Murupolku

Tietosuoja ja tietoturva otetaan Fimeassa vakavasti

Puupalikoista koottu sana privacy.

© GettyImages/SinArtCreative

Vuosi 2020 korosti tietosuojan ja tietoturvan merkitystä

Etätöihin siirtyminen ja tietomurtouutiset nostivat valitettavallakin tavalla vuonna 2020 esille tietosuojan ja tietoturvan merkityksen meidän jokaisen oikeuksien toteutumiselle. Fimean kaltaisissa virastoissa, joissa käsitellään mm. salassa pidettäviä terveystietoja, on toki aiemminkin panostettu tietosuojan ja tietoturvan toteuttamiseen ja turvaamiseen mutta viime vuoden aikana tämä työ sai uudenlaisia vivahteita.

Mitä tietosuoja ja tietoturva ovat

Tietosuoja ja tietoturva kulkevat usein käsi kädessä. Täysin sama asia ne eivät kuitenkaan ole eikä vain toisen huomioiminen riitä.

Tietosuoja on osa jokaisen perustuslaissa turvattua yksityisyyden suojaa. Tietosuojan tarkoituksena on varmistaa, että henkilötietoja käsitellään organisaatioissa lainmukaisesti ja vain kun henkilötietojen käsittelylle löytyy lainsäädännöstä peruste. Lisäksi tietosuoja turvaa rekisteröidyn oikeuksia häntä koskevien tietojen käsittelyssä.

Tietoturvalla puolestaan pyritään tiedon saatavuuden, eheyden ja luottamuksellisuuden turvaamiseen. Saatavuus takaa tarvittaessa pääsyn tietoon. Eheys taas tarkoittaa, että tieto on luotettavaa ja muuttumatonta, ja luottamuksellisuus varmistaa, että tietoa käsittelevät vain ne henkilöt, joilla on oikeus käsitellä kulloinkin kyseessä olevaa tietoa.

Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot kuten nimi, henkilötunnus, potilastiedot tai joku henkilölle tunnusomainen piirre.

Tietosuoja ja tietoturva huomioidaan koko tiedon elinkaaren ajan

Tietosuoja ja -turva huomioidaan jokaisessa henkilötietojen käsittelyvaiheessa tiedon keräämisestä sen tuhoamiseen.

Henkilötietoja saa kerätä vain tiettyä tarkoitusta varten ja vain siinä laajuudessa kuin se tarpeellista tarkoituksen toteuttamiseksi. Henkilötietoja ei siis voi kerätä vain tiedonhalun tai varmuuden vuoksi.

Henkilötietoja voivat käsitellä vain sellaiset henkilöt, joiden tehtävät edellyttävät tietojen käsittelyä. Tämä rajaus tulee tehdä myös organisaatioiden sisällä. Näin toimitaan myös Fimeassa, jossa vain ne virkamiehet, joiden työtehtäviin kuulee henkilötietojen käsitteleminen pääsevät tietoihin käsiksi.

Käsittelyä rajataan erityisesti järjestelmien käyttäjäoikeuksilla ja seurataan lokitiedoilla. Koska Fimeassa käsitellään myös paljon paperilla olevia henkilötietoja, on tiettyihin toimitiloihin pääsyä rajoitettu sen varmistamiseksi, ettei asiakirjojen tieto vahingossa pääsy vääriin silmiin.

Tietosuoja huomioidaan myös harkittaessa Fimeassa olevien henkilötietojen luovuttamisesta Fimean ulkopuolelle. Henkilötietojen pyytäjän onkin pystyttävä osoittamaan, että hänellä on oikeus käsitellä pyytämiänsä tietoja. Tietoturva puolestaan vaikuttaa siihen, että henkilötietoja siirretään pääasiassa turvasähköpostin välityksellä.

Kun henkilötietojen käsittelemiselle ei enää ole perustetta, ne joko arkistoidaan asianmukaisesti tai hävitetään tietoturvallisesti.

Rekisteröidyn oikeuksien toteuttaminen

Tietosuoja-asetuksen mukaan rekisteröidyllä on mm. seuraavat oikeudet:

  • saada tietoa henkilötietojensa käsittelystä
  • saada pääsy tietoihin
  • oikaista tietoja
  • rajoittaa tietojen käsittelyä
  • vastustaa tietojen käsittelyä.

Rekisteröityjen tietojensaantioikeuksien huolehditaan mm. julkisten tietosuojaselosteiden avulla. Fimean rekistereiden tietosuojaselosteet löytyvät tietosuoja-verkkosivultamme: Tietosuoja

Jokaisella on myös oikeus tarkistaa, millaisia tietoja hänestä rekisterinpitäjällä on.

Tarina tietosuojasta

Pertti on lukenut lehdestä, että jokaisella on oikeus tarkistaa, onko hänestä tietoja viranomaisilla ja jos on, niin mitä nämä tiedot ovat. Pertti on saanut muutama vuosi sitten haittavaikutuksia hänelle määrätystä lääkkeestä, joten hän päättää tarkistaa mitä tietoja Fimeassa hänestä on.

Pertti löytää Fimean verkkosivulta ohjeet, miten omien tietojen tarkistuspyynnön voi tehdä: Tietosuoja. Pertti tunnistautuu Fimean asiointipalveluun ja tekee siellä ohjeiden mukaisesti tarkistuspyynnön.

Pyyntö saapuu suojattuna viestinä Fimean kirjaamoon, jossa Ritva kirjaa sen Fimean asianhallintajärjestelmään ja ohjaa tietosuojavastaavan käsiteltäväksi. Tietosuojavastaava Sanna ottaa pyynnön käsiteltäväksi, tarkistaa että se sisältää kaikki tarvittavat tiedot ja pyytää sen jälkeen kaikkien Fimean rekistereiden sekä asianhallintajärjestelmien vastuuhenkilöitä tarkistamaan löytyykö Pertistä tietoja.

Tarkistuksen tulos on, että Pertin tietoja löytyy sekä haittavaikutusilmoituksesta, kuten Pertti arvelikin, sekä erityisluparekisteristä. Pertti on nimittäin käyttänyt vuosia aiemmin lääkevalmistetta, joka on edellyttänyt Fimean myöntämää erityislupaa.

Saatuaan tiedot tietosuojavastaava Sanna toimittaa salatulla sähköpostilla Pertille tiedon tarkistuksen tuloksesta.

Tällä välillä Pertti on lukenut lisää tietosuojasta ja oppinut, että hänelle on myös oikeus vastustaa omien tietojensa käyttämistä. Hän ei halua, että hänen tietojaan käytetään myöhemmin esimerkiksi tutkimuksissa. Pertti toimittaakin Fimeaan kirjeen, jossa hän kieltää tietojensa myöhemmän käytön.

Tieto Pertin vastustuksesta kirjataan Fimean asianhallintajärjestelmään. Jatkossa jos Fimeasta pyydetään esimerkiksi tutkimuskäyttöön henkilötietoja, ei Pertin tietoja luovuteta. Tietosuojavastaava Sanna ilmoittaa Pertille, että hänen vastustuksensa on kirjattu ylös ja tullaan huomioimaan jatkossa.

Kun asiat eivät menekään niin kuin oli suunniteltu

Fimeassa työskennellään moniammatillisesti, jotta tietosuoja ja -turva toteutuisivat asianmukaisesti. Kaikesta varautumisesta huolimatta asiat eivät aina suju kuten pitäisi. Tietoja voi kadota, niitä voi päätyä vääriin käsiin tai niiden sisältö muuttuu tosin kuin on tarkoitus. Tällöin käsillä on tietoturvaloukkaus.

Tietoturvaloukkauksen sattuessa Fimeassa arvioidaan tietoturvaloukkauksen aiheuttaman riski ja ryhdytään tarvittaviin korjaaviin toimenpiteisiin. Tarvittaessa tapahtuneesta loukkauksesta myös ilmoitetaan tietosuojavaltuutetulle ja rekisteröidylle, jonka tiedoista on kyse.

Pelaamalla tietoturvaosaajaksi

Ajan tasalla oleva ohjeistus sekä henkilökunnan jatkuva ja uudistuva koulutus ovat a ja o tietosuojan ja tietoturvan toteuttamisessa. Fimeassa ohjeistusta päivitetään säännöllisesti ja henkilöstölle tarjotaan mahdollisuuksia lisätä osaamistaan.

Osaamisen kartuttamisen ei kuitenkaan aina tarvitse olla niin vakavaa, vaan tietoturvaa voi opiskella myös esimerkiksi pelaamalla. Fimea osallistui syksyllä 2020 pidettyyn digiturvaviikkoon. Viikon aikana viraston henkilöstöä kannustettiin pelaamaan DVV:n tarjoamaa Digiturvallinen elämä -mobiilipeliä. Peli saikin virastossa myönteisen vastaanoton. Kuten eräs fimealainen totesi: ”Ei sitä joka päivä työnantaja kehota käyttämään työaikaa pelaamiseen.”

Sinäkin voit vaikuttaa tietosuojan toteutumiseen

Kun asioit viranomaisten kanssa, käytä tarvittaessa turvasähköpostia. Fimean turvapostipalveluun pääset täällä: Fimean turvaposti

Suorita kaikille avoin tietosuojakurssi eOppivassa: Tietosuojan ABC

Lue lisätietoja tietosuojasta tietosuojavaltuutetun sivuilta: Yksityishenkilöt