Syyllinen kunnes toisin todistat – riskien arviointi pakolliseksi kaikille

Mitä tekisit, jos poliisi pysäyttäisi sinut tien viereen ja vaatisi sinua todistamaan, että ajoit töistä kotiin tieliikennelain mukaan? Ja ellet pystyisi todistamaan, asialla olisi seurauksia…?

Näin on käytännössä tietosuoja-asetuksen kanssa. Asetukseen sisäänrakennettu rekisterinpitäjän osoitusvelvollisuus on juuri tätä. Jokaisen rekisterinpitäjän on kyettävä osoittamaan, että asetusvelvoitteita on noudatettu. Lähtien ihan tietosuojariskien arvioinnista aina kontrollikeinojen toteuttamiseen.
 
Tietosuojavaltuutettu Reijo Aarnio totesi Kyberturvallisuuspäivillä 11.10.2017 puheenvuorossaan, että  kun jotain menee tietosuojan kanssa pieleen, tulee ensimmäinen kysymys olemaan “Miten arvioitte tietosuojaanne kohdistuvat riskit? Ja miten tämä tapahtuma oli ennalta huomioitu?” Organisaation on kyettävä perustelemaan, miten toteutunut riski on tunnistettu, miten siihen on varauduttu ja miksi se siitä huolimatta pääsi toteutumaan. Ellei tätä työtä ole tehty, on kyse asetuksen laiminlyönnistä. Siis laista piittaamattomuudesta.
 
Tietosuoja-asetus on siitä kummallinen laki, että se pakottaa organisaatiot toimimaan laadukkaasti, hyvin ja tehokkaasti. Sitähän moni toki tavoittelee, mutta suurin osa haluaisi sen ilmaiseksi. Mutta jos haluat hyvin toimivan organisaation, sen laadun hallintaan on kiinnitettävä huomiota. Riskit on tunnistettava, niihin on varauduttava, varautumista on suunniteltava ja toteutukset on tehtävä. Kun se tehdään hyvin ja dokumentoidusti, tulee samalla noudattaneeksi lakia. Mutta tietosuoja-asetus -valmiutta ei voi ostaa paketissa. Niinkuin ei sitä valmista täydellistä yritystäkään.
 
Tie menestykseen vaatii työtä. Tietosuoja-asetus kannattaa ottaa mahdollisuutena viimein ja vihdoin laittaa tietyt asiat kuntoon, eikä seilata pelkästään tuurilla.
 
Tietosuojavastaava, Jari Ala-Varvi, Opsec Oy