Tietosuojan vaikutustenarviointi tai tietosuojan tarkistuslista

• Alkukartoitus ja vaikutustenarviointi - Helsingin ulkoisella tietosuojasivulla
• Alkukartoitus ja vaikutustenarviointi - Helsingin sisäisellä tietosuojasivulla 

Tietosuojan vaikutustenarviointi

Jos alkukartoitus on osoittanut, että vaikutustenarviointi tulee tehdä, otetaan käyttöön vaikutustenarviointityökalu.

Vaikutustenarviointitaulukossa on listattu henkilötietojen käsittelyssä huomioitavia tietosuojavaatimuksia. Jokaisen vaatimuksen kohdalla on kuvattava, miten vaatimukset toteutetaan konkreettisesti sekä arvioitava, täyttyykö vaatimus. Vaikutustenarviointia tehdessä tunnistetaan kunkin tietosuojavaatimuksen toteutumiseen liittyviä riskejä, jotka estävät tai vaikeuttavat tietosuojan toteutumista.

Riskienhallintatoimenpiteillä voi olla vaikutuksia esimerkiksi sopimusehtoihin sekä järjestelmille ja palveluille asetettaviin vaatimuksiin. Jos riskejä ei saada hallintaan, täytyy hanke joko suunnitella uudelleen tai lakkauttaa.

Vaikutustenarvioinnin tekemiseen soveltuu esimerkiksi työpajatyöskentely, jossa vaikutustenarvioinnin osa-alueet vastuutetaan ensin eri asiantuntijoille. Asiantuntijat selvittävät itsenäisesti omalle vastuualueelleen kuuluvia asioita ja selvitetyt tiedot dokumentoidaan työkaluun yhteisesti seuraavassa työpajassa.

Tietosuojan tarkistuslista

Jos alkukartoitus osoittaa, ettei vaikutustenarviointia tarvitse tehdä, käytetään tietosuojan tarkistuslistaa. Tarkistuslistaan on listattu tietosuojavaatimuksia, jotka on aina otettava huomioon kehittämisessä, vaikka ei käsiteltäisi erityisen arkaluonteista tai muutoin riskialtista henkilötietoa.

Tuloksia hyödynnetään vaatimuksissa

Vaikutustenarvioinnin tai tietosuojan tarkistuslistan tulokset kerätään palvelun vaatimusluetteloon. Tietosuojavaatimukset ovat pakollisia.

• Vaatimukset jatkuvassa ketterässä kehittämisessä
• Vaatimukset projektimaisessa kehittämisessä

Ketterässä jatkuvassa kehittämisessä huomioitavaa

• Selvitysvaiheessa tehdään tietosuojan vaikutustenarvioinnin alkukartoitus.
• Alfavaiheessa Tehdään varsinainen vaikutustenarviointi tai käytetään tietosuojan tarkistuslistaa. Alfavaiheessa tehtävässä prototyypissä testataan, miten tietosuojavaatimukset voidaan toteuttaa. Testauksessa esille nousseiden havaintojen pohjalta päivitetään vaikutustenarviointia tai tietosuojan tarkistuslistaa sekä palvelun vaatimuksia.
• Betavaiheessa viimeistellään edellisissä vaiheissa työstetyt vaikutustenarviointi tai tarkistuslista. Lisäksi viimeistellään palvelun vaatimukset tietosuojavaatimusten osalta ennen varsinaisen palvelun hankintaa tai sen toteuttamista.
• Käyttövaiheessa arvioidaan tarvittaessa, tapahtuuko henkilötietojen käsittely vaikutustenarvioinnin ja tietosuojavaatimusten mukaisesti. Uudelleenarviointia tarvitaan ainakin silloin, jos henkilötietojen käsittelyyn liittyvä riski muuttuu. Tämä voi edellyttää alkuperäisen vaikutustenarvioinnin päivittämistä ja uusia riskienhallintatoimenpiteitä.

Projektimaisessa kehittämisessä  huomioitavaa

• Valmisteluvaiheessa tehdään tietosuojan vaikutustenarvioinnin alkukartoitus.
• Suunnitteluvaiheessa tehdään varsinainen vaikutustenarviointi tai käytetään tietosuojan tarkistuslistaa ja kerätään niiden tuotokset palvelun vaatimusluetteloon ennen palvelun hankintaa tai sen toteuttamista.
• Toteutusvaiheessa tai lopetusvaiheessa, kun palvelu on jo käytössä, arvioidaan tarvittaessa, tapahtuuko henkilötietojen käsittely vaikutustenarvioinnin ja tietosuojavaatimusten mukaisesti. Uudelleenarviointia tarvitaan ainakin silloin, jos henkilötietojen käsittelyyn liittyvä riski muuttuu. Tämä voi edellyttää alkuperäisen vaikutustenarvioinnin päivittämistä ja uusia riskienhallintatoimenpiteitä.

Lisää aiheesta

• EU:n yleinen tietosuoja-asetus
• Tietosuojalaki