Euroopan yleisen tietosuoja-asetuksen kaltainen sääntely toi yksityisyyden suojan hallinnan todella jokaisen yrityksen asialistalle vuonna 2018. Henkilötietojen yksilöllistä omistajuutta korostettiin ja yritykset ympäri maailmaa pakotettiin suojelemaan tätä oikeutta lainmukaisella tavalla.
Henkilötietojen johdonmukainen suojaaminen on edelleen haaste yrityksille. DNV:n tuoreessa Espresso-tutkimuksessa kävi ilmi, että kypsyys on vain hieman lisääntynyt vuoden 2019 vertailukelpoisesta tutkimuksesta. Kun GDPR otettiin käyttöön neljä vuotta sitten, yritykset pyrkivät kiireesti varmistamaan vaatimustenmukaisuuden. Vaikuttaa siltä, että tämä on saattanut jäädä monien yritysten tärkeimmäksi näkökulmaksi. Tietosuojan tiedonhallinnan lähestyminen vain oikeudellisesta näkökulmasta voi kuitenkin olla hyvin rajoittavaa.
Ihmiset suurin riskin lähde
Tutkimukseen osallistuneet yritykset ilmoittivat inhimilliset virheet suurimmaksi riskin lähteeksi (44,5 %). Seuraavaksi mainitaan työntekijöiden tietoisuuden puute tai huono organisaatiokulttuuri (27,7 %) ja oikeudellisen pätevyyden puute/lainsäädännön vaatimusten tulkinta (25,3 %). Huoli organisaatioon, kulttuuriin ja osaamiseen liittyvistä kysymyksistä ulkoisten uhkien sijaan ei välttämättä poikkea kovin paljon vuoden 2019 kuvasta. Toimet ovat kuitenkin siirtyneet tietotekniikasta ihmisiin. Vuonna 2019 tietoturvan parantaminen oli ensisijainen investointialue, nyt sen on ohittanut henkilöstön koulutus ja tietoisuus. Tätä priorisoi lähes joka toinen.
Kun inhimillisiä virheitä ja tietoisuuden puutetta pidetään suurimpina riskeinä, se tarkoittaa usein, että kulttuurin kehittäminen ei ole ollut tehokasta. Tätä voitaisiin helposti lieventää ottamalla käyttöön virallinen johtamisjärjestelmän varmennusmalli. Jokaisessa organisaatiossa resurssit vaihtelevat esimerkiksi poistuman ja uusien resurssien palkkaamisen vuoksi. Tämä edellyttää uuden henkilöstön kouluttamista tai nykyisen henkilöstön tietoisuuden päivittämistä säännöllisin väliajoin.
Johdonmukaisen turvallisuuskulttuurin rakentaminen
Tähän tarpeeseen voidaan parhaiten vastata hallintajärjestelmämallilla, joka perustuu yksityisyyden suojaa koskevien tietojen hallintajärjestelmästandardiin ISO 27701 kirjattuihin parhaisiin käytäntöihin. Standardissa asetetaan erityisvaatimuksia säännölliselle koulutukselle ja tietoisuudelle, jotta varmistetaan yhdenmukainen taso koko organisaatiossa. Tämä lisää sitoutumista ja antaa työntekijöille mahdollisuuden ajatella yksityisyyden suojaa, mikä auttaa heitä hallitsemaan yksityisyyteen liittyvää epävarmuutta paremmin. Muilta aloilta, kuten tietoturvasta, saadut kokemukset ovat selvästi osoittaneet, että organisaatio voi rakentaa ja parantaa turvallisuuskulttuuria ottamalla käyttöön hallintajärjestelmän.
Moniin yhteyksiin kytkeytyneessä yhteiskunnassa yksityisyyden suojaan kohdistuvat uhat ulottuvat tieto- ja kyberturvallisuudesta siihen, että yritys itse tai muut lailliset toimijat käyttävät tai tallentavat tietoja väärin, vaikkakin tahattomasti. Tietoturvainvestoinnit ovat olennaisen tärkeitä, koska useimmat yritykset näyttävät nykyään olevan vaarassa. Tietoketjun heikko kohta on kuitenkin usein henkilö, joka käyttää tietoja, ja niitä käsittelevät laitteet tai ohjelmistot. Tämä korostaa säännöllisen koulutuksen suurta tarvetta. Se voi olla verkko-opetusta, pienempiä koulutuspillereitä tai laajempaa koulutusta koko tiedonhallintaan osallistuvalle henkilöstölle.
Järjestelmät luovat vankan ja luotettavan lähestymistavan
Tietenkin on olemassa muitakin näkökohtia, jotka ovat tärkeitä vaatimustenmukaisen hallintajärjestelmän lisäksi. Esimerkiksi asianmukaisesti koulutettujen sisäisten asiantuntijoiden läsnäolo, jotka ovat yhteyspisteenä henkilöstön esittämissä pyynnöissä tai epäilyissä, on olennaisen tärkeää. Tällaiset asiantuntijat voivat myös auttaa yritystä todella laajentamaan yksityisyyden suojaa suunnittelun ja oletusarvoisesti. Tietoturva varmistetaan järjestelmällisesti toteuttamalla prosesseja, joilla rajoitetaan tietojen keräämistä ja käsittelyä, varmistetaan laatu, hallinnoidaan tietojen säilyttämistä ja hävittämistä sekä valvotaan tietojen siirtämistä minkä tahansa hankkeen suunnitteluvaiheessa tai tietojen käsittelytapojen muutosten yhteydessä.
DNV:n tutkimus paljasti, että yritykset investoivat paljon henkilöstön koulutukseen ja tietoisuuteen inhimillisten virheiden riskin vähentämiseksi. Osaamiseen panostaminen on aina rakentava lähestymistapa. Näemme, että yritykset, jotka panostavat voimakkaasti koulutukseen, voivat yhdistää tämän ISO 27701 -standardin mukaisen yksityisyyden suojaa koskevan tiedonhallintajärjestelmän käyttöönottoon, jotta lähestymistapa olisi vankempi, joustavampi ja luotettavampi.
By Nanda kumar Shamanna, ICT Business Manager, DNV
