Henkilötietojen suoja on monessa pk-yrityksessä samaan aikaan kriittinen ja yllättävän hajallaan hoidettu kokonaisuus. Tietoja on HR-järjestelmissä, asiakasrekistereissä, pilvipalveluissa, sähköposteissa ja joskus myös Excel-tiedostoissa, mutta vastuut, käytännöt ja valvonta eivät aina pysy mukana. Kun tähän yhdistyy asiakkaiden kasvavat vaatimukset ja kiristyvä toimittaja-arviointi, pelkkä hyvä aikomus ei enää riitä.
Tässä artikkelissa käymme läpi, miten ISO 27001 liittyy henkilötietojen suojaan, mitä se käytännössä tarkoittaa pk-yritykselle ja miten voit edetä hallitusti ilman raskasta byrokratiaa. Saat selkeän kuvan siitä, missä ISO 27001 tukee GDPR-velvoitteita, mitä kontrollit tarkoittavat arjessa ja miten aloittaa työ niin, että tulokset näkyvät myös auditoinneissa, asiakaskyselyissä ja omassa riskienhallinnassa.
Miten ISO 27001 liittyy henkilötietojen suojaan?
ISO 27001 on kansainvälinen standardi tietoturvan hallintajärjestelmälle, eli järjestelmälliselle tavalle johtaa tietoturvaa. Se ei ole sama asia kuin GDPR, mutta se antaa rakenteen, jolla henkilötietojen suojaa voidaan toteuttaa, seurata ja parantaa jatkuvasti.
Käytännössä tämä tarkoittaa sitä, että henkilötietojen suoja ei jää yksittäisten ohjeiden tai yhden vastuuhenkilön varaan. Sen sijaan yritys määrittää esimerkiksi riskit, vastuut, käyttöoikeudet, poikkeamien käsittelyn ja toimittajahallinnan niin, että kokonaisuus on todennettavissa.
Jos mietit, miksi tämä on tärkeää, kysy itseltäsi nämä kolme kysymystä:
- Tiedättekö varmasti, missä kaikkialla henkilötietoja käsitellään?
- Poistetaanko tarpeettomat käyttöoikeudet 24 tunnin sisällä työsuhteen päättymisestä?
- Pystyttekö näyttämään asiakkaalle tai auditorille, miten henkilötietojen suoja on käytännössä järjestetty?
ISO 27001 auttaa erityisesti näissä osa-alueissa:
- tunnistamaan henkilötietoihin liittyvät riskit
- määrittämään suojaustoimet riskien perusteella
- dokumentoimaan vastuut ja toimintatavat
- seuraamaan, toimivatko käytännöt oikeasti
- parantamaan toimintaa poikkeamien ja havaintojen perusteella
Huomio
ISO 27001 ei korvaa GDPR:ää eikä GDPR korvaa ISO 27001 -standardia. GDPR kertoo, mitä henkilötietojen käsittelyssä pitää huomioida lain näkökulmasta, kun taas ISO 27001 antaa johtamismallin ja kontrollit, joilla suoja rakennetaan käytäntöön.
Mitä henkilötietojen suoja tarkoittaa käytännössä?
Henkilötieto on tieto, josta henkilö voidaan tunnistaa suoraan tai epäsuorasti. Nimi ja sähköpostiosoite ovat ilmeisiä esimerkkejä, mutta myös IP-osoite, asiakasnumero, sijaintitieto tai yhdistelmä eri tietoja voi olla henkilötietoa.
Pk-yrityksessä henkilötietoja löytyy usein ainakin seuraavista paikoista:
- asiakas- ja CRM-järjestelmät
- HR- ja palkkahallinnon järjestelmät
- tukipyyntö- ja tiketöintijärjestelmät
- markkinoinnin työkalut
- sähköposti ja tiedostopalvelut
- alihankkijoiden ja kumppaneiden järjestelmät
Suoja ei tarkoita vain sitä, ettei tietoja vuoda ulos. Se tarkoittaa myös sitä, että tiedot ovat oikeita, saatavilla oikeille henkilöille oikeaan aikaan ja poistetaan, kun säilytysaika päättyy. ISO 27001:ssa tätä katsotaan usein kolmen perusperiaatteen kautta:
| Periaate | Mitä se tarkoittaa | Esimerkki henkilötiedoissa |
|---|---|---|
| Luottamuksellisuus | Vain oikeat henkilöt pääsevät tietoihin | HR-tiedot näkyvät vain HR:lle ja esihenkilöille |
| Eheys | Tieto pysyy oikeana eikä muutu luvatta | Palkkatietoja ei voi muokata ilman valvottua oikeutta |
| Saatavuus | Tieto on käytettävissä tarvittaessa | Asiakaspalvelu saa asiakastiedot käyttöön myös häiriötilanteessa |
Kun henkilötietojen suojaa johdetaan näiden kautta, keskustelu muuttuu nopeasti konkreettiseksi. Ei puhuta vain "tietosuojasta", vaan siitä, kuka pääsee tietoihin, miten muutokset hyväksytään ja kuinka nopeasti poikkeamiin reagoidaan.
Missä ISO 27001 tukee GDPR-vaatimuksia?
Moni yritys lähtee liikkeelle GDPR:n kautta, mutta huomaa pian, että vaatimusten ylläpito on vaikeaa ilman selkeää rakennetta. Tässä kohtaa ISO 27001 tuo käytännön hyötyä. Se auttaa tekemään henkilötietojen suojasta toistettavaa eikä kertaluonteista projektia.
Erityisen hyödyllinen ISO 27001 on seuraavissa teemoissa:
- riskienhallinta: tunnistetaan 3–5 keskeistä riskiä per prosessi tai tietoryhmä
- käyttöoikeuksien hallinta: määritellään myöntäminen, tarkistus ja poistaminen
- poikkeamien hallinta: tietoturvaloukkaukset kirjataan ja käsitellään määräajassa
- toimittajahallinta: alihankkijoiden suojausvaatimukset arvioidaan ennen käyttöönottoa
- koulutus ja osaaminen: henkilöstö koulutetaan vähintään 1 kerran vuodessa
- dokumentointi: toimintatavat, vastuut ja päätökset pystytään näyttämään toteen
Seuraava taulukko auttaa hahmottamaan yhteyttä:
| GDPR-tarve | ISO 27001 tuo käytäntöön | Esimerkki mittarista |
|---|---|---|
| Henkilötietojen turvallinen käsittely | Riskiperusteiset kontrollit | Kriittiset riskit arvioitu kvartaaleittain |
| Pääsyn rajaaminen | Käyttöoikeusprosessi | Lähteneen työntekijän tunnukset poistettu 24 h sisällä |
| Tietoturvaloukkausten hallinta | Poikkeamaprosessi ja vastuut | Poikkeama kirjattu 4 h sisällä havainnosta |
| Osoitusvelvollisuus | Dokumentoitu hallintajärjestelmä | Keskeiset politiikat päivitetty 12 kk välein |
| Käsittelijöiden hallinta | Toimittaja-arviointi ja sopimusvaatimukset | 100 % kriittisistä toimittajista arvioitu |
Tärkeä huomio on tämä: ISO 27001 ei yksin ratkaise kaikkia tietosuojan juridisia kysymyksiä, kuten käsittelyperusteita tai rekisteröidyn oikeuksien toteuttamista. Mutta ilman toimivaa tietoturvan hallintajärjestelmää myös nämä velvoitteet jäävät helposti paperille.
Yleisimmät puutteet pk-yrityksissä
Kun henkilötietojen suojaa arvioidaan käytännössä, samat ongelmat toistuvat yrityksestä toiseen. Usein kyse ei ole välinpitämättömyydestä vaan siitä, että tekeminen on kasvanut vuosien aikana ilman yhteistä mallia.
Tyypillisiä puutteita ovat esimerkiksi:
- henkilötietoja sisältäviä järjestelmiä ei ole listattu yhteen paikkaan
- käyttöoikeuksia ei tarkisteta säännöllisesti
- vanhoja käyttäjätunnuksia jää voimaan
- toimittajien tietoturvavaatimuksia ei arvioida ennen sopimusta
- poikkeamien käsittely perustuu sähköpostiketjuihin
- henkilöstö ei tiedä, miten epäillystä tietoturvaloukkauksesta ilmoitetaan
Varoitus
Yleinen virhe on kirjoittaa hienot politiikat, mutta jättää arjen kontrollit määrittämättä. Jos ette pysty sanomaan esimerkiksi kuka hyväksyy käyttöoikeudet, kuinka usein oikeudet tarkistetaan ja missä lokit säilyvät, suoja ei ole vielä käytännössä hallinnassa.
Toinen yleinen ongelma on liian laaja aloitus. Yritys yrittää kerralla korjata kaiken, jolloin työ pysähtyy. Parempi tapa on rajata ensin 2–3 tärkeintä henkilötietoprosessia, kuten HR, asiakasrekisteri ja asiakastuki, ja rakentaa hallinta niiden ympärille.
Näin etenet käytännössä ISO 27001:n avulla
Seuraava etenemismalli toimii hyvin pk-yrityksessä, jossa halutaan yhdistää henkilötietojen suoja, tietoturva ja käytännön johtaminen ilman tarpeetonta raskautta.
Rajaa henkilötietojen käsittelyn kannalta tärkein kokonaisuus
Aloita määrittämällä, mitkä järjestelmät, tiimit ja prosessit ovat henkilötietojen suojan kannalta kriittisimpiä. Useimmille pk-yrityksille hyvä ensimmäinen rajaus on 2–3 prosessia ja 3–10 järjestelmää, jotta työ pysyy hallittavana ja tulokset näkyvät nopeasti.
Tee riskienarviointi henkilötietojen näkökulmasta
Listaa tärkeimmät uhkat, kuten väärät käyttöoikeudet, tietojen virheellinen jakaminen, puutteellinen varmistus tai toimittajariippuvuus. Arvioi jokaiselle riskille vaikutus ja todennäköisyys asteikolla 1–5, ja valitse ensin käsittelyyn ne riskit, joiden yhteispisteet ovat vähintään 12/25.
Määritä konkreettiset kontrollit ja vastuut
Päätä jokaiselle keskeiselle riskille omistaja, toimenpide ja määräaika. Esimerkiksi käyttöoikeuksien osalta voit määrittää, että uudet oikeudet hyväksyy esihenkilö, oikeudet tarkistetaan kvartaaleittain ja poistot tehdään 24 tunnin sisällä työsuhteen päättymisestä.
Dokumentoi vain se, mitä oikeasti johdatte
Kirjaa politiikat, menettelyt ja vastuut niin, että ne tukevat arjen tekemistä. Hyvä minimitaso on dokumentoida ainakin soveltamisala, riskienhallintamalli, käyttöoikeusprosessi, poikkeamien käsittely, toimittaja-arviointi ja koulutuskäytäntö.
Seuraa mittareita ja korjaa puutteet säännöllisesti
Valitse 4–6 mittaria, joita katsotaan kuukausittain tai kvartaaleittain. Toimivia mittareita ovat esimerkiksi avoimet poikkeamat, myöhässä olevat käyttöoikeuspoistot, koulutuksen kattavuus, kriittisten toimittajien arviointiaste ja varmistusten onnistumisprosentti.
Vinkki
Jos haluat nopean alun, tee ensin 60 minuutin työpaja, jossa listaatte henkilötietoja sisältävät järjestelmät, vastuuhenkilöt ja kolme suurinta riskiä. Jo tämä antaa rungon, josta ISO 27001 -työ on helppo käynnistää.
Mitä mittareita kannattaa seurata?
Ilman mittareita henkilötietojen suoja jää helposti tunteen varaan. Silloin johto ei tiedä, paraneeko tilanne vai kasvaako riski hiljalleen taustalla.
Hyvä mittaristo on pieni mutta säännöllinen. Usein riittää, että seuraatte aluksi seuraavia:
| Mittari | Tavoitetaso | Seurantaväli |
|---|---|---|
| Lähteneiden työntekijöiden tunnusten poistonopeus | 100 % / 24 h | Kuukausittain |
| Käyttöoikeustarkastusten toteutuminen | 100 % kvartaaleittain | Kvartaaleittain |
| Henkilöstön tietoturvakoulutuksen kattavuus | 95–100 % / 12 kk | Kvartaaleittain |
| Tietoturvapoikkeaman kirjausaika | alle 4 h havainnosta | Kuukausittain |
| Kriittisten toimittajien arviointikattavuus | 100 % | Puolivuosittain |
| Varmistusten onnistumisprosentti | 99 %+ | Kuukausittain |
Kun mittarit ovat näkyvissä, keskustelu muuttuu paljon helpommaksi. Sen sijaan että puhutte yleisesti tietosuojasta, voitte sanoa esimerkiksi: "Käyttöoikeuspoistoista 92 % tehtiin ajallaan, tavoite on 100 %, ja puutteet liittyivät kahteen ulkoiseen järjestelmään." Tämä on juuri sitä näyttöä, jota asiakkaat, johto ja auditorit arvostavat.
Milloin kannattaa hakea ulkopuolista tukea?
Kaikkea ei tarvitse tehdä yksin. Ulkopuolinen tuki on usein järkevä ratkaisu erityisesti silloin, kun yrityksessä ei ole valmista mallia ISO 27001:n soveltamiseen tai kun henkilötietojen suoja on jakautunut usealle tiimille.
Tukea kannattaa harkita ainakin näissä tilanteissa:
- asiakas vaatii ISO 27001 -mukaista toimintaa tai sertifiointia
- nykyiset käytännöt ovat olemassa, mutta niitä ei ole dokumentoitu
- riskienarviointi on tehty, mutta toimenpiteet eivät etene
- toimittaja- ja käyttöoikeushallinta vievät liikaa manuaalista aikaa
- auditointiin tai asiakaskyselyihin vastaaminen on hidasta
Tietoturvapankki on rakennettu juuri tähän kohtaan: yhdistämään sovelluksen ja asiantuntijatuen niin, että ISO 27001 -hallintajärjestelmä ei jää irralliseksi dokumenttipinoksi. Jos organisaatiossanne käytetään jo esimerkiksi ISO 9001 -malleja laadunhallinnassa, tuttu johtamislogiikka helpottaa myös tietoturvan rakentamista. Tietoturvapankin taustalla toimivat Softapankki Oy, QMClouds Oy ja konsernin laadunhallinnan tuotemerkki Laatupankki, mikä näkyy erityisesti käytännönläheisessä tavassa viedä vaatimukset arkeen.
Yhteenveto
- ISO 27001 ei ole sama asia kuin GDPR, mutta se antaa rakenteen, jolla henkilötietojen suoja voidaan toteuttaa, todentaa ja parantaa.
- Pk-yrityksen kannattaa aloittaa rajaamalla 2–3 tärkeintä prosessia ja tekemällä niihin kohdistuva riskienarviointi.
- Konkreettiset kontrollit, kuten käyttöoikeuksien poisto 24 tunnin sisällä ja koulutus 12 kuukauden välein, tekevät suojasta mitattavaa.
- Mittarit, vastuut ja dokumentoidut toimintatavat ratkaisevat, näkyykö henkilötietojen suoja arjessa vai vain paperilla.
- Ulkopuolinen tuki nopeuttaa etenemistä erityisesti silloin, kun tavoitteena on asiakasvaatimusten täyttäminen tai ISO 27001 -sertifiointiin valmistautuminen.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.