GDPR, onko siitä vielä sanomatta jotain sellaista mitä ei olisi jo sanottu? Aiheesta on paljon keskustelua ja monia tulkintoja. Miten käy esimerkiksi B2B-sähköpostimarkkinoinnin jatkossa? Saako, eikö saa? Ai saa, ihanko varmasti? Ai et ole ihan varma?

On sanottu, että GDPR on isoin juttu IT-alalle Y2K-bugin jälkeen. Tältä se kieltämättä tuntuu. Aihe tuottaa suurta hämmennystä ja suoria vastauksia avoimiin kysymyksiin on vaikea löytää. Ja kun vastauksia löytyy, niin niillekin hyvin todennäköisesti löytyy vastaväittämä.

Kirjoitimme taannoin yhdessä GDPR Techin Juha Sallisen kanssa GDPR-myyteistä ja harhoista. Tutustu tekstiin täällä.

GDPR on pelottavaa ja pakollista. Mutta, mitä jos asiaa tarkastelisi toiselta kantilta?

GDPR mahdollisuutena

Mitä GDPR oikeastaan tarkoittaa? Ainakin sitä, että organisaatioiden on luotava malli millä tietosuojaa, tietoturvaa ja muutakin kriittistä dataa ylläpidetään sekä turvataan. Tältä kantilta kun asiaa ajattelee, niin tämähän kuulostaa oikein järkevältä. Eikö?

GDPR ei ole maailmanloppu, se pitäisi nähdä myös mahdollisuutena liiketoiminnan kehittämisen näkökulmasta. Se pitäisi myös nähdä mahdollisuutena Varjo-IT:n negatiivisten puolien taklaamiseen.

Kun sovelluskehityksessä aikoinaan hypättiin Agilen maailmaan, niin dokumentoinnin määrä väheni. Ketterä kehittäminen on myös valunut vuosien aikana sisäiseen sovellus- ja järjestelmäkehitykseen. Ja lisäksi, henkilöstö on mobiililaitteiden aikakaudella tottunut erilaisten sovellusten runsaudensarveen.

Tällä on ollut seuraamuksia. Nykyään jokaisella on oma lempparipilvipalvelu, joka toisinaan menee firman virallisen työkalun edelle. Ja tästä syntyy melkoista päänvaivaa ainakin organisaation IT-osastolle. Tämä päänvaiva tunnetaan myös nimellä Varjo-IT.

Organisaation tietoturvan päivittämisessä pitää pystyä huomioimaan laajemmat työelämän trendit kuten vapaus valita omat työkalunsa sekä vapaus valita missä ja milloin duunia tekee.

GDPR ja modernin työelämän trendit

Miten organisaaton tietoturvassa huomioidaan modernin tietotyön trendit – esimerkiksi BYOD tai etätyö?

Ihan oikeasti, kaipaako kukaan enää yhtään uutta järjestelmää? Eikö ensisijaisesti kannattaisi ottaa kaikki irti jo olemassa olevista järjestelmistä? Ja jos uudelle järjestelmälle tai työkalulle on tarvetta, sille on syytä löytää hyvät perustelut.

Organisaation tietoturvan päivittämisessä pitää pystyä huomioimaan laajemmat työelämän trendit kuten vapaus valita omat työkalunsa sekä vapaus valita missä ja milloin duunia tekee.

Työntekijät kaipaavat modernin työelämän vapauksia. Yhteisten pelisääntöjen pitää tukea näitä vapauksia ja myös tietosuoja pitää saada palvelemaan näitä vapauksia.

Valmistautuminen GDPR:n tuomiin muutoksiin

Mutta, mennään asiaan eli miten Meteoriitilla on valmistauduttu GDPR-asetukseen? Me Meteoriitilla olemme nähneet GDPR:n ennen kaikkea mahdollisuutena päivittää tietoturvaa ja yhteisiä käytäntöjä. Haluamme itse osata hyvin, jotta voimme auttaa asiakkaitammekin vastaavien asioiden kanssa.

Sinisen Meteoriitin Suomen operatiivisten toimintojen sisäisen GDPR-valmistautumisen voi jakaa kolmeen vaiheeseen.

Tietoisuuden lisääminen

 • Sisäiset palaverit
 • Avainhenkilöiden koulutus ja sertifiointi ulkopuolisten asiantuntijoiden toimesta
 • Avainhenkilöiden järjestämät sisäiset GDPR-koulutukset neljässä osassa
 • Koulutusten testaaminen sisäisten kyselyiden avulla
 • Jatkuva rummuttaminen ja keskustelun aktivointi Yammerissa

Prosessin alkuvaiheessa huomasimme, että asia aiheuttaa helposti väärinkäsityksiä ja ylilyöntejä. Avoin keskustelu Yammerissa on ollut aktiivista ja tärkeää. Sisäiset koulutukset ovat olleet hyviä paikkoja yhteiselle dialogille.

Me olemme ajatelleet valmistautumista isomman kuvan kautta. Kyse ei todellakaan ole vain valmistautumisesta GDPR-asetukseen tuomiin muutoksiin. Kyse on jatkuvasta tietotyön ja tietoturvan yleisestä kouluttamisesta. Kouluttaminen on jatkuva prosessi.

Organisaatiossa tuskin on enää yhtään henkilöä töissä, jonka ei tarvitsisi tietää mitään.

Suunnitteluhanke

 • Riskikartoitukset
 • Budjetointi
 • Sisäiset työpajat
 • Dokumentointi
 • Tietosuojalausekkeiden auditointi ja editointi
 • GDPR DPA:n eli Data Processing Agreementin tuottaminen

Suunnitteluvaiheessa olemme kartoittaneet kaikki talon sisäiset järjestelmät, joista löytyy henkilötietoja – missä tietoa, millaista tietoa on saatavilla.

Riskienhallinta koski aiemmin vahvasti liiketoiminnan ja IT:n riskienhallintaa, mutta nyt sitä on laajennettu koko talon käyttöön. Suunnitteluvaiheessa olemme muun muassa kehittäneet sisäisen riskienhallintatyökalun, johon kirjaamme millaisia riskejä on tunnistettu talon sisällä sekä toimenpiteet riskien hoitamiseksi.

GDPR edellyttää kaikkien päätösten dokumentointia. Jos kaikki on hyvin dokumentoitu ja perusteltu, tämä voi jo itsessään vähentää sanktioiden suuruutta.

Tietoturvaan liittyvänä konkreettisena esimerkkinä mainittakoon muun muassa tietosuojakalvot – jokaisella simeläisellä on mahdollisuus saada koneelleen sellainen, jos sitä tarvitsee. Lisäksi olemme ohjeistaneet miten kotitoimistolla pitää huomioida firman yhteisiä tietoturva-asioita. Eli pyrimme mahdollisimman selkeästi määrittelemään yhteiset pelisäännöt, joilla pääsemme kohti tietoturvallisempaa työskentelyä.

Keskusteluissa eri tahojen kanssa on noussut esille, että osalle yrityksistä GDPR DPA (Data Processing Agreement) ei ole lainkaan tuttu, vaikka GDPR sitä jatkossa edellyttää. Kyse on siis firmojen välisestä kahdenkeskisestä tietojenkäsittelysopimuksesta, joka lisätään liitteeksi varsinaiseen sopimukseen.

Toteutusvaihe

 • Muutokset toimintatapoihin
 • Prosessien luominen

Kolmannessa vaiheessa luomme selkeät toimintamallit, joissa otamme kantaa mitä tehdään kun esimerkiksi ulkopuolinen pyytää omien tietojensa tarkastusta. Olemme muun muassa selkeästi määritelleet, että pyynnöt tulee tehdä kirjallisena. Lisäksi olemme ottaneet kantaa miten tietoja lähetetään ulospäin. Kaiken tarkoituksena on datan minimointi eli lähetämme vain tarpeelliset tiedot ulospäin.

Prosessien kuvaukset julkaistaan intranetissa, jossa ne ovat kaikkien nähtävillä.

Työ ei lopu kertaluonteiseen valmistautumiseen. Kyse on jatkuvasta prosessista. Meillä on käytössä riskienhallintaprosessi, jossa kerran kvartaalissa käsittelemme esille nousseita epäkohtia, teemme suunnitelman epäkohtien hoitamiseksi sekä tarkastelemme lopputuloksia, ja tarvittaessa teemme mahdollisia korjausliikkeitä aikaisempiin ratkaisuihin – Plan-Do-Check-Act -malli.

Lopuksi

Tietoturvan kehittäminen ei voi lähteä kaiken kieltämisestä. Varjo-IT on todellinen ongelma, mutta vastaus ei voi olla kaiken kieltäminen. Parempi vastaus on omien työkalujen jatkuva kehittäminen. Kun henkilöstö aidosti innostuu yhteisistä työkaluista, on kouluttaminen ja käyttöönotto huomattavasti helpompaa.

Ja kun henkilöstö diggailee firman virallisista työkaluista, on tietoturvan ylläpito huomattavasti helpompaa. Ja niin myös GDPR-asetukseen valmistautuminen.

Tietoa kirjoittajasta

Technical Production Manager

Kirjoitukset (1)