Vanha tietojärjestelmä voi tulla kalliiksi
4.6.2014
Vanhat tietojärjestelmät uusiksi? Euroopan unionin uusi tietosuoja-asetus
Palvelut
Suomalaisten yritysten tietojärjestelmät on rakennettu viimeisten noin 30 vuoden aikana. Jotkin yritykset käyttävät edelleen tietojärjestelmiä, jotka on tehty 1970-luvun lopulla. Näissä järjestelmissä käsitellään henkilötietoja.
Erityisesti vanhojen järjestelmien kannalta asetus on hyvin ongelmallinen. Asetuksen mukainen sääntelyhän ei koske pelkästään uusia tietojärjestelmiä vaan kaikkia tietojärjestelmiä. Vanhojen tietojärjestelmien päivittäminen on kallista ja hidasta. Yritysten IT-budjetit eivät ole rajattomia, ja vanhojen järjestelmien päivittämiseen käytetyt rahat ovat pois uusien järjestelmien kehittämisestä.
Kaksi keskeistä haastetta
Mitkä sitten ovat uuden asetuksen ongelmakohdat? Asetusluonnos sisältää kaksi hyvin ongelmallista rakennetta:
Ensinnäkin asetukseen kuuluu privacy by design -vaatimus, jonka mukaan jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset.
Toiseksi tietosuojaviranomaiset voivat määrätä yritykselle tai julkiselle organisaatiolle hallinnollisen sanktiomaksun, mikäli asetuksen velvoitteita rikotaan. Sanktiomaksun enimmäismäärä on esityksessä joko sata miljoonaa euroa tai viisi prosenttia vuosittaisesta kokonaisliikevaihdosta sen mukaan, kumpi summa on suurempi. Maksun suuruus saattaa vielä muuttua.
IT-budjetit uuteen tarkasteluun
Keskimääräinen suomalainen tietojärjestelmä on rakennettu teknisistä, kaupallisista tai käytännöllisistä lähtökohdista. Henkilötietolainsäädännön noudattamisesta on huolehdittu vasta jälkikäteen.
Monien järjestelmien nykyiset toiminnallisuudet eivät kestä kriittistä tarkastelua edes nykyisen henkilötietolain näkökulmasta, saati sitten uuden tietosuoja-asetuksen näkökulmasta. Näin ollen järjestelmien huoltaminen tulisi aloittaa jo nyt, kun rikkomuksista ei vielä joudu maksamaan sanktiota. Tätä ei ole taidettu ottaa huomioon tulevien vuosien IT-budjeteissa? Syytä olisi.
Euroopan unionin rikkidirektiivi tuli voimaan muutamia vuosia sitten. Se aiheutti suuria kustannuksia suomalaiselle vientiteollisuudelle, kun laivoihin jouduttiin asentamaan esimerkiksi rikkipesureita. Näin käy myös uuden tietosuoja-asetuksen kohdalla: yritysten ja julkisten organisaatioiden kulut lisääntyvät.
Uuden tietosuoja-asetuksen vaikutuksista tavalliseen kansalaiseen ei voi olla aivan yhtä varma. Ehkä perusoikeudet hieman vahvistuvat, mutta laskua maksaa meistä jokainen.
Jaakko Lindgren
Uusimmat uutiset
Julkaistu 19.5.2025 – Data ja teknologia
NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit
Julkaistu 24.2.2025 – Data ja teknologia
NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Julkaistu 15.11.2024 – Data ja teknologia
Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Julkaistu 10.10.2024 – Data ja teknologia
Uusi kaksikäyttötuotelaki astui voimaan syyskuun puolivälissä – Mitä muuttuneesta sääntelystä tulee tietää?
Eija Warma-Lehtinen, Hilma Laamanen & Janne Koivisto
Eija Warma-Lehtinen & Janne Koivisto
Topi Lusenius
Kim Parviainen, Lauri Laatunen & Joakim Jaulimo
Uusimmat referenssit
Nevel – Labion liiketoiminnan osto
Neuvoimme Nevel Oy:tä sen hankkiessa Suomen toiseksi suurinta biokaasulaitosta operoivan Labio Oy:n liiketoiminnan. Järjestelyssä Lahti Aqua Oy ja Salpakierto Oy myivät Labion koko osakekannan Nevelille, mikä laajentaa Nevelin jo entuudestaan merkittävää materiaalitehokkuus- ja biokaasuportfoliota. Kauppa ei vaikuta Lahti Aquan vesihuoltotoimintaan tai Salpakierron yhdyskuntajätehuollon palvelutehtäviin. Labion toiminta ja asiakassuhteet jatkuvat ennallaan. ”Yhteistyö on meille luonnollinen askel jatkaessamme investointeja materiaalitehokkuuteen ja kestäviin energiaratkaisuihin. Integroimalla Labion kattavan tarjooman sekä osaamisen voimme tarjota asiakkaille vahvan alustan materiaalin kiertoon. Vahvistamme myös markkina-asemaamme yhtenä Suomen johtavana toimijana materiaalitehokkuuden saralla”, sanoo Nevelin liiketoimintajohtaja Ville Koikkalainen. Nevel on energiainfrayhtiö, joka tarjoaa teollisuuden ja kiinteistöjen kehittyneitä, ilmastopositiiviseen tulevaisuuteen tähtääviä ratkaisuja. Se operoi yli 130:tä energiantuotantolaitosta ja hallinnoi yli 40:tä kaukolämpöverkkoa. Nevelin liikevaihto on 150 miljoonaa euroa, ja sen palveluksessa on 190 asiantuntijaa Suomessa, Ruotsissa ja Virossa.
Julkaistu 16.7.2025
Liikennevakuutuskeskus – Potilastietojen käsittelyä koskeva ennakkopäätös ja seuraamusmaksun kumoaminen
Korkein hallinto-oikeus antoi merkittävän ennakkopäätöksen (KHO:2025:23) asiassa, jossa se katsoi, että Liikennevakuutuskeskus (LVK) käsitteli potilastietoja kohtuullisuutta, tietojen minimointia sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevien vaatimusten mukaisesti korvausasioita ratkaistaessa. Edustimme LVK:ta tässä asiassa, jossa KHO pysytti voimassa hallinto-oikeuden päätöksen kumota Tietosuojavaltuutetun toimiston (TSV) seuraamuskollegion LVK:lle asettama 52 000 euron seuraamusmaksu. KHO vahvisti myös hallinto-oikeuden, tiettävästi Suomessa ensimmäisenä annetun, päätöksen, jossa TSV määrättiin korvaamaan asiakkaamme oikeudenkäyntikuluja. Päätös on erittäin merkittävä koko vakuutustoimialalle. Asiassa oli kyse siitä, että LVK pyytää liikennevakuutuslain nojalla välttämättömiä potilastietoja käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten. Tietyissä tapauksissa laajat potilastiedot voivat olla tarpeellisia ratkaisun tekemisessä. TSV katsoi, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä tietosuoja-asetuksen 5 ja 25 artiklan vastaisesti, ja että tiedot olisi tullut toimittaa lääkärin laatiman erillisen lausunnon muodossa. Hallinto-oikeus kumosi TSV:n päätöksen ja katsoi, että käyntimerkinnät ovat lähtökohtaisesti välttämättömiä syy-yhteyden selvittämiseksi korvaustilanteessa, ja korvausasian harkintaan liittyvät tehtävät ovat nimenomaan vakuutusyhtiön ydintehtäviä, ei potilastietojen rekisterinpitäjän tehtäviä. Hallinto-oikeus ei myöskään löytänyt näyttöä siitä, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä. ”Cassun kanssa yhteistyö oli jälleen saumatonta koko pitkän prosessin ajan ja pystyimme luottamaan siihen, että asiamme on asiantuntevissa käsissä”, sanoo Vakuutuskeskus-ryhmän lakiasiainjohtaja Visa Kronbäck. Lue päätös kokonaisuudessaan KHO:n sivuilta: KHO:2025:23
Julkaistu 18.6.2025
llkka Paanasen säätiö – Oikeudellinen arvio generatiivista tekoälyä hyödyntävästä chatbot-järjestelmästä
Avustimme Ilkka Paanasen säätiö sr:tä oikeudellisen arvion laatimisessa generatiivista tekoälyä hyödyntävästä chatbot-järjestelmästä, jonka tavoitteena on vahvistaa nuorten mielen hyvinvointia ja tarjota tukea mielenterveyden haasteissa ja erilaisissa elämänkriiseissä. Arvio sisälsi oikeudellista neuvontaa etenkin kehittynyttä tekoälyä sääntelevän tekoälysäädöksen että yleisemmin tietosuojalainsäädännön ja muun keskeisen lainsäädännön näkökulmasta.
Julkaistu 16.6.2025
Pihlajalinna – Erityisasumispalveluiden liiketoiminnan myynti
Neuvoimme Pihlajalinna Oyj:tä järjestelyssä, jossa Pihlajalinna Terveys Oy ja Ikipihlaja Setälänpiha Oy myivät erityisasumispalveluiden liiketoimintansa Esperi Care Oy:lle. Kaupan kohteena olivat kolme Pihlajalinna Uniikki -yksikköä Hämeenlinnassa, Lohjalla ja Riihimäellä sekä Ikipihlaja Oiva Raisiossa. Järjestelyn seurauksena yhteensä yli 100 työntekijää siirtyi Esperille. Pihlajalinna on yksi Suomen johtavista yksityisistä sosiaali- ja terveydenhuoltopalveluiden tuottajista. Pihlajalinnalla on yli 160 toimipistettä ympäri Suomea ja laaja palveluvalikoima sekä yksityisen että julkisen sektorin asiakkaille.
Julkaistu 2.6.2025