Siirry sisältöön
Länsi-Pohjan sairaanhoitopiirin tekemästä Tietosuojan kuntotestistä on hyötyä myös uudelle Lapin hyvinvointialueelle, joka aloittaa toimintansa vuoden 2023 alussa. ”Vaikka tietosuoja-asiat olisivat hyvässä kunnossa, kannattaa aina välillä pyytää ulkopuolisen arvio asiasta. Suosittelen säännöllistä testiä kaikille, jotka käsittelevät henkilötietoja”, ict-hankejohtaja Mikko Päkkilä kertoo.
Länsi-Pohjan sairaanhoitopiiri

Eurooppa astui uuteen aikaan, kun yleistä tietosuoja-asetusta (GDPR) alettiin soveltaa 2018. Jokaisella ihmisellä on oikeus omien henkilötietojensa suojaan. Jokaisen organisaation on puolestaan huolehdittava, että siellä käsitellään henkilötietoja lain mukaisesti.

Mikko Päkkilä tilasi Atealta Tietosuojan kuntotestin Kemi-Tornion alueella toimivalle Länsi-Pohjan sairaanhoitopiirille loppuvuonna 2020 toimiessaan sairaanhoitopiirin tietohallintojohtajana.

”Yllätyin positiivisesti, kuinka toimiva testi oli sairaanhoitopiirin kannalta. Se hoidettiin hyvin formaalilla tavalla, ja siitä sai hyvän yleiskuvan koko tietosuojatilanteestamme. Testin rakenne oli selkeä, ja se pureutui hienosti operatiiviseen toimintaamme ja ihan konkreettisiin yksityiskohtiinkin”, Mikko Päkkilä kertoo.

Tietosuojan kuntotestin teki Atean konsultti Antti Lehmussaari, jolla on kokemusta tietosuojatyöstä monissa eri organisaatioissa.

”Asiakkaat ovat kertoneet hyötyvänsä ulkopuolisen tekemästä tietosuojatyön järjestelmällisestä tarkastelusta. Loppuraportissa kerromme, miten tietosuojatyö on hoidettu tietosuojalainsäädännön vaatimusten näkökulmasta ja mitä asioita kannattaisi kehittää. Tietosuojatyö ei kuitenkaan ole projekti, vaan jatkuvaa suunnitelmallista toimintaa, jonka merkitys kasvaa koko ajan”, Lehmussaari sanoo.

Mikko Päkkilä arvostaa erityisesti, että testin teki asiantuntija, jolla oli selkeästi kokemusta ja näkemystä asiasta.

”Antti auttoi osaamisellaan meitäkin tunnistamaan nopeasti riskialueet, joita jää erityisesti eri tehtävien väliin, kun asioita on kuvattu osin tietosuojan ja osin tietoturvan puolella. Testin tuloksena kävimme lopuksi nämä rajapinnatkin läpi tietoturvavastaavamme ja tietosuojavastaavamme kanssa.”

Myös ihmisnäkökulma esiin

Atea kävi testissä läpi sairaanhoitopiirin tietosuojatyön käytännön toteutuksen sekä siihen liittyvän dokumentaation. Samalla tuotiin esille, mitä uusia velvoitteita on syntynyt lainsäädännön kautta.

”Vaikka tiesin jo etukäteen, että meillä asiat ovat hyvässä kunnossa, saimme kuitenkin hyvän muistilistan kehittämistoimenpiteistä ja tarkennuksista, joita kannattaa seuraavaksi tehdä. Testin tuloksista on hyötyä myös, kun Lapin hyvinvointialue aloittaa toimintansa vuoden 2023 alussa ja nykyiset sairaanhoitopiirit lakkautetaan”, nykyisin hyvinvointialueen suunnitteluelimessä ict-hankejohtajana toimiva Päkkilä kertoo.

”Pyrimme hyödyntämään kaikkia valmiita malleja tulevan hyvinvointialueen valmistelussa, koska samoja asioita ja kysymyksiähän siellä on ratkaistavana. Tietosuoja-asiat ovat tärkeitä koko sosiaali- ja terveysalalla, jossa käsitellään paljon henkilötietoja.”

Mikko Päkkilän mielestä oli hyvä, että tietosuoja-asioita tarkasteltiin testissä selkeästi paitsi organisaation, myös ihmisten näkökulmasta.

”Otimme riskilähtöisen tarkastelun ja katsoimme asiaa myös rekisteröityjen oikeuksien toteutumisen näkökulmasta. Sitä ei tule aina organisaation sisällä helposti ajateltua. Oli hienoa nähdä, että organisaation näkökulma ja rekisteröityjen näkökulmat eivät olleet ristiriidassa keskenään.”

Säännöllinen tarkastelu auttaa kaikkia

 

Mikko Päkkilä suosittelee Tietosuojan kuntotestiä kaikille organisaatioille. 

”Kannattaa aina tietyin väliajoin tarkistaa asioiden todellinen nykytila eikä vain tuudittautua tunteeseen, että kaikki on hyvin. On parempi käydä asiat läpi hyvän sään aikana kuin vasta sitten, jos jotakin vakavaa sattuu.” 

Tietosuoja ja tietoturva vaativat jatkuvaa kehittämistä ja jatkuvaa valveilla olemista –  asiat eivät koskaan voi olla liian hyvin hoidettu. 

”Toiminnasta voi löytyä heikkoja lenkkejä, joita ei itse tiedosta. Siksi on hyvä, että ulkopuolinen katsoo asioita uudesta perspektiivistä ja uusin silmin. Itse voi olla sokea omille puutteilleen. On helpompaa myös lähteä tekemään muutoksia, jos ulkopuolinen on tukena muutosprosessin eteenpäin viemisessä – vaikka lopullinen vastuu on tietenkin organisaatiolla itsellään.”

Lapin hyvinvointialue

  • Aloittaa toimintansa 1.1.2023, kun koko Suomessa sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisvastuu siirtyy hyvinvointialueille. Samalla Lapin ja Länsi-Pohjan sairaanhoitopiirit lakkaavat olemasta.
  • Alueeseen kuuluvat kaikki Lapin maakunnan 21 kuntaa, joissa on yhteensä noin 180 000 asukasta.
  • Hyvinvointialueella toimii kaksi keskussairaalaa, toinen Rovaniemellä ja toinen Kemissä.

Henkilötietojen käsittely

Euroopan Unionin alueella sääntelee Yleinen tietosuoja-asetus GDPR (General Data Protection Regulation). Suomessa sitä täydentävät muun muassa Tietosuojalaki sekä Laki yksityisyyden suojasta työelämässä.


Tietosuojan tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Henkilötietojen käsittelyyn lainsäädännön vaatimusten mukaan liittyy esimerkiksi seuraavia kysymyksiä:

  • Mitä henkilötietoja käsitellään eri toiminnoissa ja järjestelmissä?
  • Missä henkilötiedot sijaitsevat?
  • Miten henkilötiedot suojataan asianmukaisesti?
  • Kuinka kauan henkilötietoja voidaan käsitellä?
  • Miten ihmisiä pitää informoida heitä koskevasta henkilötietojen käsittelystä?
  • Miten huolehditaan asianmukaisesti ihmisten oikeuksista omiin henkilötietoihinsa?
  • Mitkä ovat lainsäädännön vaatimukset, kun käytetään alihankintaa henkilötietojen käsittelyyn?
  • Millä edellytyksillä ja toimenpiteillä henkilötietoja voidaan siirtää Euroopan Unionin ulkopuolelle?


Lue lisää: Atean Tietosuojapalvelut