Se till att det finns utbildning och utvärdera genomförandet av dataskyddet

Tillräcklig dataskyddsutbildning säkerställs genom att varje aktör som behandlar personuppgifter är medveten om de krav som ställs på honom eller henne. Detta förutsätter att utbildningsbehovet identifieras och att tillräcklig utbildning möjliggörs.

Beakta följande när du planerar en utbildning:

1. Personer som behandlar särskilda personuppgifter behöver mer djupgående utbildning än de aktörer som inte behandlar särskilda kategorier av personuppgifter.
2. De aktörer som beslutar om och ansvarar för processerna för behandling av personuppgifter behöver annan utbildning än sådana personer som är en del av enskilda processer för behandling av personuppgifter.

För att hantera dataskyddsriskerna är det viktigt att erbjuda tillräcklig och aktuell utbildning. Med tanke på organisationsriskerna är det väsentligt att utbildningsbehoven och de genomförda utbildningarna dokumenteras så att organisationen vid behov kan påvisa hur utbildningen har skötts.

Tjänster som upprätthålls av Myndigheten för digitalisering och befolkningsdata är tillgängliga för den offentliga förvaltningen.

• Digiturvan kokonaiskuvapalvelu (på finska)Öppnas i ett nytt fönster.
• Digital säkerhets riskhanteringsuppgifterÖppnas i ett nytt fönster.

I VAHTI god praxis har flera verktyg för egenkontroll publicerats.Öppnas i ett nytt fönster. På marknaden finns också kommersiella tjänster som mäter dataskyddsnivån.

Ett väl omhändertaget dataskydd kan vara en konkurrensfördel för vissa organisationer. Andra möjligheter kan vara till exempel

• positiv kundrespons
• ökat förtroende bland kunder och intressentgrupper
• positiv publicitet och utveckling av den offentliga bilden.

Dataskyddsutmaningar kan till exempel

• orsaka problem i utvecklingen av verksamheten och tjänsterna
• orsaka problem vid upphandlingar
• höja verksamhetskostnaderna
• leda till att tillsynsmyndigheterna ingriper i situationen
• leda till att ledningens och personalens straffrättsliga ansvar realiseras
• äventyra arbetstagarnas, de sakkunnigas, ledningens och intressentgruppernas rättsskydd.

Försummelse att regelbundet gå igenom dataskyddsprocesserna kan leda till problem för såväl de registrerade, organisationen, organisationens ledning som personalen. Eventuella konsekvenser för organisationen kan till exempel vara

1. administrativa sanktioner
2. tillsynsmyndighetens ingripande i behandlingen av personuppgifter bland annat genom att begränsa eller förbjuda vissa eller alla behandlingsåtgärder.

Att begränsa eller förbjuda behandlingsåtgärder kan orsaka stora problem för organisationens verksamhet.

Redan ett förordnande av tillsynsmyndighetens om att föra behandling av personuppgifter till en nivå som uppfyller de lagstadgade kraven kan vara dyr, långsam och ibland till och med omöjlig för organisationen, om överensstämmelsen genomförs först efter att behandlingsåtgärderna har inletts.

Dåligt omhändertaget dataskydd medför också risker för organisationens offentliga bild. Om man en gång förlorat anseendet och kundernas förtroende av dataskyddsskäl kan det vara svårt eller i värsta fall omöjligt att vinna det tillbaka. Ibland kan dåligt genomfört dataskydd till och med leda till att affärsverksamheten upphör.

Informationssäkerhetsincidenter som gäller personuppgifter har blivit vanligare på 2010- och 2020-talet. Även om aktörerna annars skulle klara av konsekvenserna av incidenterna, leder dålig offentlighet till att anseendet tar skada. Efter informationssäkerhetsincidenter kan det vara svårt att vinna tillbaka kundernas förtroende och försäkra kunderna om att informationssäkerhetspraxisen är tillräcklig.