Skip to content

Onko yrityksenne tietosuojatekemisen kypsyys jo riittävä?

25.5.2018 oli paremminkin alkuhetki, ei päätepiste.

- Tietosuojavaltuutettu Reijo Aarnio

Tietosuojakollegani kysyivät aiemmin blogissamme, voidaanko tietosuojarintamalla tuudittautua hiljaisuuteen, kun GDPR:n historiaan jäänyt voimaantulopäivämäärä on ohitettu – vai olisiko sittenkin jotain vielä tekemättä? Onko nyt tehdyissä toimenpiteissä vasta putsattu julkisivu, vai onko tietosuoja oikeasti juurtunut organisaation toimintatavaksi ja jalkautettu ihmisten prosesseihin?

Miten tietosuojan kypsyyttä voi mitata?

Tietosuojan kypsyysmittaus tarkastelee tekemisen tasoa ja riittävyyttä kokonaisvaltaisesti. Kuten moneen muuhunkin alueeseen, myös tietosuojaan on kehitetty mittaristoja organisaatioiden tietosuojatekemisten kypsyyden mittaamiseen. Perustana monille käytetyille kypsyyden mittareille on vuonna 2011 julkaistu AICPA/CICA Privacy Maturity Model.

Mallin ovat kehittäneet The American Institute of Certified Public Accountants (AICPA) ja The Canadian Institute of Chartered Accountants (CICA). Mittariston lähtökohtana ovat yleisesti hyväksytyt tietosuojaperiaatteet (Generally Accepted Privacy Principals – GAPP) ja Capability Maturity Model (CMM), joita on käytetty jo yli 20 vuoden ajan. CMM-mittaristo on viisiportainen ja sisältää seuraavat tasot:

  1. Jäsentymätön — Tietosuojaprosessit ja menettelytavat on toteutettu epävirallisesti, epätäydellisesti tai vajavaisesti ja epäjohdonmukaisesti.
  2. Toistettavissa — Tietosuojaprosesseja ja menettelytapoja on olemassa, niitä ei kuitenkaan ole kunnollisesti dokumentoitu, eivätkä ne sisällä kaikkia relevantteja tietosuojan osa-alueita.
  3. Määritelty — Tietosuojaprosessit ja menettelytavat on hyvin dokumentoitu ja toteutettu, ja ne pitävät sisällään kaikki vaaditut tietosuojan osa-alueet.
  4. Jalkautettu — Tietosuojan arviointeja tehdään, jotta saadaan selville asetettujen tietosuojakontrollien tehokkuus.
  5. Optimoitu/idealistinen — Säännöllisiä arviointeja ja palautetta käytetään varmistamaan tietosuojaprosessien optimoinnin jatkuva kehittäminen.

AICPA/CICA Privacy Maturity Model pohjautuu kymmeneen tietosuojavaatimusalueeseen, jotka ovat relevantteja tänäkin päivänä. Loihde Advancella olen soveltanut mittaristoa ja sen hyviksi havaittuja sovelluksia GDPR:n vaatimukset huomioiden. Mittariston kymmenen pääelementtiä koostuvat noin 40 yksittäisestä kyvykkyydestä. Päätason vaatimusalueet ovat seuraavat:

Tietosuojan kypsyysmalli

tietosuojan kypsyyden mittaaminen

Mikä on riittävä tietosuojan kypsyyden taso?

Yleisesti ottaen yritys vastaa hyvin GDPR:n vaatimuksiin, jos se on saavuttanut jalkautettu-tason kunkin pääelementin kohdalla. Yrityksen koko ja toimiala kuitenkin vaikuttavat siihen, mikä tietosuojan taso katsotaan riittäväksi. Tietyille yrityksille voi joiltakin osin riittää määritelty-taso, mutta toiselle riittävä saattaa olla vasta optimoitu.

Yritys vastaa hyvin GDPR:n vaatimuksiin, jos se on saavuttanut jalkautettu-tason kunkin pääelementin kohdalla.

Otetaan esimerkiksi asiantuntijatyötä myyvä keskikokoinen konsultointiyritys, jolla on vain yritysasiakkaita työntekijätietojen lisäksi. Tällainen yritys ei käsittele suurta määrää henkilötietoa, mutta tiedon käsittely voi olla lähes kokonaan pilvipalveluissa tai yhteistyökumppaneilla. Tässä tapauksessa tietojen siirron hyvä hallinta korostuu, kun taas esimerkiksi rekisteröidyn oikeuksien toimille riittäisi määritelty-taso.

Toisaalta suurelle terveydenhoitoyritykselle tai valtion virastolle, joka käsittelee kaikkien suomalaisten arkaluontoisia tietoja, jalkautettu-tason pitää olla tavoite ja joiltakin osin voi olla syytä tavoitella optimoitu-tasoa.

Mitä hyötyä saat tietosuojakypsyyden mittaamisesta?

If you cannot measure it, you cannot improve it.

- Edward Deming

Yrityksen tietosuojatiimin kannattaa käyttää kypsyysmittaristoa esimerkiksi yrityksen tietosuojan nykytilan kartoitukseen, raportointiin, tavoitteiden määrittelyyn sekä tärkeimpien kehityskohtien identifiointiin. Mittariston yksityiskohtaisista valmiusvaatimuksista voi johtaa tarvittavia tietosuojavaatimuksia, asettaa prioriteetteja näiden tekemiselle sekä välietappeja halutun valmiustason saavuttamiseksi – ja tarkastella tilannetta määräajoin.

Tietosuojan kehittäminen voi käytännössä edetä vain vaiheittain.

Tietosuojan kehittäminen voi käytännössä edetä vain vaiheittain, eikä esimerkiksi toistettava-vaiheesta voi kerralla yksittäisillä tekemisillä nopeasti päästä jalkautettu-vaiheeseen, vaan tekeminen vaatii suunnitelmallista kehittämistä vaiheittain kohti seuraavaa tavoitetilaa. Yrityksen kulttuurin muutos ja oppiminen vaatii tunnetusti aikaa. Tärkeä edellytys kaikille kehitysasioille on ylimmän johdon näkyvä tuki.

Miten kypsyystaso vaikuttaa myynnin viivästyksiin ja tietovuotojen aiheuttamiin kustannuksiin?

AICPA/CICA-mittaristoa on käyttänyt myös Cisco tutkimuksessaan Privacy Maturity Benchmark Study (2018), johon osallistui 3600 tietoturva-asiantuntijaa 25 maasta. Tutkimuksessa kartoitettiin, miten tietosuojavaatimusten huomioon ottaminen vaikuttaa myynnin viivästymiseen. Jopa 65 % yrityksistä koki viivästyksiä tietosuojavaatimusten takia. Yksi havainto oli, että mitä kypsemmät tietosuojaoperaatiot yrityksellä on, sitä lyhempiä viivästykset ovat ja lisäksi sitä pienempiä ovat tietovuodoista aiheutuneet kustannukset. Tietosuojahallinnan organisoitumismallina hybridimalli eli keskitetyn ja hajautetun välimuoto oli tehokkain malli lyhentämään myynnin viivästyksiä.

Tämän tutkimuksen perusteella on voitu todeta, että tietosuojatoimintojen kehittäminen ei ole pelkästään compliance-asia (kustannusten ja sakkojen välttäminen), vaan tällä voi suoranaisesti vähentää myynnin myöhästelyä sekä karsia menoja, kun esimerkiksi tietovuotojen selvittämiseen käytetty aika pienenee.

Kohti tasoja määritelty ja jalkautettu siis – vai oletko jo siellä?

Tietosuojatoiminnassa ja sen kehittämisessä ja ylläpidossa on lukuisia eritasoisia ulottuvuuksia. Vähäisin resurssein on haastavaa, ellei mahdotonta, yltää tasoille määritelty ja jalkautettu. Tietosuojakypsyyden kehittämisen edellytys on – niin konserni- kuin liiketoimintatasolla – organisaation toimintaan ja olemassa oleviin rakenteisiin perustuva, riittävä ja suunniteltu vastuiden ja roolien määritys ja toimeenpano. Hyvä tapa edetä on siis selvittää, mikä on organisaationne tietosuojakypsyys milläkin alueella, määritellä tavoitetaso ja priorisoida tietosuojan hallintamallin kehittämistoimenpiteet.

Tarvitsetko osaamista liiketoimintasi tietosuojaistamiseen?

Emme vain konsultoi vaan jalkautamme ja juurrutamme tietosuojakulttuurin organisaatioon. Asiantuntijamme kartoittavat tietosuojan kypsyyden kokonaisvaltaisesti ja priorisoivat kehityskohteet riskiperusteisesti. Suunnittelemme ja räätälöimme yhdessä kanssasi tietosuojan kehityspolun. Lue lisää täältä ja ota yhteyttä.

Päivi Lehtinen-Tahvanainen. Kirjoittaja työskenteli Loihde Advancella kesään 2019.