Teemme Maanmittauslaitoksella jatkuvasti työtä sen eteen, että kansalaisten tiedot ovat turvassa ja että niitä käsitellään asianmukaisesti.
Samanaikaisesti tiukentuneen tietosuojasääntelyn kanssa yhteiskunnassa vaikuttaa pyrkimys saada digitaalisessa muodossa olevia tietoja laajaan käyttöön ja näin edistää digitalisaatiota ja datataloutta. Tässäkin tavoitteessa Maanmittauslaitos on täysillä mukana.
Ovatko nämä kaksi tavoitetta ristiriidassa keskenään? Voidaanko tietoa saattaa laajasti tarvitsijoiden käyttöön ja samalla huolehtia tehokkaasti tietosuojan toteutumisesta?
Uskon, että molemmat tavoitteet voidaan toteuttaa samaan aikaan. Kun luovutamme esimerkiksi kiinteistötietojärjestelmän tietoja asiakkaille, laadimme asiakkaan kanssa sopimuksen, jossa edellytetään tietoturvaa ja tietosuojaa koskevien ehtojen noudattamista. Lupaa tietojen saamiseksi ei voi saada, ellei tietojen käyttötarkoitus ole lain mukainen ja ellei asiakas sitoudu tarvittaviin tietoturvamenettelyihin.
Kiinteistötietoauditointi – mitä teimme?
Kevään 2022 aikana auditoimme n. 20 organisaatiota, jotka käyttävät Kiinteistötietojen kyselypalvelua. Auditoinneilla tarkastimme, että tietosuojan ja tietoturvan vaatimukset toteutuvat.
Tarkastus toteutettiin kirjallisena kyselynä, jossa asiakkaita pyydettiin todentamaan kiinteistötietojen asianmukainen käsittely dokumenttien ja lokitietojen avulla. Tarkastus kohdistui seuraaviin seikkoihin:
- Tietojen käyttötarkoitus
- Tietojen käsittelyn dokumentointi
- EU:n tietosuoja-asetuksen mukainen seloste käsittelytoimista
- Lokitietojen vaatimuksenmukaisuus
- Tietoja käsittelevien henkilöiden saama ohjeistus ja koulutus
Poikkeuksetta kaikilla tarkastuksen kohteilla oli kiinteistötietojen käyttötarkoitus kunnossa eli tietoja käytettiin vain niihin tarkoituksiin, joihin lupa on myönnetty. Kaikissa organisaatioissa oli annettu riittävässä määrin tietosuojaohjeistusta ja -koulutusta tietoja käsitteleville henkilöille.
Dokumentit ja lokitus kuntoon
Dokumentaatiossa eri organisaatioiden välillä oli eroja. Dokumentaation muodolle ei ole asetettu vaatimuksia, mutta dokumentaation tulisi kuitenkin olla jatkuvasti päivittyvää ja kuvata tietojen käsittelyyn liittyvät prosessit ja niiden tietoturvaratkaisut.
Kaikilta auditoitavilta löytyi lopulta kuvausdokumentaatiota, joka kattoi sopimuksessa asetetut vaatimukset. Maanmittauslaitoksen näkökulmasta parannettavaa liittyi kuitenkin erityisesti siihen, miten organisaatioissa tunnetaan kuvaukset ja kuinka niitä pidetään ajan tasalla.
Lokituksesta oli huolehdittu kaikissa auditoitavissa organisaatioissa, joskin huomiota kiinnitettiin siihen, ettei lokeista kaikissa tapauksissa selvinnyt, kuka luonnollinen henkilö on tehnyt kiinteistön tietoja koskevan haun. Näissä tapauksissa organisaatioita kehotettiin korjaamaan lokituskäytäntöjään.
Ohjelmistorobotiikan hyödyntäminen järjestelmissä on lisääntynyt, ja myös näissä tapauksissa lokeihin tulee kertyä riittävät tiedot. Lisäksi ohjelmistorobottien toimintaperiaatteesta tulee toimittaa Maanmittauslaitokselle kuvaus. Tarkastuksen yhteydessä tällaisia kuvauksia pyydettiin muutamilta organisaatioilta.
Mitä opimme?
Auditointi osoitti, että asiakasorganisaatiot noudattavat sopimusten velvoitteita hyvin tai erittäin hyvin. Vakavia puutteita tietojen käsittelyssä ei ilmennyt.
Toisaalta auditointi vahvisti käsitystä siitä, että tietoturva- ja tietosuoja-asioita on syytä pitää esillä, jotta ne eivät unohdu asiakkaiden jokapäiväisessä käytännön työssä. Maanmittauslaitoksen palvelusopimusten sisältöjen ja ehtojen tulee olla organisaatioissa tiedossa riittävän laajasti, myös esimerkiksi henkilövaihdostilanteissa.
Tarkastuskyselyn suorittamisen osalta havaitsimme myös, että koska tarkastettavien asiakkaiden joukko ei voi kerrallaan olla kovin suuri, on parempi tehdä pieniä otoksia, jotka jakautuvat eri vuosille. Opimme myös, että asiakkaille tulee antaa riittävästi aikaa koota tarvittavaa materiaalia.
Minna Ryyppö
Kirjoittaja on Maanmittauslaitoksen johtava asiantuntija.
Maanmittauslaitoksen blogissa eri kirjoittajat käsittelevät Maanmittauslaitoksen ajankohtaisia asioita.