Tietosuojatyökalun kehittäminen käyntiin pk-yritysten kanssa

GDPR2DSM-hankkeessa kehitetään verkossa avoimesti käytettävissä oleva työkalu, jonka avulla pk-yritykset voivat kasvattaa tietosuojaosaamistaan, arvioida käytäntöjensä nykytilaa sekä saada tämän pohjalta vinkkejä tietosuojansa kehittämiseen. Työkalun yhteiskehittäminen käynnistyi kesäkuussa yhteisessä työpajassa 30 osallistujan voimin.

Työpajassa esitelty tietosuojatyökalun toimintaa esittelevä kaavio, jota osallistujat pääsivät kommentoimaan.

Osaamisen arviointia lähtötasotestillä 

Tietosuojatyökalu on suunnattu erityisesti henkilöille, jotka vastaavat tietosuojasta pk-yrityksessä. Työkalun on ajateltu toimivan siten, että käyttäjä voi aluksi tehdä vapaavalintaisen lähtötasotestin, johon hän vastaa oman osaamisensa ja yrityksen tietosuojatilanteen pohjalta. Lähtötasotestin osoittama osaamistaso vaikuttaa myöhemmin siihen, minkä tasoisia kysymyksiä vastaajalle esitetään työkalussa. Lähtötasotestin voi myös jättää tekemättä, jolloin oman osaamistason voi valita itse.  

Työpajassa lähtötasotestin ideaa pidettiin yleisesti hyvänä. Aivan alkuun toivottiin kuitenkin henkilötiedon ja rekisterinpitäjän kaltaisten peruskäsitteiden selventämistä, jotta lähtötasotestiin vastaaminen on kaikille mahdollista. Toisaalta keskusteluissa todettiin, että puutteet käsitteiden ymmärtämisessä kertovat jo itsessään jotain vastaajan osaamistasosta. Lähtötasotestiin toivottiinkin ”en ymmärrä”-vastausvaihtoehtoa.  

Lähtötasotestin kysymyksiltä toivottiin konkretiaa, jotta niihin olisi helppoa vastata. Esimerkiksi remonttiyrityksen toimintaan liittyvä lähtötasotestin kysymys sai kiitosta. Toisaalta pohdittiin, että kysymys voi tuntua vieraalta, jos vastaaja ei ole kyseiseltä toimialalta. Toimialakohtaiset kysymykset tekisivät vastaamisesta mielekästä kaikille, mutta toisaalta kaikkien toimialojen kattaminen lähtötasotestissä ei ole mahdollista. 

Oman roolin valinta 

Tietosuoja-asetus asettaa erilaisia velvoitteita riippuen siitä, toimiiko yritys rekisterinpitäjänä, henkilötietojen käsittelijänä vai yhteisrekisterinpitäjänä. Lähtötasotestin jälkeen käyttäjä valitsee oman roolin, jonka näkökulmasta hän pääsee vastaamaan kysymyspatteriston kysymyksiin.  

Työpajassa nostettiin esiin, että oman roolin tunnistaminen voi olla hankalaa, koska se jo itsessään vaatisi osaamista tietosuojan suhteen. Ennen roolin valintaa tietosuojatyökalun tulee tarjota lisätietoa eri roolien merkityksestä.  Eri roolit tulee siis kirjoittaa selkeästi auki esimerkkien kautta. Yrityksellä on usein myös monta erilaista roolia tietosuoja-asetuksen näkökulmasta: yritys saattaa olla esimerkiksi rekisterinpitäjä oman henkilöstön suuntaan, mutta henkilötietojen käsittelijä asiakkaiden suuntaan. Näin ollen yritys joutuu valitsemaan tietyn roolin, jonka näkökulmasta hän kysymyksiin vastaa. Tietosuojatyökalun kysymyksiin voi onneksi vastata useasti eri näkökulmista, jolloin tietosuojan kokonaisuudesta saa selkeämmän kuvan. 

Yrityksen tietosuojatilanne 

Lähtötasotestin ja roolin valitsemisen jälkeen käyttäjä vastaa yrityksensä tilanteen pohjalta kysymyspatteristoon. Kysymyspatteriston kysymykset vaihtelevat sen mukaan, mikä on yrityksen lähtötaso ja rooli. Kysymyspatteristo on tietosuojatyökalun ydin ja sen tavoitteena on kartoittaa sitä, missä määrin yritys toimii tietosuoja-asetuksen vaatimusten mukaisesti. Kysymyksenä voi olla esimerkiksi “Onko yrityksessänne tunnistettu tietojen maantieteelliset käsittelysijainnit, mukaan lukien mahdolliset siirrot EU/ETA ulkopuolelle?”. 

Kysymyspatteriston laajuus herätti keskustelua työpajassa. Toisaalta toivottiin laajaa kysymyspatteristoa, joka pystyisi pureutumaan haasteisiin yksityiskohtaisella tasolla. Toisaalta ajateltiin, että jos yritys esimerkiksi vastaa siirtävänsä tietoa EU/ETA-alueiden ulkopuolelle, voisi heille ilmestyä tarkentavia lisäkysymyksiä – näin kysymykset olisivat entistä kohdennetumpia eikä kaikkien olisi välttämätöntä vastata kaikkiin kysymyksiin samalla tarkkuudella. 
 
Työpajassa toiveena oli, että kysymyksissä olisi aina vastausvaihtoehto “En tiedä”, johon vastaamalla saisi seuraavassa vaiheessa lisätietoa kysymyksiin liittyen. Ylipäätään kysymyksiin toivottiin lisätietoa-painiketta, joka konkretisoi kysymystä esimerkin kautta. Saimme myös todella paljon kehitysehdotuksia yksittäisiin kysymyksiin liittyen. Nämä kehitysideat ovat todella arvokkaita kehitysprosessin aikana!

Raportti ja jatkosuositukset

Vastaamisen jälkeen tietosuojatyökalun on tarkoituksena tuottaa raportti, joka sisältää suosituksia yrityksen tietosuojan kehittämiseksi. Suositukset sisältävät myös linkkejä tietolähteisiin, joista asiaan voi tutustua lisää.  

Työpajassa raportin toivottiin olevan konkreettinen, “tee ainakin nämä asiat” -tyylinen tarkistuslista. Lakijargonia tulisi välttää, mutta toisaalta asiantuntijoille toivottiin viittauksia lakitekstiin, jotta yhteys lainsäädäntöön tulisi selväksi. Myös raporttiin toivottiin runsaasti konkreettisia esimerkkejä ja visuaalisuutta. Raportin toivottiin myös antavan arvioita erilaisista riskeistä, joita tietosuojan puutteisiin liittyy. 

Tietosuojatyökalun kehitys jatkuu 

Kehitämme tietosuojatyökalusta ensimmäisen version saamamme palautteen pohjalta. Yhteiskehittäminen jatkuu 28.10. järjestettävässä työpajassa. Jos sinulla on ideoita tietosuojatyökalun kehittämiseen jo ennen työpajaa, voit olla yhteydessä TIEKEn Timo Simelliin, timo.simell@tieke.fi.

Tavoitteena on, että työkalu olisi avoimesti pk-yritysten käytettävissä hankkeen päättyessä vuoden 2022 loppuun mennessä. Työkalu toteutetaan avoimeen lähdekoodiin perustuvalla ratkaisulla, mikä mahdollistaa sen vapaan jatkokehittämisen. Työkalu käännetään ruotsin ja englannin kielelle, mikä mahdollistaa sen hyödyntämisen myös muissa EU-maissa.  

Haluamme kiittää vielä kaikkia työpajaan osallistuneita rakentavista ideoista ja ajasta, jonka kehittämiseen käytitte. Yhteiskehittäminen jatkuu, ja tavoitteena on kehittää aidosti pk-yritysten tarpeita palveleva avoin tietosuojatyökalu! 

Tämän julkaisun sisältö edustaa vain kirjoittajan näkemyksiä ja tekijä on niistä yksin vastuussa. Euroopan komissio ei ole vastuussa tämän julkaisun sisältämän aineiston käytöstä.