Ari Andreasson työskentelee tietosuojavastaavana Tampereen kaupungilla. Työ kattaa palveluita verkkokauppaliiketoiminnasta rakennusvalvontaan. Monipuolisen tehtäväkentän ansiosta hän kohtaa työssään niin arkisia tietosuojaongelmia kuin isompia vaaratilanteita. Hän kuitenkin toteaa, että eniten tietovuotoja työpaikoilla tapahtuu arjen pienissä hetkissä.

– Tietomurrot ovat itse asiassa aika epätodennäköisiä, vaikka riski niihinkin on kasvanut. Tosiasiassa yleisin syy tietovuodolle on useimmissa organisaatioissa se, että joku on mokannut käyttöoikeuksien hallinnan ja jakanut arkaluonteisen tiedoston koko henkilöstölle, Andreasson toteaa.

– Toinen keskeinen riski on tietojen lähettäminen tahattomasti väärälle vastaanottajalle joko kirjepostilla tai sähköisesti.

Hän kertoo, että huolimattomuus korostuu etenkin poikkeavissa ympäristöissä.

– Jos olet esimerkiksi työpaikan tilaisuudessa ja yrität ohimennen ja huomaamattomasti lähettää sähköpostiviestin, saatat painaa väärää nappia ja lähettää sen täysin väärälle henkilölle.

Tietosuoja organisaatioissa ja yrityksissä ei ulotu ainoastaan yrityksen salassa pidettävään dataan, vaan myös henkilöstön tietoihin. Andreasson huomauttaa, että työnantajilla on usein valtava määrä tietoa työntekijöistään – perinteisten henkilötietojen lisäksi tietoa voi olla esimerkiksi palkkauksesta tai elatusvelvollisuuksista.

– Jos joku työpaikan sisältä urkkii tietoja tai saa niihin vahingossa käyttöoikeudet, tai jos sattuu ulkopuolinen tietomurto, niin siellä on iso potti jaossa, Andreasson pohtii.

Isoista tietomurroista voikin seurata pahimmillaan esimerkiksi kiristystapauksia.

– Valitettavasti Suomessa tietoturva-asioita kehitetään aina kriisin kautta, ja valitettavan harvoin etupainotteisesti, Andreasson toteaa.

Koulutus luo toimivan tietosuojakulttuurin

Andreasson on pitänyt työssään kaupungin henkilöstölle satoja koulutuksia. Hän näkeekin, että työntekijöiden kiinnostus ja kyvykkyydet tietosuojaan liittyen kulkevat täysin käsi kädessä sen kanssa, onko johto valveutunutta ja ajan tasalla tietosuojasta.

– Meillä ollaan onnekkaita siinä mielessä, että ihmiset ovat kiinnostuneita. Kaupungin tietosuojaryhmä kokoontuu säännöllisesti, ja siinä on mukana läpileikkaavasti asiantuntijoita niin henkilöstö-, laki- kuin ICT-puolelta, Andreasson kertoo.

Tärkeää onkin koulutuksen ja toiminnan jatkuvuus, jolloin suurimmilta yli- ja alilyönneiltä säästytään.

– Ja toisaalta siltikin on koko ajan riskejä. Esimerkiksi tietomurron tai lainsäädännön muutoksen takia voi käydä niin, että kurssia ei pystykään kääntämään niin nopeasti. Tällöin myös kaupungin eri toimialoilta alkaa tulla kysymyksiä.

Koulutusten lisäksi kaupunki tarjoaa työntekijöilleen esimerkiksi ostettuja verkkokursseja ja digitaalisen lakikirjaston. Lisäksi kerran pari vuodessa henkilöstölle on kutsuttu puhujavieraiksi tunnettuja ulkopuolisia tietosuoja- ja tietoturva-asiantuntijoita.

– Tampereella on sellainen kulttuuri, että kannustetaan osallistumaan seminaareihin ja koulutuksiin. Jos työpaikan johto ei satsaa perehdyttämiseen tai anna eväitä onnistumiseen, tietovuodon sattuessa syyllinen löytyy peilistä, Andreasson toteaa.

Andreasson pohtii myös tietokirjojen myynnin hiipumista ja luotettavan tiedon löytämistä. Hän näkee, että työnantajien tulisi kannustaa henkilöstöä ostamaan alaan liittyviä teoksia.

– Jos henkilöstöllä ei ole mahdollisuutta hankkia alan kirjallisuutta, miten heidän tulisi löytää luotettavaa tietoa? Netin uutisotsikoista sitä ei välttämättä saa, vaan se löytyy edelleen asiantuntija-artikkeleista ja -kirjoista.

Tekoäly ja tietosuoja

Tekoälyn nopea kehitys on tuonut tietosuojavastaavan työhön uusia haasteita. Andreassonin mukaan tekoälyä ja tietosuojaa koskevissa kysymyksissä on usein tulkittava useita eri lakeja samanaikaisesti. Lisäksi esimerkiksi EU:n tekoälyasetuksessa on mainintoja eri riskitasojen käyttömuodoista, ja välillä on vaikea tulkita, mikä on sallittua ja mikä ei.

– Kehitys tekoälyn suhteen on ollut erittäin nopeaa, ja sen sovellukset ulottuvat nykyään älypuhelimista autoihin. Joskus voi myös jäädä kokonaan hämärän peittoon, mitkä ohjelmistot tai yritykset ylipäätään käyttävät tekoälyratkaisuja, Andreasson kertoo.

Yksi sudenkuoppa Andreassonin mukaan on se, että erilaisista tekoälypalveluista on saatavilla sekä kuluttaja- että yritysversioita, joissa on täysin päinvastaiset käyttöehdot. Kuluttajatuotteissa yritykset pidättävät lähtökohtaisesti oikeuden käyttää tietoja omien malliensa kouluttamiseen, kun taas yritystuotteissa tietoja ei käytetä.

– Toisaalta täytyy kysyä, kuinka paljon näihin lupauksiin voi luottaa. Jos esimerkiksi tietomurtajat haluavat päästä näihin tietoihin käsiksi, niin he aivan varmasti pääsevät.

Jatkuva oppiminen työn ytimessä

Tietosuojavastaavan työ vaatii jatkuvaa itsensä kehittämistä. Vaikka itse lainsäädäntö ei muutu kovinkaan nopeasti, EU:n ratkaisut elävät jatkuvasti. Andreasson pitää itsensä ajan tasalla seuraamalla asiantuntijaverkostoja, uutislähteitä ja sosiaalista mediaa.

– Aloitan aamuni joka päivä sillä, että luen, mitä maailmalla tapahtuu tietoturvaan ja -suojaan liittyen, Andreasson kertoo.

Tietosuoja-asioiden kanssa työskentelevien verkosto on lisäksi erittäin tärkeä tietolähde. Asiantuntijat jakavat muun muassa LinkedInissä keskenään tietoa uusista päätöksistä tai oikeudenkäyntien ratkaisuista.

– Ei ole mitään muuta tapaa pysyä kaikesta perillä. Esimerkiksi valtamedioiden uutiset saattavat tulla näissä asioissa vuosia viiveellä.

Jatkuva tiedonhaku ja perehtyminen ovatkin avainasemassa tietosuojavastaavan työssä. Myös EU:n yleisessä tietosuoja-asetuksessa sanotaan, että tietosuojavastaavan tehtävään tulee nimittää henkilö, joka on erityisen perehtynyt tietosuojalainsäädännön käytänteisiin. Jos näin ei ole, velvoitetta rikotaan.

– Tosiasia on se, että jos tietosuojavastaavan työtä ei saa tehdä päätoimisesti vaan jonkun toisen toimenkuvan ohella, tulee ongelmia. Työnkuva vaatii täyttä keskittymistä ja täyttä työaikaa, Andreasson toteaa.

Myös Andreassonille sanottiin työn alkaessa, ettei tehtävää tulisi hoitaa ennen kuin hän koki koulutuksensa riittäväksi. Ensi töikseen hän suorittikin Itä-Suomen yliopiston Osaava tietosuojavastaava -koulutuksen, josta myös uusi teos sai nimensä.

Andreassonin kiinnostus tietosuojaan on myös henkilökohtaista. Hän toimii työnsä ohella tietosuojayhdistyksen hallituksessa ja on ollut mukana erilaisissa projekteissa. Tämän vuoksi työ ei oikeastaan tunnu työltä.

– Olen aina ollut henkilökohtaisesti hyvin kiinnostunut näistä asioista. Kun oma työ on mielekästä, tulee luonnostaan luettua kirjoja ja muita lähteitä – ja opittua lisää, Andreasson päättää.

Mitä luet tällä hetkellä?

– Heikki Haavikon kirjaa Paavo Haavikko, isä. Kirja kertoo isän ja pojan suhteesta elämän eri vaiheissa.

Tutustu teokseen:

Osaava tietosuojavastaava — Tietosuojatyön haasteet ja ratkaisut -e-kirja

Ari Andreasson työskentelee tietosuojavastaavana Tampereen kaupungilla. Hän on tietosuojayhdistyksen hallituksen monivuotinen jäsen ja kouluttaa aktiivisesti tietosuoja-asioista. Hänet on palkittu Vuoden tietosuojavastaavana vuonna 2022.

Arto Ylipartanen toimii lakimiehenä vanhuus-, perhe- ja perintöoikeuteen keskittyvässä lakitoimistossaan. Hän on lisäksi työskennellyt tietosuojavaltuutetun toimistossa lähes 30 vuoden ajan.

Andreasson ja Ylipartanen ovat kirjoittaneet yhdessä useita tietokirjoja.