Vincitin valmistautuminen GDPR-vaatimuksiin

Pari vuotta sitten neljän kirjaimen akronyymi GDPR (General Data Protection Regulation) eli EU:n tietosuoja-asetus alkoi näkyä eri yhteyksissä. Valitettavan monet kirjoitukset aiheesta kuitenkin keskittyivät vain pelottelemaan mahdollisilla sanktioilla. Valotan alla konkreettisia toimenpiteitä, joita Vincitillä olemme tehneet 25.5.2018 voimaan tulevasta asetuksesta johtuen. Jos asetus ei ole vielä tuttu, suosittelen tutustumaan tietosuojavaltuutetun oppaaseen.

Vaikka liiketominnassamme harvoin toimimme rekisterinpitäjän roolissa, on meillä kuitenkin käytössä kaikenlaisia työntekijöiden ja asiakkaiden henkilötietoja sisältäviä perusrekistereitä. Tällaisia ovat esimerkiksi palkanmaksuun liittyvät tiedot, Active Directory sekä asiakashallinnan järjestelmät. Näiden lisäksi hyödynnämme läjäpäin erilaisia pilvipalveluita, joista suurin osa käsittelee myös henkilötietoja. Asiakasprojekteissa toimimme lähes aina henkilötietojen käsittelijän roolissa.

Dokumentointikirjasto

Vaikka Vincitissä monet GDPR:n vaatimista käytännöistä olivat jo valmiiksi kunnossa, asetus edellyttää, että yritys voi osoittaa toimivansa asetuksen vaatimusten mukaisesti. Tyhjästä dokumentaation synnyttäminen olisi sangen hapokas tehtävä jopa diplomi-insinöörille.

Koska työn aloitusvaiheessa ei ollut saatavilla suomenkielisiä mallipohjia, päädyin ostamaan IT Governance -yrityksen englanninkielisen GDPR Toolkit -dokumentointikirjaston. Sen avulla pystyin nopeasti saamaan entistä paremman käsityksen asetuksen vaatimuksista, dokumentoimaan käytäntömme sekä selvittämään asiat joissa oli vielä tekemistä.

Sittemmin suomalainen Agendium on julkistanut Tietosuojamalli-palvelun, johon kannattaa myös tutustua. Palvelu auttaa mm. tarvittavan tiedon keräämisessä ja dokumentaation tuottamisessa sekä nykytilanteen arvioinnissa. Itsearviointiin voi myös hyödyntää esimerkiksi Valtiovarainministeriön Excel-työkalua, vaikka se onkin erityisesti julkishallintoa varten suunniteltu.

Tietoinventaarion laatiminen

Jotta pääsimme henkilötietojen hallinnassa alkuun, oli aluksi selvitettävä millaista henkilötietoa Vincitissä tallennetaan. Tätä kutsutaan tietoinventaarioksi. Inventaariomme sisältää esimerkiksi seuraavanlaisia tietoja:

  • Mikä on tietojen lähde
  • Mitä tietoja tallennetaan
  • Missä tietoja säilytetään
  • Kenellä on tietoihin pääsyoikeus
  • Mikä taho on tietojen käsittelijä ja mikä rekisterinpitäjä
  • Minne tietoja siirretään

Tyypillisesti Vincit on omissa henkilötietorekistereissämme rekisterinpitäjä, ja käsittelijänä toimii esimerkiksi tilitoimisto, Google tai Vincit itse.

Inventaariossa pitää huomioida kaikki yrityksen käytössä olevat paikat, joissa käsitellään henkilötietoa - sisäisten atk-järjestelmien ja pilvipalveluiden lisäksi siis myös kaikki paperimuodossa tallennetut rekisterit.

Paljon erilaista henkilötietoa käsittelevillä organisaatioilla työmäärä on valtava, etenkin jos kirjanpito hyödynnettävistä henkilötiedoista on ollut aiemmin puutteellista. Mallia voi katsoa esimerkiksi Trafin tietotilinpäätöksestä.

Sopimukset kuntoon

GDPR edellyttää, että henkilötietojen kanssa tekemisissä olevien tahojen (käsittelijä ja rekisterinpitäjä) pitää sopia hankintasopimuksissa henkilötietojen käsittelystä. Tyypillisesti tästä sovitaan tietosuojaliitteessä (DPA, Data Processing Agreement/Addendum). Nämä liitteet muodostavat Vincitissä GDPR:n työläimmän osa-alueen, sillä huomattavassa osassa asiakasprojektejamme olemme jollain tavalla tekemisissä henkilötiedon kanssa. Lähestymme siis lähiaikoina lähes kaikkia asiakkaitamme yhteistyösopimustamme laajentavalla tietosuojaliitteellä. Tietosuojaliitteen mallipohja on tarjolla esimerkiksi Koodia Suomesta ry:n jäsenyrityksille, ja lisäksi se sisältyy myös 27.2.2018 julkaistuihin IT2018-sopimusehtoihin.

Asiakkaiden lisäksi meidän pitää solmia DPA kaikkien Vincitin henkilötietoja käsittelevien tahojen kanssa. Suurin osa näistä on siis pilvipalveluita. Lähes kaikki yhdysvaltalaisetkin SaaS-palveluiden tarjoajat ovat jo GDPR:n vaatimuksista hyvin perillä, mutta DPA:ta ei tämän kirjoitushetkellä (helmikuun lopussa 2018) ole vielä läheskään kaikilla tarjota.

Nyrkkisääntönä voi pitää, että suurimmat palveluntarjoajat kuten esimerkiksi Google ja Slack ovat olleet sopimuspuolen kanssa hyvissä ajoin liikenteessä. Sopimusten hyväksyminen on kuitekin työlästä, koska kaikilla palveluntarjoajilla on erilainen tapa generoida sopimuspohja. Lisäksi amerikkalaisten juristien tyyliin tietosuojaliitteissä voi olla todella paljon tekstiä eurooppalaisten laatimiin sopimuksiin verrattuna, ja sisällötkin vaihtelevat.

Henkilökunnan koulutus ja tiedonjako

Vincitin kaltaiset asiantuntijayritykset ovat siitä onnellisessa asemassa, että henkilöstöllä on valmiina laaja ymmärrys hyvistä tietoturvakäytännöistä sekä vastuullinen asenne henkilötietojen käsittelyyn. GDPR-tietoisuutta olemme levittäneet sisäisillä infotilaisuuksilla sekä tiiviillä koulutusmateriaalilla. Lisäksi olemme perustaneet Slack-keskustelupalveluumme #gdpr-kanavan, jossa keskustellaan kaikenlaisista asetukseen liittyvistä asioista.

Ohjelmistoprojektien vaatimustenmukaisuus

Sekä asiakasprojekteja että omia tuotteitamme varten olemme luoneet yksinkertaisen muistilistan, joka auttaa varmistamaan että asetuksen vaatimukset on huomioitu. Lisäksi olemme tarvittaessa auttaneet asiakasyrityksiämme perehtymään asetuksen kiemuroihin.

Lopuksi

Henkilötietojen käsittely on olennaisessa roolissa lähes kaikessa työssä, mitä teemme asiakkaillemme. Siksi olemme valmistautuneet hyvissä ajoin ennen toukokuun h-hetkeä. GDPR:n liittyvään työhön käytettyä aikaa emme ole tarkasti seuranneet, mutta yksistään neljänsadan työntekijän perehdytyksille kertyy toki hintaa.

Olemme nyt sangen lähellä tietosuoja-asetuksen vaatimusten täyttämistä, mutta vielä on työtä jäljellä. Esimerkiksi kotisivujemme osalta kaikkia GDPR:n vaatimuksia ei ole tällä hetkellä huomioitu, mutta tilanne tullaan korjaamaan lähiviikkoina.

Kevään aikana kerromme vielä esimerkkejä, miten olemme käytännön tasolla huomioineet GDPR:n vaatimukset omissa tuotteissamme.

Pasi Kovanen

Pasi Kovanen
Software with Passion.

Liity keskusteluun