Missä tietosuoja epäonnistuu arjessa?

Arki on suurin haaste tietosuojassa

Kun tietosuojasta keskustellaan, huomio kiinnittyy usein tietomurtoihin, haittaohjelmiin ja teknisiin suojausratkaisuihin. Käytännössä suurin osa tietosuojaan liittyvistä ongelmista ei kuitenkaan synny kehittyneiden kyberhyökkäysten seurauksena. Ne syntyvät tavallisessa työarjessa – tilanteissa, joissa ihmiset toimivat kiireessä, puutteellisten ohjeiden varassa tai epäselvien vastuiden ympäröimänä.

Sosiaali- ja terveydenhuollossa henkilötietojen käsittely on osa jokapäiväistä työtä. Asiakas- ja potilastiedot kulkevat järjestelmissä, sähköposteissa, kirjauksissa ja ammattilaisten välisessä yhteistyössä. Tietosuojan taso ei tällöin määräydy sen perusteella, kuinka hyvin dokumentit on laadittu. Ratkaisevaa on se, miten toimintatavat toteutuvat käytännössä jokaisena työpäivänä.

”Kiire ja kuormitus lisäävät virheiden mahdollisuutta”

Yksi yleisimmistä epäonnistumisen syistä on inhimillinen virhe. Työntekijä lähettää sähköpostin väärälle vastaanottajalle, avaa tietojenkalasteluviestin tai käsittelee asiakastietoja tavalla, joka poikkeaa organisaation ohjeista. Usein kyse ei ole välinpitämättömyydestä, vaan kiireestä, kuormituksesta tai siitä, ettei oikeaa toimintatapaa tunneta riittävän hyvin. Sote-alan toimintaympäristö on luonteeltaan kiireinen, mikä lisää virheiden mahdollisuutta merkittävästi.

Väärät toimintamallit jäävät piiloon

Erityisen haastavaa on se, että tietosuojan ongelmat eivät yleensä näy välittömästi. Organisaatio voi toimia vuosia ilman merkittäviä poikkeamia ja silti kantaa mukanaan piileviä riskejä. Käyttöoikeuksia ei tarkisteta, dokumentaatio vanhenee, vastuut jäävät epäselviksi ja henkilöstön osaaminen rapautuu vähitellen. Tällaisessa tilanteessa tietosuoja perustuu enemmän oletuksiin kuin todelliseen tilannekuvaan. Juuri tämä on yksi merkittävimmistä riskeistä: usko siihen, että asiat ovat kunnossa ilman, että niiden toteutumista seurataan järjestelmällisesti.

Tietosuoja ei siis useimmiten epäonnistu palvelimella tai tietojärjestelmässä. Se epäonnistuu arjessa – niissä pienissä hetkissä, joissa toimintatavat eivät vastaa niitä periaatteita, joihin organisaatio uskoo sitoutuneensa. Siksi paras tietosuojan mittari ei ole se, mitä organisaation asiakirjoissa lukee, vaan se, miten ihmiset toimivat tavallisena työpäivänä.

Ratkaisuksi koulutusta ja seurantaa

Oikotietä onneen ei tässäkään asiassa ole, vaan ratkaisuksi tarjotaan jatkuvaa koulutusta ja pistokoemaista seurantaa. Esihenkilöiden sitoutuminen tietosuojan toteutumisen seurantaan on ensiarvoisen tärkeää. Jos organisaation oma osaaminen ei riitä, on apua haettava ulkopuolisista tietosuojapalveluista.

HyväSOTE™ Tietoturvapalvelu auttaa organisaatioita rakentamaan toimivan tietosuojakulttuurin. Käy varaamassa maksuton 30 minuutin etätapaaminen ja katsotaan teille 2 – 3 toimenpidettä auttamaan alkuun.

Like this article?

Share on Facebook
Share on Twitter
Share on Linkdin
Share on Pinterest