Skip to content

Mitä eroa on tietosuojalla ja tietoturvalla?

10.11.2020 10.00

Sote-järjestöt
JärjestöhommissaTietosuojaJärjestöilleKansalaisyhteiskuntaSote-järjestöt

Tietosuojasta ja tietoturvasta puhuttaessa nämä käsitteet menevät usein sekaisin keskenään, samoin kuin näiden käsitteiden sisältämät asiat. Käsitteiden sekoittuminen puhekielessä ei ole vaarallista, mutta helpottaa keskustelua ja omaa ymmärrystä, kun hahmottaa, mitä milläkin käsitteellä tarkoitetaan.

Tietosuojan tavoite on rekisteröidyn eli yksittäisen henkilön, jonka tietoja käsitellään, luottamuksen ja oikeuksien – kuten yksityisyyden – turvaaminen henkilötietoja käsiteltäessä.

Tietoturvan tavoitteena on suojata kaikkia organisaation toiminnan kannalta tärkeitä tietoja. Henkilötiedot ovat vain osa sitä tietomassaa, jota tietoturva suojaa. Myös esimerkiksi liikesalaisuudet, tekijänoikeuksin suojatut tiedot sekä erilaiset turvallisuutta koskevat tiedot ovat organisaation toiminnan kannalta tärkeitä tietoja, joita tulee suojata siinä missä henkilötietojakin. Tietoturvalla tarkoitetaan kaikkia niitä erilaisia hallinnollisia toimia ja teknisiä toimia, joilla varmistetaan tiedon luottamuksellisuus, eheys ja käytettävyys. Hallinnollisia toimia ovat esimerkiksi tietoturvakoulutus tai organisaation salasanapolitiikkaa ja teknisiä toimia esimerkiksi palomuurit.

Tietosuoja asettaa säännöt, joiden mukaan tulee toimia aina henkilötietoja käsiteltäessä, ja tietoturva tarjoaa ne keinot, joilla henkilötietoja suojataan. Käsitteinä nämä kulkevat käsi kädessä, eikä tietosuojaa ole ilman tietoturvaa. Kun tietosuojasta huolehditaan asianmukaisesti, tulee myös tietoturva väistämättä huomioiduksi henkilötietojen osalta.

Tietosuojasta huolehtiminen edellyttää suunnittelua ja kokonaiskuvaa

Tietosuojasta huolehtiminen tarkoittaa esimerkiksi sitä, että organisaatiossa kaikki henkilötietojen käsittely on suunniteltu koko tiedon elinkaaren ajan tiedon keräämisestä sen tuhoamiseen asti. Jotta tämä on mahdollista, tulee organisaatiolla olla ensin selkeä kuva siitä, minkälaisia henkilötietoja organisaatiossa käsitellään ja missä tarkoituksessa. Kun kokonaiskuva on selvillä, on helpompi hahmottaa, minkälaista tietoturvan tasoa, eli minkälaisia suojatoimia, mikäkin henkilötieto edellyttää.

Potilastiedot vai uutiskirjeen tilaajarekisteri

Riskiperusteisen lähestymistavan mukaan henkilötietojen suojatoimet tulee suhteuttaa rekisteröidyn oikeuksille ja vapauksille mahdollisesti käsittelystä aiheutuvaan riskiin. Ajatus on varmistaa henkilötietojen suoja korkean riskin toiminnassa ja välttää pieniriskisten toimintojen liian tiukkaa sääntelyä. Esimerkiksi kun käsitellään potilastietoja, kyse on korkean riskin toiminnasta ja suojatoimien tason tulee olla korkea. Kun käsitellään taas esimerkiksi uutiskirjeen tilaajarekisteriä, on rekisteröidylle aiheutuva riski pieni eikä tietoja tarvitse suojata yhtä massiivisin keinoin.

Ilmaisohjelmilla vai järeämmällä suojauksella

Kun henkilötietojen käsittely on suunniteltu, on myös huomattavasti helpompaa hahmottaa, millaisessa henkilötietojen käsittelyssä voisi käyttää esimerkiksi ilmaisohjelmistoja ja milloin taas käsittely on niin korkeariskistä, että kannattaa investoida järeämmin suojattuun ohjelmistoon tai ulkopuoliseen tietoturva-auditointiin ja koulutukseen.

Saija Selkälä mustavalkoisessa rintakuvassa viherseinää vasten.

 

Saija Selkälä
lakimies
saija.selkala(at)sininauha.fi
Sininauhaliitto

Vastaa

Sähköpostiosoitettasi ei julkaista.

Järjestöhommissa -blogi

Kaikki blogin artikkelit
Blogi

11.12.2020 11:00

Tunnistatko vaikuttavuuden solmukohtia?

Järjestöille Vaikuttavuuden arviointi tai toiminnan tulosten tarkastelu ei ole aina helppoa. Siinä missä me SOSTEssa olemme nähneet oppimista vaikuttavuutta käsitelleissä sparrauksissa ja koulutuksissa, olemme myös itse oppineet niissä erilaisista vaikuttavuuden arvioinnin solmukohdista. Jos jokin tuloksellisuuden arvioinnissa on sinua tökkinyt, olisikohan sinullakin jokin seuraavista kuudesta solmukohdasta avaamatta. Tiedolliset solmukohdat Kolme ensimmäistä solmukohtaa ovat kaikille yhteisiä. Niitä voi […]

Blogi

14.10.2020 10:15

Strategisen johtamisen avulla järjestö luo haluttua tulevaisuutta

Järjestöille Sopiiko strategia järjestöihin? Kannattaako liike-elämän käsitteitä ylipäänsä tuoda järjestötoimintaan? Eikö samalla kadoteta jotain olennaista järjestötoiminnan luonteesta? Strategiaa voidaan määritellä monella tavalla. Sitä voidaan kutsua pitkäjänteiseksi tavaksi saavuttaa asetetut päämäärät tai vaikkapa toiminnan juoneksi ja punaiseksi langaksi. Johtamisteoreetikko Peter F. Drucker on todennut, että jos strategia johonkin sopii, niin voittoa tavoittelemattomiin organisaatioihin. Hän kutsuu strategiaa puskutraktoriksi, […]

Blogi

13.10.2020 10:15

Työntekoa monitoimi-, etä- ja rajatiloissa

Järjestöille Vain vähän aikaa sitten Suomessa innostuttiin monitilatoimistoista. Niihin rakennettiin intensiivisen yksilötyön, yhteistyön, pistäytymisen ja erilaisen tekemisen vyöhykeitä. Niissä on puhelintiloja, ryhmätiloja ja työpisteitä. Ne olivat trendikäs vaihtoehto vanhakantaiselle toimistolle. Nyt ne ovat tyhjinä, kun töitä tehdään kotona. Etätyöaika muuttaa meitä Kotona on tavoitteita priorisoitava ja pilkottava osiksi. Merkitykselliset, tärkeät ja kiireelliset työt pitää erottaa ja […]