden kokonaisroolin tulee kasvaa merkittävästi, jotta myös tiesuoja voi vahvistua. Myös muut kuin tietosuojariskit koko organisaatiossa tulee tunnistaa, jota kautta myös tietosuojan toteutuminen varmentuu.

 

TOP 5: Yhteistyökumppanit – hallitsemmeko rekisterinpitäjän velvollisuuden yhteistyössä

  • Rekisterinpitäjä vastaa yhteistyökumppaneiden toiminnasta ja vaatimuksista
  • Rekisterinpidon vastuuta emme voi ulkoistaa.
  • Rekisterinpitäjän velvollisuuksiin kuuluu valita vain sellaisia kumppaneita tai henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta.
  • Rekisterinpitäjän tulee varmistaa, että henkilöt, joilla on pääsy henkilötietoihin, käsittelevät niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti. 
  • Hankinnoissa henkilötietojen käsittelysopimus liitteineen konkretisoi tietosuojan vaatimukset henkilötietojen käsittelijöille ja kuvaavat rekisteripitäjän tahtotilan kirjallisesti. Nämä liitteet on aina liitettävä osaksi uusia sopimuksia, kuten myös vanhat sopimukset tulee saattaa tältä osin vaadittavalle tasolle.

Ehdotus

Esittelijä

  • Tiina Salminen, palvelujohtaja, tiina.salminen@keusote.fi

Kuntayhtymän hallitus hyväksyy ja merkitsee tiedoksi Tietosuojan vuoden 2019-2020 vuosiraportin.

Päätös

Tietosuojavastaava Erja Heikkinen esitteli asiaa kokouksessa.

Hyväksyttiin esityksen mukaan.