Tiivistelmä artikkelista:
-Tietosuoja on olennainen osa vesiosuuskunnan vastuullista hallintoa. Henkilötietoja käsitellään useissa toiminnoissa, ja niiden suojaaminen GDPR:n mukaisesti on hallituksen vastuulla.
-Artikkelissa kerrotaan, kuinka vesiosuuskunta voi parantaa sähköisten tietojen suojausta, tietojen minimointia, tietoturvaa ja oikeaa tiedostojen säilytystä.
-Lisäksi annetaan esimerkkejä hyvistä käytännöistä, kuten pilvipalveluiden käyttö, salasanasuojaus ja huolellisuus sähköpostiviestinnässä.
Tietoturvan huomioiminen sähköisessä tiedonhallinnassa
Tietosuoja on tänä päivänä olennainen osa vastuullista hallintoa – myös vesiosuuskunnassa. Hallituksen ja muiden vastuuhenkilöiden on tärkeää ymmärtää, miten jäsenien henkilötietoja käsitellään turvallisesti ja lainmukaisesti. Vesiosuuskunta käsittelee ja tallentaa henkilötietoja useissa toiminnoissaan; jäsenrekisterissä, omistajanvaihdoksissa, laskutuksessa, liittymäsopimuksissa, vesimittarilukemien ilmoituslomakkeella sekä erilaiset asiakasyhteydenotoissa. Vesiosuuskunnan tarvitsemia käsiteltäviä henkilötietoja ovat jäsenen nimi, käyttöpaikan osoite, laskutusosoite ja sähköpostiosoite sekä puhelinnumero. Näitä kaikkia koskee EU:n yleinen tietosuoja-asetus (GDPR), joka edellyttää tietojen asianmukaista käsittelyä, säilyttämistä ja suojaamista sähköisessä muodossa ja paperisena.
Tämä artikkeli keskittyy sähköisessä muodossa olevan henkilötiedon käsittelyyn.
Hallinnon vastuulla on varmistaa, että tietosuoja-asiat ovat kunnossa – tämä tarkoittaa käytännössä muun muassa:
Tietojen minimointia: kerätään vain tarpeelliset tiedot, esimerkkinä henkilötunnuksien kerääminen ja niiden tarpeellisuus. Tilanne, jossa osuuskunta tarvitsee liittyjän henkilötunnuksen, on perintäyhtiön oikeudellinen perintä. Kun velallinen ei maksa erääntynyttä velkaansa vapaaehtoisen perinnän vaiheessa, voi velkoja siirtää saatavan oikeudelliseen perintään. Tässä vaiheessa perintäyhtiö tarvitsee usein velallisen henkilötunnuksen, jotta oikeusprosessi voidaan käynnistää asianmukaisesti. (Tehokkaampi keino maksujen perimiseksi on katkaista venttiiliavaimella vesihuoltopalvelut kiinteistöltä. Usein velkominen oikeuden kautta tuo vain ylimääräisiä kustannuksia osuuskunnalle.)
Tietoturvaa: asiakastiedot säilytetään asianmukaisissa, suojatuissa järjestelmissä. Kerätty tieto tuo vastuuta niiden asianmukaisesta säilytyksestä. Tietojen käsittelijät, kuten taloushallinnon kumppanit tai laskutusohjelmien tarjoajat, toimivat sopimusten ja tietosuojavaatimusten mukaisesti. Jos osuuskunta kerää liittyjien henkilötunnuksia ja tallentaa ne esimerkiksi laskutusohjelmaan, yhteys on salattu eikä järjestelmä lähetä tietoja niitä sen ulkopuolelle.
Tietosuojaseloste: Tietosuojaseloste on pakollinen, kun osuuskunta käsittelee henkilötietoja. Jos osuuskunta ylläpitää nettisivuja, sen voi tallentaa sinne. Osuuskunta toimii rekisterinpitäjän roolissa.
Tapahtuneita tietoturvarikkomuksia oikeasta elämästä
Henkilöön kohdistuneita tietoturvaloukkauksia voivat olla esimerkiksi kadonnut muistitikku, varastettu tietokone tai laskun lähetys väärälle henkilölle sähköpostitse. Yleensä tietoturvarikkomuksen taustalla on inhimillinen näppäilyvirhe ja huono tuuri.
Seuraava on tapahtunut vuonna 2024 erään pohjoissavolaisen osuuskunnan käyttämän tilitoimiston laskutuspalveluissa. Jäsen oli kirjoittanut käsin sähköpostiosoitteensa paperiseen vesimittarin lukulappuun, ja sieltä osoite kirjattiin ylös osuuskunnan jäsenrekisteriin/laskutusrekisteriin. Huonolla tuurilla jollakin ulkopuolisella henkilöllä oli käytössä lähes samanlainen sähköpostiosoite, ja lasku lähetettiin väärälle henkilön sähköpostiosoitteeseen. Asia huomattiin, kun laskun vastaanottaja ilmoitti vastaanottaneensa toiselle henkilölle kuuluvan laskun. Tässä tapauksessa rekisterin ylläpitäjä, eli tilitoimisto teki oman sisäisen tutkimuksen tapahtuneesta. Tietosuojaloukkauksen katsottiin olevan pieni, sillä tietoturvaloukkaus koski kahta henkilöä eikä levinnyt tieto ollut arkaluonteista.
Osuuskunnan hallituksen jäsenten tietoja on syytä myös kunnioittaa. Todellinen esimerkki tapahtuneesta on hallituksen jäsenen kokoama Excel-tiedostomuotoinen listaus maksettavista kokouspalkkioista. Tiedostossa oli listattuna hallituksen jäsenten nimet, henkilötunnukset ja pankin tilinumerot, joka lähetettiin tavallisessa Outlookin sähköpostissa. Tämän ns. tavallisen sähköpostin tietoturvallisuutta on tavattu verrata yhtä turvalliseksi kuin lähettäisi tiedot postikortilla. Osuuskunnat palkkion laskee yleensä ammattimainen palkanlaskija, jolla on tarjota yrityksensä puolesta suojattu sähköpostin lähetysmahdollisuus. Käyttäkää siis tätä mahdollisuutta. Myöskään esimerkiksi osuuskunnan nettisivuilla julkaistaviin dokumentteihin, kuten toimintakertomuksiin, ei kuulu jäsenten nimet.
Ryhmäsähköposteja lähetettäessä, esimerkiksi jäsenistölle, sähköpostiosoitteet kirjoitetaan viestin piilokopio-kenttään, ei kopio-kenttään, jossa ne ovat kaikkien saman viestin vastaanottajien nähtävillä. Sähköpostiosoite on yksilöivä henkilötieto, jota ei saa jakaa ilman lupaa.
Jäsenrekisterin säilytys Excelissä
Perinteisesti osuuskuntien jäsenrekisteriä on ylläpidetty Excel-tiedostossa tai vastaavassa ilmaisohjelman taulukkotiedostossa, esimerkiksi Libre Officessa. GDPR:n näkökulmasta taulukkomuotoinen tiedosto ei ole dokumentoidusti tietoturvallinen säilytyspaikka eikä täytä rekisterinpitäjän vaatimuksia, kuten tietojen elinkaaren hallintaa, säilytysaikoja tai poistamista automatisoidusti. Lisäksi on syytä kuitenkin huomioida sen käytössä muutama seikka tietoturvan suhteen. Jo aiemmin mainittu suojaamattomassa sähköpostissa tiedostojen lähettely edestakaisin, esimerkiksi laskun lähettäjälle, mittarilukemien syöttäjälle tai tilitoimistolle, on aina riski tietosuojalle. Henkilötietoja sisältävä Excel-tiedosto voi helposti lähteä liitteessä väärään sähköpostiosoitteeseen. Excel-tiedosto ladattaessa tietokoneen paikalliseen muistiin, henkilötietoja sisältävä tiedosto on jäänyt koneen muistiin. Paikallisesti tietokoneen muistiin tallennetut Excelit voivat kadota laitevikojen tai inhimillisten virheiden vuoksi.
Kaikilla osuuskunnilla ei ole resursseja siirtyä maksulliseen jäsenrekisteri- ja laskutusohjelmistoon, joten tässä turvallisen tiedon säilytyksen vinkkejä:
- Tarkasta aina, mihin olet tallentamassa esimerkiksi sähköpostissasi olevaa tiedostoa.
-Suojaa tiedosto salasanalla, ja anna salasana vain niille, jotka tarvitsevat tietoja. Älä jaa tiedostoa sähköpostitse. Poista jakolinkit käytön jälkeen. Suojaa solut ja estä vahingolliset muutokset käyttämällä muokkausrajoituksia.
-Suojaa kovalevy. Jos tietokone varastetaan tai katoaa, levyn salaus estää ulkopuolista lukemasta tai kopioimasta tietoja, vaikka hän poistaisi levyn ja liittäisi sen toiseen laitteeseen
-Tallenna tiedosto luotettuun pilvipalveluun. Suositeltava tallennuspaikka on esimerkiksi OneDrive, jossa on monivaiheinen tunnistautuminen ja tiedostoihin voi antaa katseluoikeuden tietyille henkilöille. Katso ylempää kuva numero 1 asetusten määrittelystä.
-Pelkästään tietokoneen muistiin tai muistitikulle tallennettu tiedosto on erittäin riskialtis häviämään lopullisesti tietokoneen rikkoutuessa tai kadotessa. Ethän koskaan säilytä viimeisintä ja ainoaa tiedostoa jäsenrekisteristä pelkästään tietokoneen paikallisessa muistissa tai muistitikulla.
Hyvin hoidettu tietosuoja ei ole vain velvoite – se on myös osoitus vastuullisesta toiminnasta. Kun jäsenet tietävät, että heidän tietonsa ovat turvassa, luottamus osuuskunnan toimintaan vahvistuu.
Artikkelin kirjoittaja toimii vesiosuuskuntien isännöitsijänä.
Artikkelia kirjoittaessa on käytetty tekoälyä.