Apua pk-yrityksille tietosuojan toteuttamiseen

Artikkeli Perjantai 24.11.2017

Miten pk-yritys voi toteuttaa tietosuojan tehokkaasti?

Citruksen Jaakko Viitanen vastasi tähän kysymykseen Elinkeinoelämän keskusliitto EK:n koulutustilaisuudessa 17.11.2017 Helsingissä.

1) Analysoi tietosuojanne tilanne

 • Mikä on henkilötietojen käsittelyn nykytila?
 • Mitä kehittämistarpeita niistä löytyy?
 • Millainen riski niihin liittyy?
 • Mitä asioita tulee ensisijassa laittaa kuntoon?
  • Aloita asiakkaisiin ja viranomaisiin niveltyvistä

2) Toteuta tai teetä tarvittavat muutokset

 • Prosessien ja työmenettelyjen määrittely ja ohjeistukset
 • Tietojärjestelmiin liittyvät tekniset vaatimukset
  • mm. rekisteröidyn oikeuksien toteuttamiseksi kuten omien tietojen poisto ja tietojen saaminen ulos siirrettävässä muodossa
 • Hankintoihin ja sopimuksiin liittyvät muutokset
 • Valvonnan ja seurannan organisointi
  • mm. tietojärjestelmien lokit ja niiden seuranta

3) Varmista muutokset jatkossa

 • Projektina vaatimuksenmukaisuuden tason saavuttaminen, jatkuvana toimintana riittävä seuranta ja valvonta
 • Henkilökunnan, kumppaneiden, asiakkaiden kouluttaminen
 • Riittävän dokumentaation ja ohjeistuksien teettäminen
 • Arkipäiväinen seuranta
 • Mahdollista tietosuoja ja poikkeamista selviäminen
  • Oikeilla tietoturvatyökaluilla (käyttövaltuushallinta, lokienhallinta)
  • Oikeilla tiedon hallinnan työkaluilla (tietojärjestelmät, kirjanpito tietosuojatapahtumista)

Apukysymyksiä selvitykseen

 • Mitä henkilötietoja käsittelemme? Miksi? Tarvitaanko tätä kaikkea kerättyä henkilötietoa? Mitä tästä on dokumentoitu, entä mitä sovittu? Mikä riski tähän liittyy?
 • Ketkä käsittelevät henkilötietojamme? Miksi? Mitä tästä on sovittu ja mitä ohjeistettu? Miten tätä seuraamme? Mikä riski tähän liittyy?
 • Mitä kerromme tästä asiakkaille? Missä tilanteissa ja miten?
 • Mitä ovat rekisteröidyn oikeudet? Miten ne liittyvät meihin? Miten huolehdimme näistä? Mitä riskejä näihin liittyy?
 • Miten todistamme sisään rakennetun ja oletusarvoisen tietosuojamme, tietosuoja-asetuksen mukaisuuden? Entä miten vastaamme ilmoitusvelvollisuuteen?
 • Kuka vastaa meillä näistä asioita? Millä kyvykkyyksillä?
Tutustu myös