Tervetuloa tutustumaan Vantaan ensimmäiseen tietotilinpäätökseen

Tietotilinpäätöksen tekemistä

Vantaan kaupunki on laatinut ensimmäisen tietotilinpäätöksensä. Lähes 200-sivuinen dokumentti esittelee Vantaan organisaation tietojenkäsittelyn nykytilaa ja arvioi, kuinka tietosuoja ja tietoturva ovat toteutuneet. Tietotilinpäätöksellä varmistetaan lainsäädännön noudattaminen sekä toteutetaan keväällä 2018 voimaan astunutta EU:n yleistä tietosuoja-asetusta.

Tietotilinpäätöksen tiedot kerättiin toimialoittain, koska kaupungin hallintosäännön mukaan kukin toimiala vastaa tietosuojasta omalta osaltaan. Lisäksi henkilötietojen käsittelyssä on eroja kaupungin eri toimialoilla. Tietotilinpäätös on tarkoitus tehdä vuosittain, ja vuoden 2018 raportti toimii pohjana seuraavien vuosien tietotilinpäätöksille. Kerättyä tietoa on tarkoitus hyödyntää henkilötietojen käsittelyn kehittämisessä ja yhtenäistämisessä sekä Vantaan tulevan organisaatiouudistuksen yhteydessä. Tämä tiivistelmä johdattaa tietotilinpäätöksen avainkohtiin.

GDPR:n vuosi

Vuosi 2018 oli merkittävä tietosuojan kannalta, sillä EU:n yleistä tietosuoja-asetusta (EU 679/2016 eli GDPR) alettiin soveltaa kaikissa EU:n jäsenmaissa toukokuussa 2018. Asetuksen tavoitteena on varmistaa, että ihmisten oikeus henkilötietojen suojaan ja yksityisyyteen toteutuu myös digitaaliajan kehityksessä.

Asetus toi sekä rekisterinpitäjille että henkilötietojen käsittelijöille uusia tehtäviä ja velvollisuuksia ja antoi rekisteröidyille uusia oikeuksia, joista keskeisimmät ovat selkeät informointiasiakirjat henkilötietojen käsittelystä, oikeus tarkastaa itseään koskevat tiedot, oikeus siirtää tiedot järjestelmästä toiseen, oikeus tiedon oikaisemiseen tai poistamiseen, käsittelyn rajoittamiseen ja vastustamiseen sekä oikeus saada tieto tietoturvaloukkauksesta.

Tietosuojavastaava ohjeistaa ja kouluttaa

Vantaan kaupungilla tietosuojatyöstä vastaa kaupunginhallitus, joka on määritellyt tietoturva- ja tietosuojapolitiikan, kaupungin sisäiset määräykset ja ohjeet seuraamaan kansallisia lakeja ja EU:n asetuksia kaupungin johtamisessa, riskienhallinnassa, esimiestyöskentelyssä ja toimialojen toiminnassa. Avainasemassa tässä työssä ovat kaupungin tietoturva- ja tietosuojatyöryhmä, tietosuojavastaava ja -asiantuntija sekä toimialojen omat tietosuojatiimit. Esimerkiksi vuonna 2018 tietoturva- ja tietosuojatyöryhmä kokoontui yhdeksän kertaa ja työryhmän muistiot ovat nähtävissä kaupungin sisäisillä tietosuoja- ja tietoturvasivuilla.

Kaupungin tietosuojavastaava on pitänyt vuonna 2018 henkilöstölle koulutuksia tietosuojasta, jonka lisäksi toimialat ovat pitäneet omia tietosuojakoulutuksia. Niiden lisäksi tietosuojavastaava on laatinut kaupungille henkilötietojen käsittelyä koskevia yleisiä ohjeistuksia. Vuoden 2018 loppupuolella kaupungin kaikki tietosuoja- ja tietoturva-asiat koottiin kaupungin sisäisillä sivuilla yhteen paikkaan.

Tietoturvaloukkaukset otetaan vakavasti

EU:n yleisen tietosuoja-asetuksen mukaan henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Prosessi tietoturvaloukkauksien ilmoittamisesta on toiminut suhteellisen hyvin. Ilmoituksia tuli vuonna 2018 tietosuoja-asetuksen soveltamisen (25.5.2018) jälkeen yhteensä 49 kappaletta. Ilmoitukset ovat koskeneet esimerkiksi väärään osoitteeseen lähetetty postia (sähköinen sekä paperinen), laitteiden katoamisia tai varkauksia sekä tietojen lähettämistä suojaamattomassa verkossa. Tietosuojavaltuutetulle tehtiin ilmoitus neljässä tapauksessa.

Toimialojen tietosuojatoiminta pähkinänkuoressa

Raportissa käydään läpi toimialoittain muun muassa, mitä henkilötietoja niillä käsitellään, missä järjestelmissä niitä käsitellään, tietojen käsittelyä koskeva ohjeistus, käyttöoikeuksien hallinta, tietojenkäsittelyn valvonta, tietojen luovutukset sekä havaittuja ongelmakohtia tietosuojan ja henkilötietojen käsittelyn kannalta.

Tietojen käsittelyssä noudatetaan kautta linjan kaupungin yleisiä tietoturva- ja tietosuojaohjeita. Lisäksi tulosalueilla on annettu myös omia täydentäviä ohjeita. Henkilöstö on valmistautunut GDPR:n tuloon esimerkiksi osallistumalla tietosuojalainsäädännön koulutuksiin.

GDPR toi mukanaan ison joukon informointiasiakirjojen sekä käsittelytoimien selosteiden laatimista eri palvelukokonaisuuksista. Informointiasiakirjat laadittiin toimialoilla kaupungin yhteisen mallin mukaisesti. Ymmärrettävään kieleen kiinnitettiin erityisesti huomiota. Informointiasiakirjat ovat näkyvillä kaupungin internet-sivuilla sekä kaupungin sisäisillä sivuilla.

Yleisinä toimintaperiaatteina esimiehet ohjeistavat alaisiaan tietosuoja-asioissa, ja tietosuoja sisältyy myös uusien työtekijöiden perehdytykseen. Kehittämiskohteena nousi monin paikoin esiin, että tietosuojasta ja henkilötietojen käsittelystä toivotaan koulutuksia myös jatkossa. Tämä koetaan tärkeäksi esimerkiksi henkilöstön vaihtuvuuden takia.

Sosiaali- ja terveydenhuollon toimiala

Toimialalla on paljon erityislainsäädäntöä, sillä siellä käsitellään huomattava määrä palveluja saavien henkilötietoja terveydenhoidon järjestämiseksi. Samoin tietojärjestelmiä on useita, joten koulutuksia tietosuojan osalta on toimialalla järjestetty runsaasti. Suurimpana vaikutustenarviointina aloitettiin 2018 loppupuolella Apotti-tietojärjestelmän henkilötietojen käsittelyn kuvaus.

Vuoden 2018 aikana toimialalla on kokoontunut kaksi kertaa kuukaudessa tietosuojatiimi. Toimialan kehittämistarpeissa vuodelle 2019 mainittiin tietosuoja-asioiden haastavuus ja lisäohjeistuksen tarve. Ongelmakohdiksi listattiin myös manuaalisten asiakastietojen käsittelyn ja säilytyksen riskit. Konkretian tasolla haasteena ovat työhuoneiden ja asiakastilojen äänieristeiden puutteellisuus. Lisäksi huomiota kiinnitettiin Vantaan ulkopuolisiin työntekijöihin ohjeistukseen ja perehdytykseen.

Sivistystoimen toimiala

Sivistystoimi pitää sisällään raportit talous- Ja hallintopalveluista, varhaiskasvatuksesta ja esiopetuksesta, perusopetuksesta, nuoriso- Ja aikuiskoulutuksesta, kaupunginkirjastosta, kulttuuripalveluista, liikuntapalveluista ja nuorisopalveluista.

Tulosalueella käsitellään henkilötietoja siinä laajuudessa kuin se on välttämätöntä tulosalueen tehtävien hoitamiseksi. Toimialalta on nimetty kaksi edustajaa kaupunkitasoiseen tietoturva- ja tietosuojatyöryhmään. Työryhmän jäsenet toimivat yhteyshenkilöinä tietoturva- ja tietosuoja-asioissa työryhmän ja oman toimialansa välillä.

Yhteisenä piirteenä kaikissa kehityskohteina vuodelle 2019 kerrotaan lisäkoulutuksen tarve. Nuorisopalveluissa lisähuomiona henkilötietojen tarkastuspyyntöihin vastaamiseen käytettävää suurta työmäärää pyritään vähentämään jatkossa muun muassa kehittämällä tarkastuspyyntölomaketta.

Maankäytön, ympäristön ja rakentamisen toimiala

Maankäytön, ympäristön ja rakentamisen toimialalla käsitellään lähinnä ihmisten yhteystietoja sekä jonkun verran henkilötunnuksia ihmisten tunnistamista varten. Arkaluontoisia henkilötietoja toimialalla ei käsitellä lainkaan.

Kiinteistönomistaja tietojen luovuttamisesta on tehty ohje kaupunkimittauksen henkilöstölle, ja se on käyty läpi asiakaspalvelun henkilöstön kanssa. Vain yksittäisiä tietoja voidaan antaa puhelimitse.

Ensi vuodelle nousevia kehittämistarpeita ovat ainakin uuden toimitilan suunnittelussa arkistotilojen käytettävyys ja tietoturva. Listalla on myös sähköpostin salauksen saaminen helposti käytettäväksi.

Kaupunginjohtajan toimiala

Kaupunginjohtajan toimialan raportti pitää sisällään erilliset osiot taloussuunnittelusta, elinkeinopalveluista, kaupunginkansliasta, sisäisestä tarkastuksesta, viestinnästä ja henkilöstökeskuksesta.

Kaupunginkansliaan on vuonna 2018 palkattu kaupungin tietosuojavastaava ja syyskuussa 2018 aloittaneella hallintosihteerillä on tietosuojaan liittyviä työtehtäviä.

Vantaan kaupungin taloussuunnittelun tietopalveluyksikkö käsittelee suuria määriä henkilötietoja, sillä tilastoinnin kohteena ovat useimmiten kaikki Vantaan kaupungin asukkaat.

Konserni- ja asukaspalveluiden toimiala

Konserni- ja asukaspalveluiden toimialan osio sisältää omat kohtansa asukaspalveluista, hankintakeskuksesta, tietohallinnosta, rahoituksesta, talous- ja hallintopalveluista ja talouspalvelukeskuksesta.

Asukaspalveluissa tietojen käsittelyn riskianalyysi tehtiin syksyllä 2018. Tietosuoja-asiat on huomioitu entistä tarkemmin tietosuoja-asetuksen voimaan tullessa ja tietosuojakäytänteet on käyty läpi kaikilla vastuualueilla.

Tietohallinnossa ulkopuolinen yritys suoritti kattavan teknisen hyökkäys- ja murtotestauksen Vantaan järjestelmä- ja ICT-palvelukokonaisuudessa vuonna 2018. Tietoturvaan ja tietosuojaan liittyviä ohjeita on kattava joukko. Tietosuoja huomioidaan sopimusten tietosuojaliitteissä. Tärkeimpien toimittajien kanssa on laadittu tietosuoja- ja tietoturvasopimus, joka kattaa kaikki kyseisten toimittajien palvelut Vantaalle. Tietovuodon käsittelyprosessi on muodostettu ja informoitu henkilöstölle EU:n tietosuoja-asetuksen siirtymäajan umpeuduttua toukokuussa 2018. Tietovuodon Ilmoittamisen ohje/lomake on käytössä.

Tietosuojan merkitys kasvaa

Tietosuojan merkitys kasvaa jatkuvasti digitalisoituvassa ja verkottuvassa maailmassa. Digitalisaation myötä henkilötietoja halutaan hyödyntää yhä laajemmin. Lainsäädäntöä tarvitaan turvaamaan yksilön oikeuksia ja vapauksia. Henkilötietoja käsiteltäessä ja uusia toimintoja suunniteltaessa tulee aina huolehtia siitä, ettei yksilön oikeudet, vapaudet eikä oikeusturva vaarannu. Tällä rakennetaan myös luottamus kaupungin ja kaupunkilaisten välille. Kuntalainen voi luottaa siihen, että hänen henkilötietojaan käsitellään lainmukaisesti ja tietoturvallisesti. Pääsy hänen tietoihinsa on vain henkilöillä, jotka tarvitsevat hänen tietojaan työtehtävien hoitamiseen.

Johdon vahva sitoutuminen henkilötietojen käsittelyn kehittämiseen ja parantamiseen on välttämätöntä. Henkilötietojen käsittelyyn ja hallintaan on Vantaan kaupungissa kiinnitetty entistä enemmän huomiota. Tietotilinpäätös kertoo henkilötietojen käsittelyn nykytilanteen ja sen pohjalta on hyvä lähteä kehittämään entistä parempaa henkilötietojen käsittelyä Vantaalla.

Julkaistu: 26.6.2019 
(muokattu: )

Ajankohtaista

Twitter