Tietosuojasta ja tietoturvasta puhuttaessa nämä käsitteet menevät usein sekaisin keskenään, samoin kuin näiden käsitteiden sisältämät asiat. Käsitteiden sekoittuminen puhekielessä ei ole vaarallista, mutta helpottaa keskustelua ja omaa ymmärrystä, kun hahmottaa, mitä milläkin käsitteellä tarkoitetaan.
Tietosuojan tavoite on rekisteröidyn eli yksittäisen henkilön, jonka tietoja käsitellään, luottamuksen ja oikeuksien – kuten yksityisyyden – turvaaminen henkilötietoja käsiteltäessä.
Tietoturvan tavoitteena on suojata kaikkia organisaation toiminnan kannalta tärkeitä tietoja. Henkilötiedot ovat vain osa sitä tietomassaa, jota tietoturva suojaa. Myös esimerkiksi liikesalaisuudet, tekijänoikeuksin suojatut tiedot sekä erilaiset turvallisuutta koskevat tiedot ovat organisaation toiminnan kannalta tärkeitä tietoja, joita tulee suojata siinä missä henkilötietojakin. Tietoturvalla tarkoitetaan kaikkia niitä erilaisia hallinnollisia toimia ja teknisiä toimia, joilla varmistetaan tiedon luottamuksellisuus, eheys ja käytettävyys. Hallinnollisia toimia ovat esimerkiksi tietoturvakoulutus tai organisaation salasanapolitiikkaa ja teknisiä toimia esimerkiksi palomuurit.
Tietosuoja asettaa säännöt, joiden mukaan tulee toimia aina henkilötietoja käsiteltäessä, ja tietoturva tarjoaa ne keinot, joilla henkilötietoja suojataan. Käsitteinä nämä kulkevat käsi kädessä, eikä tietosuojaa ole ilman tietoturvaa. Kun tietosuojasta huolehditaan asianmukaisesti, tulee myös tietoturva väistämättä huomioiduksi henkilötietojen osalta.
Tietosuojasta huolehtiminen edellyttää suunnittelua ja kokonaiskuvaa
Tietosuojasta huolehtiminen tarkoittaa esimerkiksi sitä, että organisaatiossa kaikki henkilötietojen käsittely on suunniteltu koko tiedon elinkaaren ajan tiedon keräämisestä sen tuhoamiseen asti. Jotta tämä on mahdollista, tulee organisaatiolla olla ensin selkeä kuva siitä, minkälaisia henkilötietoja organisaatiossa käsitellään ja missä tarkoituksessa. Kun kokonaiskuva on selvillä, on helpompi hahmottaa, minkälaista tietoturvan tasoa, eli minkälaisia suojatoimia, mikäkin henkilötieto edellyttää.
Potilastiedot vai uutiskirjeen tilaajarekisteri
Riskiperusteisen lähestymistavan mukaan henkilötietojen suojatoimet tulee suhteuttaa rekisteröidyn oikeuksille ja vapauksille mahdollisesti käsittelystä aiheutuvaan riskiin. Ajatus on varmistaa henkilötietojen suoja korkean riskin toiminnassa ja välttää pieniriskisten toimintojen liian tiukkaa sääntelyä. Esimerkiksi kun käsitellään potilastietoja, kyse on korkean riskin toiminnasta ja suojatoimien tason tulee olla korkea. Kun käsitellään taas esimerkiksi uutiskirjeen tilaajarekisteriä, on rekisteröidylle aiheutuva riski pieni eikä tietoja tarvitse suojata yhtä massiivisin keinoin.
Ilmaisohjelmilla vai järeämmällä suojauksella
Kun henkilötietojen käsittely on suunniteltu, on myös huomattavasti helpompaa hahmottaa, millaisessa henkilötietojen käsittelyssä voisi käyttää esimerkiksi ilmaisohjelmistoja ja milloin taas käsittely on niin korkeariskistä, että kannattaa investoida järeämmin suojattuun ohjelmistoon tai ulkopuoliseen tietoturva-auditointiin ja koulutukseen.
Saija Selkälä
lakimies
saija.selkala(at)sininauha.fi
Sininauhaliitto