Blogi on kirjoitettu yhteistyössä Perhehoitoliiton ja Second Nature Security (2NS) Oy:n kanssa.
Perhehoitoliitto ja vaikutustenarviointi
Perhehoitoliitto (PHL; Perhehoidon puolesta – Perhehoitoliitto), kuten moni muukin organisaatio, on panostanut GDPR-normin voimaan tulon yhteydessä henkilötietojen käsittelyyn. Kuten monessa muussakin organisaatiossa, tämän asia oli jäänyt sivummalle päivittäisten kiireiden polttopisteestä.
2NS:n tietoturva- ja tietosuoja-asiantuntija, joka työnsä ohessa opiskelee Jyväskylän yliopistolla kyberturvamaisteriksi, päätyi opinnoissaan kurssille nimeltä Legal Aspects of Security and Privacy. Kurssilla käsitellään tietoturvan ja tietosuojan juridisia vaikutuksia. Kurssiin kuului myös harjoitustyö, johon 2NS:n asiantuntija etsi opiskelijakollegansa kanssa oikeaa kohdetta.
Perhehoitoliitto kiinnostui harjoitustyöstä, jossa kokeiltiin tietosuojavaltuutetun toimiston tarjoamaa uutta vaikutustenarvioinnin (DPIA) arviointilomaketta. Harjoitustyönä päätettiinkin tehdä vaikutustenarviointi Perhehoitoliiton ja sen jäsenyhdistysten jäsenrekisterille. Vaikutustenarvioinnin perusteella voitaisiin varmistua henkilötietojen käsittelyn oikeellisuudesta ja oikeasuhtaisuudesta, ja siitä, että jäsenrekisteriohjelmisto tukee henkilötietojen huolellista ja norminmukaista käsittelyä.
Vaikutustenarviointi tehtiin keväällä 2022, ja sen aikana huomattiin muun muassa, että jäsenrekisteriohjelmaan uusia toimintoja lisättäessä ei henkilötietojen käsittelyä ollut huomioitu riittävässä määrin. Lisäksi havaittiin, että käsittelysopimusten uudistamiselle on tarve, varsinkin kun sopimuksellinen tilanne ei ollut optimaalinen jäsentiedotuksen ja tiedonvaihdon kannalta.
Syyskampanja jatkaa työtä
Harjoitustyön aikaansaama heräte toi tietosuoja-asiat taas polttopisteeseen Perhehoitoliitossa. Liitto järjesti syksyllä 2022 tilaisuuden, jossa vaikutustenarvioinnista ja sen tuloksista kerrottiin jäsenyhdistyksille.
Parhaillaan Perhehoitoliitossa ja jäsenyhdistyksissä toteutetaan syyskampanjaa, jossa päivitetään rekisterin käsittely- ja tietosuojakuvauksia, tavoitteena tietojen ajan tasalle saattaminen. Lisäksi tehtävät muutokset mahdollistavat tehokkaamman tiedotuksen jäsenistölle.
Syyskampanja on suuri työ sekä Perhehoitoliitolle että jäsenyhdistyksille, mutta kantaa hedelmää myös siksi, että jäsenet voivat jatkossakin luottaa henkilötietojensa huolelliseen käsittelyyn sekä parempaan tiedonkulkuun.
Entistä sujuvampaa vaikutustenarviointia
2NS:n asiantuntija sekä hänen opiskelijakollegansa saivat hyviä ideoita Tietosuojavaltuutetun toimiston tarjoaman vaikutustenarviointilomakkeen toimivuudesta päästyään käyttämään sitä realistisessa käyttötilanteessa. Vaikutustenarvioinnin tekijät ovat myös iloisia siitä, että harjoitustyöstä oli käytännön hyötyä. Kuulumisia etenemisestä onkin vaihdettu vielä arvioinnin jälkeenkin. Myös 2NS:llä ollaan harjoitustyöhön tyytyväisiä; saatiin kokemuksia uuden tietosuojan vaikutustenarvioinnin mallipohjan käyttämisestä, kehitettiin arviointiprosessia, ja saatiin kokemuksia yhteistyöstä kolmannen sektorin kanssa.
Harjoitustyön myötä nousi jälleen kerran esille myös se, että vaikutustenarvioinnissa tulee huomioida myös henkilötietojen käsittelyn tekniset tukivälineet, eli ohjelmistot, ja niiden toiminnallisuus, ja eritoten käyttöönoton jälkeen kehitetty uusi toiminnallisuus. Nämä eivät aina tue optimaalisella tavalla henkilötietojen huolellista ja norminmukaista käsittelyä. Lisäksi uusia ominaisuuksia kehittäessä ei aina muisteta tarkastaa henkilötietojen turvaamista.
Lisäksi jälleen kerran tuli myös todennettua, että uudet ja ennalta suunnittelemattomat yhteistyömallit johtavat moniin hyviin tuloksiin. 2NS:ltä työhön osallistui Anne Honkaranta. Työssä oli mukana opiskelijakollegana ICT- ja tietoturva-alan asiantuntija Tiina Leppänen. Perhehoitoliitolta mukana oli toiminnanjohtaja sekä useita asiantuntijoita liiton toimistolta.
?
Vaikutustenarviointi on prosessi, jossa henkilötietojen käsittelyyn liittyviä riskejä tunnistetaan ja arvioidaan, ja riskien hallintakeinoja suunnitellaan. Vaikutustenarviointi auttaa rekisterinpitäjää tietosuojalainsäädännön noudattamisessa. Sen tekeminen on pakollista, jos käsittelystä voi aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille.