Tietosuoja ja tietoturva eivät ole helppoja asioita. Ne ovat itse asiassa niin haastavia ja kriittisiä, että lainsäädäntö velvoittaa organisaatioita nimeämään tietosuojan osalta omia asiantuntijoitaan eli tietosuojavastaavia. Yhden asiantuntijan osaaminen ei kuitenkaan riitä. Koko organisaation henkilöstön on ymmärrettävä tietosuojaa ja tietoturvaa, ja tämäkin on säädetty pakolliseksi tietosuoja-asetuksessa.
Tietosuoja voi tuntua vaikealta, ja se unohtuu helposti, jos siihen liittyvää koulutusta järjestetään vain kerran perehdytyksen yhteydessä. Ilman kontekstia on hankalaa hahmottaa, miten tietoturva- ja tietosuojaohjeet liittyvät omaan työhön. Varsinkin, jos ei vielä tunne organisaation toimintatapoja. Runsas materiaali voi hämmentää, ja osa sisällöstä unohtuu nopeasti. Siksi koulutuksen tulee olla selkeää, käytännönläheistä ja toistuvaa
Kun maailma muuttuu, koulutus muuttuu mukana
Kaikki uudet meitalaiset käyvät tietosuoja- ja tietoturvakoulutuksen pian aloittamisensa jälkeen. Koulutuksessa ei pyritä kattamaan kaikkea mahdollista, vaan keskitytään olennaiseen, mitä jokaisen työntekijän tulee tietää heti alussa. Koulutuksessa pyritään käymään läpi Meitan käytännöt selkeästi ja ymmärrettävästi. Tavoitteena ei ole pelkkä tiedon jakaminen, vaan oivallusten herättäminen. Onko tietoturva- ja tietosuoja käytänteet otettu käytäntöön niissä prosesseissa, joissa olet mukana? Pystytäänkö prosessien tietoturvaa ja tietosuojaa parantamaan entisestään ja miten?
Tietosuoja ja tietoturva eivät ole staattisia asioita. Ne muuttuvat, kehittyvät ja haastavat meitä jatkuvasti. Se, mikä vielä viime vuonna riitti, voi tänään olla jo vanhentunutta. Siksi Meitassa koulutus ei ole kertaluonteinen tapahtuma, vaan jatkuva prosessi. Meitassa tietoturva- ja tietosuojakoulutukset (TTS-koulutukset) uudistetaan säännöllisesti, koska maailma muuttuu jatkuvasti. Aineistoja päivitetään, lopputenttien kysymyksiä hiotaan, ja painopisteitä tarkennetaan sen mukaan, mitä henkilöstön on tärkeintä juuri nyt ymmärtää. Kun TTS-koulutus saa uuden version, koko henkilöstö käy sen läpi uudelleen. Tämä tapahtuu vähintään kahden vuoden välein.
Yhteistyöllä parempaa koulutusta
Meitassa tietosuoja- ja tietoturvakoulutusta ei rakenneta yksin. Sen suunnitteluun osallistuu joukko asiantuntijoita, joilla on eri näkökulmia ja osaamisalueita. Tietoturvakoulutuksesta vastaavat Meitan tietoturvatiimi, tietosuojakoulutuksesta tietosuojavastaava ja fyysisen turvallisuuden osalta mukaan tulee riskienhallinnan suunnittelija. Yhdistämällä eri asiantuntijuudet syntyy koulutus, jossa tietosuojaa ja tietoturvaa lähestytään monista eri näkökohdista.
Pakollinen tietoturva- ja tietosuojakoulutus on kuitenkin vasta lähtökohta. Siksi koulutusta täydennetään monin tavoin: henkilöstö oppii tunnistamaan tietojenkalastelua simuloitujen kalasteluviestien avulla, ja tietoiskuja sekä mikrokoulutuksia järjestetään esimerkiksi henkilöstöinfojen yhteydessä. Lisäksi tiimit saavat täsmäkoulutuksia, jotka liittyvät juuri heidän työprosesseihinsa.
Yhdessä kohti turvallisempaa työskentelyä
Tietoturva ja tietosuoja voivat tuntua monimutkaisilta, ja usein ne sitä ovatkin. Ne eivät ole asioita, jotka opitaan yhdellä koulutuksella tai jotka pysyvät samoina vuodesta toiseen. Nykyaikaisessa työelämässä niiden osaaminen on kuitenkin välttämätöntä. Sääntely muuttuu, uhkakuvat kehittyvät ja teknologia menee eteenpäin.
Meitassa uskomme, että organisaation vahvin lenkki ei ole järjestelmä tai ohje, vaan ihmiset. Henkilöstön ymmärtäessä tietosuojan ja tietoturvan tärkeyden ja omatessa kyvyn soveltaa tietosuoja ja tietoturva käytänteitä, syntyy turvallinen työskentely-ympäristö. Tietosuoja ja tietoturvakoulutuksen ei pidä vain antaa tietoa, sen tulee aktivoida, antaa oivalluksia ja muokata asennetta.
Joona Onnenvirta
Tietosuojavastaava