Avoin vanhanaikainen munalukko

Kun tietosuoja ei suojaa

Parin viikon sisällä olen tehnyt muutamia huomioita ympäriltäni aiheesta ”tietosuoja” ja sen velvoitteet. Velvoitteet tulevat tietenkin General Data Protection Regulation -asetuksesta ja elämmekin vahvasti GDPR:n värittämää aikaa. Välillä kuitenkin tuntuu, että velvoitteet eivät toteuta tarkoitustaan ihan oikealla tavalla, niitä toteuttavat eivät itsekään tiedä miksi jollakin tavalla toimitaan, tai pahimmassa tapauksessa tietosuojaa ei ole huomioitu lainkaan. Mitä ajatuksia tässä kerrotut esimerkit herättävät?

Case 1: Tietosuoja, joka suojaa vähän hassusti

Päiväkodeissa on korona-ajan vuoksi käytännön järjestelyjen avulla turvallisuus on kaiken keskiössä. Pestään käsiä ennen hoitoa, sen jälkeen ja sen aikana, ei tulla aivastellen hoitoon, vältetään eri pienryhmien välisiä yhteyksiä.

Myös tietoturva-asiat tulevat vastaan. Hoitajat eivät muun muassa saa kertoa vanhemmille ryhmässä kokonaisuutena olevien lasten lukumäärää. Tästä vain tulee hieman hassu olo, koska pystyn laskemaan lasten määrän eteisessä olevien naulakoiden ja nimilappujen määrästä. Pystyn näkemään sieltä myös kaikkien lasten etunimet.

En tiedä mitä tietosuojaa tällä pykälällä oli ajettu takaa, mutta kunnioitan sitä, että hoitajat eivät tätä tietoa minulle saaneet antaa, eivätkä antaneet.

Case 2: Tietosuoja, joka kyllä suojaa oikeilta asioilta mutta ei toteudu tietoturvallisesti

Joka vuosi lapsen yhteystieto- ja kuvauslupakaavake tarkistetaan ja päivitetään päivähoitoon. Tämä lomake on paperilla, syytä en tiedä. Lapsen tiedot olisivat jo valmiiksi digitaalisessa ja tietoturvallisessa muodossa hoidon ajanvarausjärjestelmässä, jonne pääsevät vain vanhemmat ja hoitajat salasanan avulla.

Täytynee kunnioittaa sitä, että luottamukselliset tiedot kerätään jostain syystä tämän lisäksi myös manuaalisesti paperilla, jota säilytetään… niin, missä? Kunnioitan myös sitä, että vanhat lomakkeet luvataan hävitettävän vuosittain… niin, miten? Kuka ylipäätään kunnallisessa päivähoidossa vastaa tietosuojan toteutumisesta?

Case 3: Tietosuoja, joka kyllä suojaa oikeilta asioilta mutta jota ei voi seurata

Edellä mainittu kuvauslupa on olennainen tietosuojan laji lapsen parasta ajatellen. Paperin avulla voi halutessaan estää lapsen ja hänen askarteluidensa valokuvaamisen, videokuvaamisen ja kuvien käyttämisen esim. päivähoidon sisäisessä viestinnässä, paikallislehdessä, ja kotikaupungin verkkosivuilla ja sosiaalisessa mediassa.

Kun paikallislehden toimittaja pölähtää kesken päivää paikalle kuvaamaan pikkuisten metsäretkeä, niin kuinka varmistetaan, että juuri meidän perheemme kieltorastit muistetaan huomioida? Kuljettavatko hoitajat papereita metsään mukanaan? Laitetaanko ei-kuvattavaksi haluttavan lapsen rintaan jokin merkki? Entä miten itse toimin, jos bongaan lapseni kuvan kaupungin sosiaalisesta mediasta?

Case 4: Tietosuoja, joka suojaa väärässä paikassa

Tapasin kesällä vanhan ystäväni, joka toimii kirjaston tätinä. Kirjastothan ovat niitä lähes ainoita paikkoja, joissa koko kansa voi käyttää tietokoneita ja tulostimia ilmaiseksi, jos niitä ei ole omasta takaa. Mitä enemmän yhteiskunta digitalisoi perustoimintoja ja hakemuksia, ja samalla sulkee toimipisteitä estäen asioiden hoitamisen kasvokkain, sitä enemmän koneille ja opastukselle on tarvetta.

Kirjaston henkilökunta tietenkin auttaa, mutta se ei ole heidän pääasiallista työtään ja vastaan tulee suuria vastuukysymyksiä. Ajatellaan vaikka vanhaa rouvaa, joka tulee tiskille pyytämään apua verkkopankin käyttämiseen ja rahan siirtämiseen. Kirjaston täti ei voi auttaa kädestä pitäen, koska hän ei saa nähdä rouvan pankkitietoja.

Vanha rouva voisi tietysti mennä asiansa kanssa pankkiin eikä kirjastoon. Se vain ei paljon auttaisi. Edes asiakkaan oman pankin virkailija ei kuuleman mukaan saa antaa asiakkaille vierihoitoapua sähköiseen asiointiin. (He saattavat samalla nähdä muita asiakkaan rahatietoja ja se on heiltä kiellettyä.)

Mistä vanhukset oikein saavat digitukea koko ajan lisääntyvään pankki- tai Kela-asiointiin, jos edes ammattilaiset eivät saa heitä auttaa? Eikö tämä altista vielä pahemmille väärinkäytöksille?

Case 5: Tietosuoja, jota ei ole lainkaan

On myös niitä tapauksia, joissa tietosuojaa ei voi sanoa olevan lainkaan. Läheltä kuulemassani esimerkissä hoitaja mittaa käynnillä kotihoidon asiakkaan verenpaineen ja verensokerin. Kirjoittaa nämä paperilapulle nimen kera ja sujauttaa lapun taskuunsa, kun jatkaa kierrostaan. Menee vuoron lopulla toimistolle ja odottaa pääsyä sille ainoalle tietokoneelle, jotta voi syöttää tiedot järjestelmään salasanan taakse, asiakkaan muihin tietoihin.

Jos työvuoro ehtii päättyä tätä ennen… niin, mitä sitten tapahtuu? Jääkö lappu pyörimään seuraavalle hoitajalle? Jonnekin pöydille? Kuka tiedon vie tietoturvalliseen järjestelmään siten, että tieto on vielä seuraavaankin vuoroon tulevan hoitajan luettavissa?

Henkilökohtaiset terveystiedot sekä tiedot hoitosuhteesta ja hoitohistoriasta ovat kriittisiä esimerkkejä tilanteista, joissa tietosuojan pitäisi aivan ehdottomasti olla paikoillaan. Paperilapulla toteutettuna tai muistinvaraisesti eteenpäin toimitettuina ne eivät ole.

Tietosuoja osana palvelutilanteita ja -polkuja

Näillä esimerkeillä ei ole tarkoitus lytätä työtään tekeviä ammattilaisia. Tarkoitus oli tehdä näkyväksi velvoitteiden ja arjen välisiä aukkoja, jopa ristiriitoja. Tilanteita tuli vastaan yhteyksissä, joissa käsitellään joko pienten lasten tai vanhusten henkilö- ja terveystietoja, ja joissa asioiden pitäisi olla oikealla tolalla. Pika-analyysini on, että ”tola” löytyy, mutta suojaako se tarkoituksenmukaisesti siinä asiassa, jossa pitäisi?

Tekstin ei ole tarkoitus myöskään tehdä GDPR:ää naurunalaiseksi, koska kyse on tärkeistä asioista. Tänä vuonna Suomessakin on annettu ensimmäiset sanktiot ja niiden saajien joukossa on suuria, tunnettuja kotimaisia yrityksiä.

Ehdotan, että tietoturvan huomiointi tulisi olla jatkossa osa kaikkia palvelupolkuja, eikä joko pakon edessä päälleliimattu tai pahimmassa tapauksessa kokonaan unohdettu pakkopulla. Se ei myöskään saisi olla asia, joka jätetään yksittäisen työntekijän vastuulle. Jos asiaa lähestytään järjellä, voitaisiin hyvien käytänteiden suunnittelu ja toteuttaminen arjessa tulla mietityksi samalla, kun palvelukokonaisuuksia muutenkin rakennetaan.