Tietosuojan vaikutustenarviointi DPIA

Tietosuojaa koskevan vaikutustenarvioinnin (DPIA = Data Protection Impact Assessment) tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. DPIA on osa tietosuojalainsäädännön vaatimusten noudattamista ja dokumentointia.

DPIA tulee tehdä ennen kuin SaaS-palvelu otetaan käyttöön ja sitä on päivitettävä tarvittaessa. Organisaatiossa jo olemassa olevat SaaS-palvelut kannattaa kartoittaa ja niille tulee laatia DPIA pikimmiten.

DPIA:n avulla voi osoittaa asiakkaille ja yhteistyökumppaneille, miten tietosuojasta on huolehdittu. DPIA sitouttaa myös henkilöstöä tietosuojariskien tunnistamiseen ja hallintaan.

SaaSec-hanke tuottaa parhaillaan materiaalia DPIA:n tekemisen tueksi. Lisäämme tälle sivulle kesäkuun 2023 loppuun mennessä seuraavat dokumentit:

• Ohje DPIA:n tekemiseen
• Alkukartoituspohja DPIA:n tarpeen arviointiin
• DPIA:n raporttipohja täyttöohjeineen

 

Jos alkukartoitus on osoittanut, että henkilötietoja käsitellään, mutta varsinaista vaikutustenarviointia ei tarvitse tehdä, apuna projekteissa ja hankinnoissa voidaan käyttää tietoturvan ja tietosuojan tarkastuslistaa. Oheisesta linkistä avautuva tarkastuslista on laadittu Espoon, Kuopion, Tampereen ja Oulun kaupunkien tietoturva- ja tietosuojayhteistyössä (versio 1.02/2018).

 

Huomioitavaa: Pilvipalveluissa suuri osa turvallisuudesta on palveluntoimittajan vastuulla, mutta tämä ei kuitenkaan vapauta kuntaa vastuusta tietoturvan, varautumisen, jatkuvuudenhallinnan ja tietosuojan suhteen.