Tietosuoja ja tietoturva yhdistyksissä ja säätiöissä
Yhdistysten ja säätiöiden toiminta rakentuu luottamukselle: jäsenet, lahjoittajat, vapaaehtoiset ja sidosryhmät toimivat yhteisen tarkoituksen eteen ja odottavat, että toiminta on vastuullista. Tietosuoja ja tietoturva eivät voi olla erillisiä teemoja hallinnollisen to-do -listan pohjalla, sillä ne kytkeytyvät suoraan toiminnan laatuun, maineeseen, varainhankinnan onnistumiseen ja lainmukaisuuteen. Tässä artikkelissa jäsennämme keskeiset tietosuojavelvoitteet yhdistyksille ja säätiöille käytännönläheisesti sekä avaamme, miksi ja miten tietoturva kannattaa rakentaa riittävän vahvaksi suhteutettuna riskeihin ja resursseihin.
Yhdistysten ja säätiöiden toiminta rakentuu luottamukselle: jäsenet, lahjoittajat, vapaaehtoiset ja sidosryhmät toimivat yhteisen tarkoituksen eteen ja odottavat, että toiminta on vastuullista. Tietosuoja ja tietoturva eivät voi olla erillisiä teemoja hallinnollisen to-do -listan pohjalla, sillä ne kytkeytyvät suoraan toiminnan laatuun, maineeseen, varainhankinnan onnistumiseen ja lainmukaisuuteen. Tässä artikkelissa jäsennämme keskeiset tietosuojavelvoitteet yhdistyksille ja säätiöille käytännönläheisesti sekä avaamme, miksi ja miten tietoturva kannattaa rakentaa riittävän vahvaksi suhteutettuna riskeihin ja resursseihin.
Tietosuoja – mitä, miksi, millä perusteella ja kuinka kauan?
Tietosuojan lähtökohta on selkeys: henkilötietoja saa kerätä ja käsitellä vain tiettyihin, ennalta määriteltyihin ja laillisiin tarkoituksiin, jotka liittyvät yhdistyksen tai säätiön toimintaan. Käytännössä tavallisimpia tarkoituksia ovat jäsenrekisterin hoito, tapahtumien järjestäminen, lahjoittajasuhteiden ylläpito, vapaaehtoistoiminnan koordinointi, hallinto ja päätöksenteko, lakisääteisten velvoitteiden täyttäminen sekä viestintä. Tämä “miksi” määrittää suoraan myös sen mitä tietoja on tarpeen käsitellä. Lisäksi tietojen on pysyttävä tarkoituksenmukaisuuden ja minimoinnin periaatteiden puitteissa.
Tyypillisiä tietoryhmiä ovat jäsenrekisterin tiedot (nimi, yhteystiedot, kotipaikka ja jäsentiedot), tapahtumaosallistujien tiedot (nimi, yhteystiedot), lahjoittajien tiedot (nimi, yhteystiedot, lahjoitussummat ja -ajankohdat) sekä hallinnossa, henkilöstössä ja vapaaehtoistoiminnassa tarvittavat tiedot (nimi, yhteystiedot, syntymäaika ja tietyissä tilanteissa henkilötunnus, koulutus ja työkokemus). Tietosisältöä arvioitaessa olennaista on tarve: kaikkea mahdollista ei kerätä varmuuden vuoksi.
Henkilötietojen käsittely edellyttää aina asianmukaista käsittelyperustetta. Yhdistysten ja säätiöiden toiminnassa tyypillisiä perusteita ovat lakisääteinen velvoite (yhdistyslain määräys jäsenrekisterin tiedoista ja kirjanpidon velvoitteet), sopimus (tapahtumat, koulutukset), oikeutettu etu (viestintä, markkinointi) sekä suostumus (viestintä, markkinointi)1). Oikeusperusteen valinta on dokumentoitava ja sen on oltava tarkoitukseen nähden oikea.
Tietojen säilytysaika on rajattua eli niitä saa säilyttää vain niin kauan kuin on tarpeen käsittelyn tarkoituksen toteuttamiseksi. Käsittelyperusteita on yleensä yksi ja se määritellään, kun käsittely aloitetaan. Lakiin perustuvassa käsittelyssä säilytysaika määräytyy lain asettamien vähimmäisvaatimusten mukaan. Sopimukseen perustuvassa käsittelyssä tietoja voidaan lähtökohtaisesti säilyttää sopimuksen voimassaoloajan ja sen jälkeen tapauskohtaisen arvion perusteella sopimussuhteeseen liittyvien vaateiden ja kanneaikojen puitteissa. Oikeutetun edun perusteella tietoja saa käsitellä niin kauan kuin rekisterinpitäjän oikeutettu etu on painavampi kuin rekisteröidyille käsittelystä mahdollisesti aiheutuva haitta. Suostumukseen perustuvat tiedot tulee poistaa, kun suostumus peruutetaan tai kun käsittelyn tarkoitus on päättynyt. Käytännössä säilytysaikojen hallinta edellyttää järjestelmällisiä säilytysaikakäytäntöjä ja poistoprosesseja.
Läpinäkyvyys on tietosuojan kulmakivi. Rekisteröidyille on kerrottava selkeästi, mitä tietoja heistä kerätään, mihin tarkoituksiin niitä käytetään, millä perusteella niitä käsitellään, kuinka kauan niitä säilytetään, kenelle tietoja luovutetaan ja mitkä ovat rekisteröidyn oikeudet. Tähän kuuluu myös se, siirtyvätkö tiedot EU/ETA-alueen ulkopuolelle ja millä suojamekanismeilla taso varmistetaan. Vastaavasti rekisteröidyn oikeuksien – tiedonsaanti, tarkastusoikeus, oikaisu, poistaminen, käsittelyn rajoittaminen tai vastustaminen sekä siirto järjestelmästä toiseen – toteutumisesta on huolehdittava asianmukaisesti.
Tietoturva –perusasiat kuntoon ja resilienssi näkyväksi
Tietoturva ymmärretään helposti kapeasti ICT-kysymykseksi. Todellisuudessa kyse on luottamuksellisuudesta, eheydestä ja saatavuudesta – sekä fyysisessä että digitaalisessa maailmassa – ja kyvystä tunnistaa, suojata, havaita, reagoida ja palautua. Yhdistyksille ja säätiöille tämä tarkoittaa käytännöllistä “kyberhygieniaa” eli selkeitä rooleja, perusvalvontoja ja toistuvia käytäntöjä, joilla torjutaan arjen uhkia ja minimoidaan häiriöiden vaikutukset.
Tietoturva suojaa henkilö- ja luottamuksellisia tietoja, varmistaa toiminnan jatkuvuuden, ylläpitää sidosryhmien luottamusta, tukee lakien ja vaatimusten noudattamista, ehkäisee varkauksia ja petoksia sekä suojelee innovaatioita ja kilpailuetua. Yhä useammat organisaatiot ovat joutuneet erilaisten kyberuhkien – kuten kalastelun, kiristyshaittaohjelmien ja palvelunestohyökkäysten – kohteiksi, ja vaikutukset voivat ulottua suoraan varainhankintaan, jäsenpalveluihin ja maineeseen.
Viranomaisnäkymä korostaa toimintaympäristön muuttuvuutta: pakotteet ja vientirajoitukset, toimitusketjujen haavoittuvuudet, informaatiovaikuttaminen, kybertiedustelu ja -operaatiot sekä tekoälyn tuomat mahdollisuudet ja uhat muovaavat riskikenttää. Tämä tarkoittaa, että oman tietoturvan on oltava sekä suhteutettu että ketterä – ei yliviritetty, mutta ei myöskään alimitoitettu.
Varautuminen kannattaa aloittaa perusasioista, joilla pääsee jo pitkälle. Käytännössä tämä tarkoittaa selkeää kykyä tunnistaa mahdolliset riskit ja uhat, havaita ne, suojautua niiltä, reagoida niihin ja palautua tietoturvaloukkauksesta. Kaikki tämä edellyttää:
- säännöllistä henkilöstön koulutusta ja harjoittelua;
- tarkoituksenmukaista resursointia oman henkilöstön ja ulkoistaminen tai ulkopuolisen tuen välillä;
- toimitusketjujen riskienhallintaa ja tietoturvavaatimusten sopimuksellista varmistamista; sekä
- kriisiviestinnän ja -toimintamallien etukäteissuunnittelua.
Hyvä tietoturva on lopulta järjestelmällistä arjen tekemistä, jossa “maalaisjärki” yhdistyy dokumentoituun ohjeistukseen ja teknisiin perusratkaisuihin.
Lopuksi
Tietoturvan merkitys on sekä strateginen että operatiivinen. Hallitus määrittelee yhdistyksen ja säätiön toiminnan tarkoituksen ja strategian sekä sen, millä tavalla tietosuoja ja -turva siihen sisältyvät, ja arjessa tämä strategia toteutuu roolien ja vastuiden selkiyttämisen, koulutuksen, harjoittelun, sopimusten hallinnan ja kriisivalmiuden kautta. Voiko yhdistys tai säätiö kääntää tietosuojan ja tietoturvan noudattamisen kilpailueduksi – läpinäkyvyydeksi ja luottamukseksi, jonka varaan rakentuu vahvempi yhteisö ja kestävämpi varainhankinta? Vastaus hahmottuu teoissa: kunnianhimoisessa, mutta arkeen ankkuroituneessa tietosuoja- ja tietoturvakulttuurissa.
1) Viestintä ja markkinointi voivat tilanteesta riippuen perustua oikeutettuun etuun tai suostumukseen
