Sisältöjulkaisija

Tietosuojavastaavat kaipaavat lisää työaikaa

Artikkeli - Ammattilaiset Kirjoitettu 30.7.2018 Kaikki artikkelit

Tietosuojatyön hoitamiseen suhtaudutaan vakavasti, mutta resurssit ovat liian pienet, sanoo Kanta-palvelujen tietosuojavastaava Tiina Apponen.

Alkuvuodesta tehtiin vuosittainen tietosuojakysely Kannan Resepti-palveluun liittyneille sosiaali- ja terveydenhuollon toimintayksiköille sekä apteekeille. Tietosuojatyötä pidetään organisaatioissa erittäin tärkeänä, mutta kyselyssä nousi vahvasti esiin se, että tietosuojavastaavilla on liian vähän aikaa tehtävän hoitamiseen.

 

"On mahtavaa huomata, että tietosuojatyötä pidetään erittäin tärkeänä organisaatioissa.  Valitettavasti varsinainen käytännön tekeminen saattaa jäädä resurssivajeen alle", toteaa Kanta-palvelujen tietosuojavastaava Tiina Apponen.

Työaika ei riitä tehtävän hoitamiseen

Jokaisessa Resepti-palveluun liittyneessä organisaatiossa on tietosuojavastaava, jonka tehtävä on seurata Reseptikeskukseen tallennettujen tietojen ja henkilötietojen käsittelyä. Harvasta organisaatiosta kuitenkaan löytyy tietosuojavastaavaa, joka voi toteuttaa tehtäväänsä päätoimisesti. Tietosuojakyselyn tuloksista ilmenee, että tietosuojavastaavaan tehtävää hoidetaan lähtökohtaisesti muun toiminnan ohella. Organisaatioissa voi olla myös epäselvyyksiä siinä, mitä tietosuojavastaavan tehtäviin kuuluu.

”Tietosuojavastaavan mahdollisuudet käyttää työaikaa tehtävän hoitamiseen ovat vähäisiä, ja kuitenkin tehtäväkenttä on laaja. Etenkin julkisella sektorilla on havaittu, että työaika ei riitä tehtävän hoitamiseen”, Tiina Apponen sanoo.

Miten tietosuojavastaavan työtilanne saadaan paremmaksi?

Tietosuojatyön onnistunut ja tuloksellinen organisointi vaatii ennen kaikkea johdon sitoutumista. Kun johto on sitoutunut organisaation tietosuojatyön organisointiin ja resursointiin, on tietosuojavastaavan tehtävän hoitaminen sujuvampaa. 

”Viime vuosina on keskitytty nostamaan johdon tietoisuutta siitä, että tietosuojavastaavan roolia toteuttava henkilö ei toimi johdon edustajana. Viesti on, että tietosuojavastaavalle tulee varata riittävästi aikaa tehtävää varten.”

Tietosuojakyselyn tulosten perusteella laaditaan toimenpide-ehdotuksia, joiden avulla voidaan tukea ja kehittää organisaatioiden tietosuojatyötä. Jokaiselle sektorille lähetetään kyselyn tuloksiin liittyen palautekirje, jossa ohjeistetaan miten esiin nousseisiin epäkohtiin voi vaikuttaa ja viedä organisaation tietosuojatyötä eteenpäin.

”Tietosuojakysely on paitsi valvonnan väline rekisterinpitäjälle, myös työväline organisaatioille heidän oman toimintansa kehittämiseksi tietosuojatyössä”, Tiina Apponen kertoo.

Dokumentaatiossa parantamisen varaa

Tietosuojakyselyssä käydään läpi tietosuojavastaavan tehtävänkuva, kirjalliset ohjeet ja niiden laatiminen, kirjallisten ohjeiden jalkauttaminen henkilökunnalle ja koulutus, Reseptikeskuksen tietojenkäsittelyn seuranta ja valvonta, omavalvontasuunnitelma ja suhtautumista tietosuoja-asioihin.

Omavalvontasuunnitelma on lain vaatimus, ja se onkin laadittu lähes poikkeuksetta kaikissa organisaatioissa. Omavalvontasuunnitelmaan koottujen ohjeiden ja dokumenttien avulla kehitetään, ylläpidetään ja seurataan organisaation tietoturvan ja tietosuojan toteutumista. Vastausten perusteella on kuitenkin havaittu, että vaikka omavalvontasuunnitelma on toteutettu, kaikkia omavalvontasuunnitelmaan kuuluvia kirjallisia ohjeita tai dokumentaatioita ei välttämättä ole laadittu. Omavalvontasuunnitelma vaatii jatkuvaa seurantaa ja päivittämistä. 

”Kyselyn eri osa-alueissa on havaittu kehitettävää, ja tietosuojavastaavat kohtaavat vuosittain samoja ongelmia tietosuojatyötä hoitaessaan. Tietosuojavastaavat hoitavat tehtäväänsä hyvin. Tulos on mahdollista korottaa sataprosenttiseksi kaikilla kyselyn osa-alueilla, mikä edellyttää johdon sitoutumista.”

Lisätietoa tietosuojakyselystä ja kyselyn tulokset sektoreittain