Case

Saitko ohjelmistotoimittajalta tietosuojapoikkeamailmoituksen? Kerron, miksi se ei ole aina huono asia

Katso video
·
27.5.2026
·
Blogi
Lataa koko juttu PDF-tiedostona
Mahtavaa! Tässä on juttu PDF-tiedostona. Jos latauksessa on ongelmia, niin pistä rohkeasti viestiä osoitteeseen myynti@timmi.fi.
Avaa ja lataa PDF
Jokin meni pieleen. Viitsisitkö vielä tarkistaa kentät.
  • Projektin seikkaperäinen läpikäynti.
  • Mitä tuloksia saatiin aikaan.
  • Ei automaattista uutiskirjettä.
  • Helppo näyttää johtoryhmälle.
Timmi Quote mark
Tietosuojapoikkeamailmoitus on käytännön testi
Ota yhteyttä

Käytetyt ominaisuudet

No items found.

Timmi Softwaren tuottamassa TIMMI-järjestelmässä havaittiin
maaliskuussa 2026 tilanne, joka aiheutti järjestelmään liittyvän
tietosuojapoikkeaman. Kirjautumisen yhteydessä loppuasiakkaiden
salasanoja tallentui selkokielisenä palvelimen tekniseen lokiin
harvemmin käytetyssä kirjautumistavassa. Pääsy lokiin oli vain
palvelimen ylläpidolla eikä tietoja vuotanut ulkopuolelle, joten tilanne
ei ollut vakava. Siitä huolimatta asiasta viestiminen
tilaajaorganisaatioidemme eli henkilötietojen rekisterinpitäjien
suuntaan oli aikamoista nuoralla kävelyä. Tasapainottelua sen suhteen,
kuinka noudatamme EU:n tietosuoja-asetuksen meille asettamia vaatimuksia
ilman, että aiheutamme paniikkia tai epäluottamusta meihin
ohjelmistotoimittajana. Lain mukaan meillä oli kuitenkin velvollisuus
ilmoittaa asiasta, vaikka kyseessä ei suinkaan ollut tietovuoto tai
muuten rekisteröidyn oikeuksia vakavasti uhkaava tilanne.

Mainittakoon myös, että itse ongelma saatiin korjattua erittäin
nopeasti, sillä yrityksemme priorisoi tietosuojaan liittyvät korjaukset
aina muun toiminnan edelle.

Tietosuojalla
pelottelua jo vuodesta 2016

EU:n tietosuoja-asetus GDPR astui voimaan toukokuussa 2016 ja sen
pakollinen soveltaminen alkoi kaksi vuotta myöhemmin. Itse olen
työskennellyt tietosuojan parissa vuodesta 2017. Kävin tuolloin
ensimmäisen koulutuksen aiheeseen liittyen. Tuohon aikaan kaikki
tietosuojaan liittyvä tuntui melkein pelottelulta: uusi, pelkkää kiusaa
tekevä lainsäädäntö, jonka noudattamatta jättämisestä seuraa valtavia
taloudellisia seuraamuksia. Hikisiä työtunteja asian selvittämiseksi.
Syyllisen etsimistä ja hirveää liioittelua.

Kieltämättä tällaista ajattelutapaa havaitsen edelleen. Viimeksi tein
tämän huomion TIMMI-järjestelmässä havaitun tietosuojapoikkeaman
aiheuttaessa minulle viestitulvan huolestuneilta käyttäjiltä ja
organisaatioiden tietosuojasta vastaavilta henkilöiltä. Eikä mikään
ihme. Tietosuojasta ei juuri puhuta, vaan se on usein vain puuduttavaa
tekstiä sopimuspapereissa, tai urkintauutisia ja niistä johtuvia
irtisanomisia median ryöpyteltävänä. Tästä syystä halusin nostaa asian
nyt esiin.

Tietosuoja-asetusta ei ole tehty kenenkään kiusaksi, vaan suojaamaan
jokaisen yksilön oikeutta omiin henkilötietoihinsa. Vaikka asetusta on
sovellettu vuodesta 2018 asti, rohkenen väittää, että kaikilla
ohjelmistotoimittajilla ei vieläkään ole selkeää käsitystä, milloin
kyseessä on tietosuojaan liittyvä poikkeustilanne, josta tulisi
ilmoittaa rekisterinpitäjälle. Tai pahempaa: siitä ei välitetä. Jos
ohjelmistotoimittaja ei koskaan ilmoita tietosuojapoikkeamista, kyse ei
suinkaan ole siitä, etteikö virheitä sattuisi. Täysin tietoturvallinen
ohjelmistoratkaisu on utopiaa.

Kaikki
toimittajat eivät kerro poikkeamista tai tunnista niitä, ja se on
ongelma

Vaikka tietosuojapoikkeamien tunnistaminen ja niistä ilmoittaminen on
lain sanelemaa, kaikki ohjelmistotoimittajat eivät toimi niin.
Toimittajat saattavat ajatella, että poikkeamasta ilmoittaminen saa
heidät näyttämään osaamattomilta tunareilta ja järjestelmän yhdeltä
isolta tietoturvariskiltä. Tämän vuoksi pienemmät puutteet ja uhkat
saatetaan kaikessa hiljaisuudessa painaa villasella: viat korjataan
salaa, jäljet peitellään eikä rekisterinpitäjälle hiiskuta sanallakaan.
Sormet ristissä jäädään toivomaan, ettei kukaan ehtinyt huomaamaan
mitään. Tietosuojapoikkeamat kuitenkin aina työllistävät
rekisterinpitäjää, eivätkä toimittajat halua tuottaa tilaajilleen
ylimääräistä vaivaa. Kuka nyt vaivaksi haluaisi olla?

Ehkä vielä tyypillisempää on, että poikkeamia ei edes tunnisteta. Jos
järjestelmissä ei ole riittävää lokitusta, valvontaa tai säännöllistä
tietosuojaan liittyvää tarkastelua tai testausta, monet riskit voivat
jäädä kokonaan tunnistamatta. Jos henkilökuntaa ei kouluteta
tietosuojaan, eivät he osaa kiinnittää asiaan mitään huomiota. Kun
tilanteita ei tunnisteta ja korjata ajoissa, kasvaa riski tietojen
väärinkäytölle.

Kaikkihan muistamme, mitä kävi psykoterapiakeskus Vastaamolle.
Mitättömältä tuntuva tietosuoja-aukko saattaa väärissä käsissä muuttua
ehtymättömäksi väärinkäytön lähteeksi. Pienet havainnot ja avoimuus
niiden suhteen voivat estää suuret ongelmat myöhemmin. Vaikka keskiössä
on rekisteröidyn oikeudet, joiden suojaamiseen organisaatiolla pitäisi
aina olla tahtotila, on myös syytä oman selustan turvaamiseen: GDPR
artikla 82:n mukaan rekisteröidyllä on oikeus vaatia rekisterinpitäjältä
korvausta paitsi aineellisista menetyksistä, myös aineettomasta
vahingosta, joten seuraamukset pitkälle edenneestä tilanteesta voivat
olla aikamoiset.

Maaliskuussa oli meidän vuoromme näyttää, miten tietosuojatilanne
hoidetaan. Vaikka olisimme voineet tehdä korjauksen kaikessa
hiljaisuudessa ja siitä koskaan kiinni jäämättä, päätimme noudattaa
velvollisuuttamme ja ilmoittaa rekisterinpitäjille tilanteesta. Vaikka
siitä seurasi meille paljon kyselyitä ja muutama moitekin, näin aiomme
toimia myös jatkossa.

Tietosuojakulttuuri
ratkaisee, miten poikkeamiin suhtaudutaan

Asiasta ei tee yhtään helpompaa tietoisuus siitä, että aina myöskään
tilaajan puolella tietosuoja-asetus ei ole aivan hallussa. Ikävä
tosiasia on se, että mikäli tilaajan päässä tietosuojaan liittyvät
prosessit ja vastuut eivät ole selkeitä, asian selvitykseen kuluu
resursseja ja työtunteja enemmän kuin pitäisi. Kuluneista tunneista on
helpompi syyttää ohjelmistotoimittajaa kuin myöntää, että asia olisi
kyllä sujunut vikkelästi, jos organisaatiossa olisi panostettu
tietosuojaan ja kaikille olisi selvää, ketä tilanteessa on syytä
sisäisesti konsultoida.

Kun organisaatiossa on pätevä tietosuojavastaava, poikkeamatilanteet
eivät aiheuta älytöntä rutistusta, vaan asia etenee hallitusti.
Tavoitetilassa tietosuojavastaavan pää pysyy kylmänä, vaikka muut
painaisivat paniikkinappulaa.

Tietosuojavastaavalla on olennainen rooli poikkeamatilanteissa, ja
hän antaa organisaation johdolle EU:n tietosuoja-asetukseen perustuvat
arviot ja suositukset tilanteessa toimimiseksi. Tehtävässä menestyy
ennen kaikkea sellainen henkilö, jolla on oikeasti mielenkiintoa edistää
organisaation tietosuojakulttuuria, kouluttaa henkilöstöä ja suunnitella
prosesseja. Tietosuojavastaavan on myös järkevää itse kouluttautua,
sillä koulutus tuo tehtävään uudenlaista perspektiiviä, tasapainottaa
näkökulmia sekä lieventää pelkoa tietosuojaloukkausten seuraamuksista.
Koulutuksen myötä hahmottaa paremmin, että tietosuojankaan kohdalla ei
vaadita täydellisyyttä, vaan olennaista on, myös valvontaviranomaisen
näkökulmasta, osoittaa huolellisuutta ja läpinäkyvyyttä, tuottaa
laadukasta dokumentaatiota sekä kehittää tietosuojaa jatkuvasti.

Itse olen suorittanut kattavan tietosuojavastaavan koulutusohjelman,
ja omalta osaltani voin kertoa tietosuojavastaavan tehtävän olevan sitä
antoisampi ja jopa helpompi, mitä enemmän tietoa ja kokemusta kertyy.
Toki myös oma mielenkiintoni puuduttavia lakipykäliä kohtaan on auttanut
minua tehtävässäni. Ihmisten henkilökohtaisia kiinnostuksen kohteita ja
vahvuuksia hyödyntämällä harvoin häviää. Olen ylpeä siitä, että olen
jalkauttanut oletusarvoisen tietosuojan osaksi organisaatiomme toimintaa
niin rekisterinpitäjänä kuin rekisterinkäsittelijänä, ja että GDPR
huomioidaan tarkoin myös TIMMI-järjestelmän kehityksessä.

Jos
ohjelmistotoimittaja ei koskaan ilmoita tietosuojapoikkeamista,
kannattaa huolestua

Jos siis saat ohjelmistotoimittajalta ilmoituksen
tietosuojapoikkeamasta, saattaa ensimmäinen ajatuksesi olla, että nyt
toimittaja on mokannut. Näin varmaan onkin, ja kaikki tekevät virheitä
joskus. Itse olen kuitenkin sitä mieltä, että
tietosuojapoikkeamailmoitus voi olla myös merkki luotettavasta
toimittajasta. Se kertoo siitä, että toimittajalla on käytössään
tarvittavat prosessit, joilla ongelmia sekä riskejä tunnistetaan, ja
niistä myös kerrotaan avoimesti tilaajalle. Selkä pysyy suorana ja
toimittaja nostaa käden pystyyn virheen merkiksi senkin uhalla, että
siitä aiheutuisi toimittajalle itselleen mainehaittaa. Tämä on todella
arvokasta, kun toteutetaan GDPR:n ydintehtävää eli rekisteröityjen
oikeuksien suojaamista.

Loppujen lopuksi kyse on kuitenkin luottamuksesta tilaajan ja
toimittajan välillä. Siksi tietosuojapoikkeamailmoitus ei ole aina vain
huono uutinen. Se on merkki siitä, että järjestelmää kehitetään
tietosuoja huomioiden ja yrityksen tietosuojaprosessit ovat kunnossa.
Tilaajan on turvallisempaa tehdä yhteistyötä sellaisen toimittajan
kanssa, joka näkee tietosuojaan liittyvät vastuut asiaan kuuluvalla
vakavuudella. Toimittajan, joka on tietoinen paitsi omista
tietosuojavastuistaan, myös siitä, millä tavalla EU:n tietosuoja-asetus
koskettaa tilaajaa. Toimittajan, jolla on kyvykkyys toimia viipymättä,
kun jotain tapahtuu. Meillä Timmi Softwarella otetaan vakavasti niin
oma, TIMMI-järjestelmän kuin tilaajankin tietosuoja.

Kirjoittaja: Miia Kitinprami, Timmi Softwaren tietosuojavastaava.
Kirjoittajalla on henkilökohtainen mieltymys aihetta kohtaan ja vahva
kiinnostus kehittää organisaation tietosuojakulttuuria.

Lataa juttu PDF-tiedostona

Avaa ja lataa tästä

Sinua saattaisi kiinnostaa myös nämä:

TIMMI X pohjatyöt ovat jo pitkälläTIMMI X pohjatyöt ovat jo pitkällä

TIMMI X pohjatyöt ovat jo pitkällä

Vuoden alussa kerroimme, että seuraavan sukupolven TIMMI on työn alla. Kevään aikana työ on edennyt ennen kaikkea niissä asioissa, joiden pitää olla kunnossa ennen kuin asiakkaille voidaan luvata tarkkoja aikatauluja.

Katso lisää!
Takaisinsoitto toi Timmi-tukeen paremman näkyvyydenTakaisinsoitto toi Timmi-tukeen paremman näkyvyyden

Takaisinsoitto toi Timmi-tukeen paremman näkyvyyden

Timmi-tuen puhelinvaihde uudistettiin toukokuussa 2025. Vuoden aikana suurin muutos on ollut arkinen mutta tärkeä: kun linja on varattu, automaattiviesti rekisteröi soiton ja tuki soittaa takaisin niin pian kuin ehtii.

Katso lisää!
Sähköisten avainten perässä ei tarvitse juostaSähköisten avainten perässä ei tarvitse juosta

Sähköisten avainten perässä ei tarvitse juosta

Avainten jakaminen, palauttaminen ja metsästäminen vievät tilavarausten arjessa yllättävän paljon aikaa. Sähköisessä lukituksessa pääsyoikeus syntyy varauksesta ja päättyy, kun varattu aika päättyy.

Katso lisää!
Webinaari 3.6.2026: Neljä mekanismia tilankäytön tehostamiseenWebinaari 3.6.2026: Neljä mekanismia tilankäytön tehostamiseen

Webinaari 3.6.2026: Neljä mekanismia tilankäytön tehostamiseen

Neljä konkreettista esimerkkiä siitä, miten kunnat ja hyvinvointialueet ovat saaneet vajaakäyttöiset tilat tuottamaan enemmän. Maksuton webinaari ti 3.6.2026 klo 10:00–10:30.

Katso lisää!

TIMMI X pohjatyöt ovat jo pitkällä

Vuoden alussa kerroimme, että seuraavan sukupolven TIMMI on työn alla. Kevään aikana työ on edennyt ennen kaikkea niissä asioissa, joiden pitää olla kunnossa ennen kuin asiakkaille voidaan luvata tarkkoja aikatauluja.

Lue nyt!
TIMMI X kevään 2026 tilannekatsaus

Webinaari 3.6.2026: Neljä mekanismia tilankäytön tehostamiseen

Neljä konkreettista esimerkkiä siitä, miten kunnat ja hyvinvointialueet ovat saaneet vajaakäyttöiset tilat tuottamaan enemmän. Maksuton webinaari ti 3.6.2026 klo 10:00–10:30.

Lue nyt!
Webinaari 3.6.2026: neljä mekanismia tilankäytön tehostamiseen

EU:n tietosuoja-asetuksen noudattamisen valvonta alkanut Suomessa - ensimmäiset seuraamusmaksut määrätty

EU:n tietosuoja-asetus eli GDPR on henkilötietojen käsittelyä säätelevä laki, jota sovelletaan kaikissa EU-maissa.

Lue nyt!

Miten Timmi auttaa asiakkaitaan huolehtimaan GDPR-velvoitteista?

Tässä blogikirjoituksessa kerron millä tavoin me Timmillä huolehdimme asiakkaistamme uuden EU:n tietosuoja-asetuksen, GDPR:n voimaanastumisen yhteydessä. Selitän miksi ehdotamme kaikille asiakkaillemme uusien sopimusten allekirjoittamista kanssamme ja mikä niissä muuttuu. Kerron myös, millä keinoin me autamme asiakkaitamme huolehtimaan GDPR:n asettamista velvoitteista ja millaisia uusia palveluita tarjoamme asiakkaillemme.

Lue nyt!
Klikkaamalla "Hyväksyn kaikki evästeet" hyväksyt, että evästeet tallennetaan laitteellesi parantamaan sivuston navigointia, analysoimaan sivuston käyttöä ja tehostamaan mainontaamme. Lue lisätietoja evästepolitiikastamme.
AsetuksetKiellän kaikki evästeetHyväksyn kaikki evästeet
cookies