6. Tietoturva kaatuu arjen virheisiin | Selkeä ohje ehkäisee riskit ja täyttää GDPR-vaatimukset
Yrityksissä sattuu virheitä, koska kukaan ei ole kertonut miten asiat tehdään. Yksi väärä klikkaus, väärä tallennuspaikka tai väärälle ihmiselle lähetetty tiedosto riittää. GDPR edellyttää, että henkilöt tietävät mitä tekevät. Ilman ohjeita yritys ei voi todistaa, että tietoturva on hallinnassa.
Tietoturva pettää silloin kun tekeminen on sattumanvaraista
Tietoturvaongelmat syntyvät harvoin järjestelmistä. Useimmiten kyse on siitä, ettei kukaan ole määritellyt miten henkilötietoja käsitellään käytännössä. Tieto avataan väärässä paikassa, sitä käsitellään väärällä laitteella, käyttöoikeudet ovat pielessä tai viesti lähtee väärälle henkilölle. Nämä ovat arjen tilanteita, jotka voidaan estää selkeillä ohjeilla ja yhtenäisillä käytännöillä.
GDPR edellyttää kirjalliset ohjeet myös pieniltä yrityksiltä
GDPR on EU:n tietosuoja-asetus, joka määrittää miten henkilötietoja saa käsitellä. Suomessa sen valvonnasta vastaavat tietosuojaviranomaiset. Asetus koskee kaikkia toimijoita, jotka käsittelevät henkilötietoja – myös pieniä yrityksiä, yhdistyksiä ja yksinyrittäjiä.
Jos henkilötietoja käsitellään, on oltava selkeät kirjalliset ohjeet, joita henkilöstö tai muut käsittelijät noudattavat. Tämä koskee kaikkia: työntekijöitä, sijaisia, vapaaehtoisia, kumppaneita ja yrittäjää itseään. Ilman ohjetta yritys ei pysty osoittamaan, että tiedot on käsitelty oikein.
Henkilöstön tietoturvaohje on tärkeä asiakirja, joka jokaisella yrityksellä tulisi olla
Tietoturvaohje kertoo konkreettisesti, miten henkilötietoja käsitellään arjessa. Se estää virheitä ja tekee toiminnasta ennakoitavaa. Tietoturvaohje ei ole tarkoitettu vain isojen yritysten työntekijöille vaan kaikille, jotka käsittelevät tietoja myös yksinyrittäjälle.
Hyvä tietoturvaohje vastaa ainakin näihin kysymyksiin:
- miten henkilötiedot avataan ja tallennetaan
- missä tietoja saa käsitellä ja millä laitteilla
- miten käyttöoikeudet toimivat ja kuka niitä hallitsee
- miten toimitaan virheen, poikkeaman tai tietosuojaloukkauksen sattuessa
- miten tietoja poistetaan turvallisesti
- miten ohje pidetään ajan tasalla ja kenen vastuulla se on
Myös perehdytys kuuluu tietoturvaan, muodosta riippumatta
Tärkeää on, että yritys pystyy osoittamaan kaksi asiaa:
- ohjeet on annettu
- niitä noudatetaan arjessa
Perehdytyksessä käydään läpi samat asiat, jotka tietoturvaohjeessa on kirjattu. Tavoitteena on varmistaa, että jokainen tietää miten toimitaan, miten virheitä vältetään ja kenen puoleen käännytään ongelmatilanteissa.
Selkeä ohje vähentää virheitä ja vahvistaa luottamusta
Selkeä ohjeistus on osa yrityksen riskienhallintaa ja sitä arvostetaan myös viranomaiskeskusteluissa.
Ohje ei ole muodollisuus vaan käytännön työkalu
Yritys ei voi osoittaa toimivansa oikein, jos ohjeita ei ole tai niitä ei noudateta. Pienikin virhe kuten väärä käyttöoikeus tai väärälle henkilölle lähetetty tiedosto voi aiheuttaa tietosuojaloukkauksen, joka olisi voitu estää yhdellä selkeällä ohjeella.
Hyvin laadittu ohje maksaa itsensä takaisin jo ensimmäisessä arjen tilanteessa, jossa joku tarkistaa miten asia pitää hoitaa.
Haluatko selkeät tietoturvaohjeet yrityksellesi
Hinta
Tietoturvaohjeen perushinta on 240 euroa pienille yrityksille ja yhdistyksille. Laajemmat tai monimutkaisemmat kokonaisuudet hinnoitellaan tilanteen mukaan.
Muut asiakirjat
Jos tarvitset muita tietosuoja- tai tietoturva-asiakirjoja voit pyytää tarjouksen yrityksesi tilanteen mukaan.
Hyödyllisiä lähteitä
📎 [Tietosuoja.fi – Perehdytys ja tietosuojakoulutus]
📎 [Kyberturvallisuuskeskus – Tietoturva on koko organisaation asia]
📎 [STM – Kyberturvallisuus sosiaali- ja terveydenhuollossa (2019)]
📎 [GDPR 32 artikla – Organisatoriset toimet ja henkilöstön perehdytys]