Tietosuoja ja tietoturva koskevat lähes jokaista organisaatiota
Yksi yleisimmistä väärinkäsityksistä tietosuojassa ja tietoturvassa on tämä: “Tämä koskee vain suuria organisaatioita.” Silti monessa organisaatiossa nämä asiat hoidetaan edelleen sieltä, missä aita on matalin.
Siksi monessa organisaatiossa tietosuoja ja tietoturva huomioidaan vasta silloin, kun auditointi lähestyy tai jokin menee pieleen. Ja silloin on usein jo liian myöhäistä.
Monelle tietosuoja ja tietoturva kuulostavat edelleen sanahirviöiltä, jotka kuuluvat vain suurille organisaatioille, sote-sektorille tai IT-jättiläisille. On helppo ajatella, että “ei meillä ole mitään sellaista, mikä kiinnostaisi ketään” tai “me olemme niin pieni toimija, ettei tämä koske meitä.”
Totuus on kuitenkin toinen.
Jos organisaatiollanne on asiakasrekisteri, työntekijöitä, markkinointilistoja tai vaikka vain verkkosivujen analytiikkaa, olette mukana pelissä. Käsittelette henkilötietoja ja olette riippuvaisia digitaalisista järjestelmistä joka ikinen päivä.
Silloin tietosuoja ja tietoturva eivät ole vain IT-osaston murheita, vaan osa organisaation jokapäiväistä toimintaa.
Miksi tämä koskee käytännössä jokaista organisaatiota
Moni organisaatio ei tule ajatelleeksi, että tietosuoja- ja tietoturvavelvoitteet koskevat myös heidän toimintaansa.
Kun asiaa tarkastellaan tarkemmin, lähes jokaisella organisaatiolla on esimerkiksi:
- asiakasrekisteri
- työntekijöiden henkilötietoja
- markkinointilistoja
- verkkosivujen analytiikkaa
- erilaisia digitaalisia palveluita ja järjestelmiä
Jo tämä tarkoittaa sitä, että organisaatio käsittelee henkilötietoja ja toimii tietojärjestelmien varassa. Tällöin sekä tietosuoja että tietoturva ovat osa organisaation normaalia toimintaa.
Tietosuoja- ja tietoturvakoulutus nähdään usein kertaluonteisena velvoitteena
Monessa organisaatiossa tietosuoja- ja tietoturvakoulutuksen merkitystä ei tunnisteta. Se koetaan helposti pakolliseksi pahaksi, joka hoidetaan kerran vuodessa alta pois, jotta saadaan rasti ruutuun.
Ehkä asiaan herätään vasta silloin, kun auditointi kolkuttelee ovelle tai pahimmassa tapauksessa silloin, kun jotain on jo mennyt pieleen.
Tämä on inhimillistä, mutta samalla riskialtista.
Tietosuoja ja tietoturva eivät ole asioita, jotka voidaan hoitaa kerralla kuntoon. Ne liittyvät ihmisten päivittäiseen toimintaan, päätöksiin ja toimintatapoihin.
Maailma muuttuu liian nopeasti kertahyppäyksiin. Työkalut päivittyvät, uusia työntekijöitä aloittaa jatkuvasti ja huijarit keksivät tekoälyn avulla entistä ovelampia tapoja koputtaa ovelle.
Se, mitä opimme vuosi sitten, saattaa olla tänään jo vanhentunutta tietoa.
Siksi osaamisen ylläpito pitäisi nähdä enemmän jatkuvana osaamisen kehittämisenä kuin yhtenä yksittäisenä suorituksena.
GDPR:n osoitusvelvollisuus koskee myös henkilöstön osaamista
EU:n yleinen tietosuoja-asetus (GDPR) toi mukanaan periaatteen, joka tunnetaan nimellä osoitusvelvollisuus. Tämä kuulostaa helposti paperinmakuiselta termiltä, mutta pohjimmiltaan siinä on kyse luottamuksesta.
Kyse on siitä, että organisaatio pystyy osoittamaan tietävänsä, mitä tekee myös arjen kiireessä.
Tietosuoja ei asu hyllyssä olevissa kansioissa tai dokumenteissa. Se asuu siinä, miten avaamme sähköposteja, miten käsittelemme asiakkaan tietoja ja miten tunnistamme taitavasti väärennetyn sivuston.
Toisin sanoen: se näkyy ihmisten toiminnassa.
Tietosuoja ja tietoturva ovat osa organisaation arkea
Kun on kyse organisaation maineesta ja asiakkaiden luottamuksesta, aitaa ei kannata ylittää sieltä, missä se on matalin.
Jos organisaatio käsittelee henkilötietoja tai käyttää digitaalisia järjestelmiä, tietosuoja ja tietoturva koskevat sitä. Tämä koskee käytännössä lähes kaikkia organisaatioita.
Siksi tietosuojaan ja tietoturvaan ei kannata suhtautua vain velvoitteena, joka hoidetaan nopeasti pois alta.
Ne ovat osa organisaation normaalia toimintaa ja riskienhallintaa.
Ja juuri siksi niitä ei kannata hoitaa sieltä, missä aita on matalin. Useimmiten se nimittäin on myös kallein paikka ylittää se.
Asiakkaitamme
