Keva on julkaissut tietotilinpäätöksen vuodelle 2020. Tietotilinpäätös jakautuu Kevaa koskeviin tietoriskeihin, tiedonhallintaa, tietoturvaa sekä tietosuojaa käsitteleviin lukuihin.
Raportissa todetaan, että yleisesti ottaen tietosuoja-asiat huomioidaan Kevassa hyvin ja niihin suhtaudutaan vakavasti. Eri yksiköissä mahdollisia tietosuojapuutteita tunnistetaan ja niihin puututaan. Tietosuojaongelmiin on reagoitu nopeasti ja tehty tarkoituksenmukaiset toimenpiteet.
Raportin mukaan Kevassa on ymmärretty hyvin tiedon ja datan arvo sekä niiden liikkuvuuteen ja käsittelyyn liittyvät riskit. Tietoriskien hallinta ja vähentäminen (mitigointi) vaativat jatkuvaa seurantaa. Vastuullinen tiedonhallinta, tietoturvallisuus ja tietosuojavaatimusten huomioonottaminen palvelevat Kevan perustehtävää eli eläketurvan toimeenpanoa sekä Kevan muita toimintaperiaatteita sekä strategiaa.
Tietosuojaan liittyvinä kehityskohteina raportissa mainitaan yhteistyön ja koordinoinnin aloittaminen varhaisemmassa vaiheessa hankintaprosesseja ja sopimuksia valmisteltaessa sekä uusia palveluja käyttöönotettaessa. Tietoturvan ja tietosuojan osalta sopimusliitteitä nähdään tarpeelliseksi edelleen kehittää.
Raportin mukaan Kevan solmimissa sopimuksissa on varmistettu, että ulkopuoliset henkilötietojen käsittelijät ilmoittavat mahdollisista tietoturvaloukkauksista Kevalle. Sopimushallinnan keinoin on kuitenkin jatkuvasti kehitettävä sopimusten valvontaa, jotta mahdolliset loukkaukset tosiasiallisesti tulevat Kevan tietoon.
Tietosuojaan liittyvinä kehityskohteina nähdään lisäksi eläkekäsittelyn valvonnan kehittäminen sekä henkilöstölle suunnatun ohjeistuksen parempi löydettävyys sisäisistä tietokanavista.
Raportissa todetaan, että Kevan tietoturvaan on panostettu merkittävästi viimeisten vuosien aikana ja sitä kehitetään koko ajan. Kevassa tietoturvaa myös seurataan jatkuvasti, ja apuna tässä on ulkopuolinen tietoturvakumppani. Kevaan kohdistuneet tietoturvahyökkäykset ovat tähän mennessä päättyneet tuloksettomina Kevan tietoturvapuolustuksen havaittua tai estettyä ne.
Henkilöstöä koulutetaan säännöllisin harjoituksin tunnistamaan tietoturvatapahtumiin liittyviä tilanteita.
Tiedonhallinnan lainsäädännössä on tapahtunut viime vuosina muutoksia. Niihin liittyviin vaatimuksiin on raportin mukaan Kevassa vastattu hyvin. Kehityskohteena tiedonhallinnan osalta mainitaan tiedolla johtamisen prosessit.
Lisätiedot:
Lakimies, tietosuojavastaava Heidi Hernetkoski, p. 020 614 2332
Lakisasiainjohtaja Jussi-Pekka Rantanen, p. 020 614 2212
Infoa tietotilinpäätöksestä
Kevassa huolehditaan lakisääteisistä tehtävistä eli kunta-alan, valtion, kirkon, Kelan henkilöstön ja Suomen Pankin eläketurvasta sekä tarjotaan työelämäpalveluita työurien tukemiseksi. Henkilöasiakkaita on noin 1,3 miljoonaa ja työnantaja-asiakkaita noin 2000. Näin ollen Kevassa kerätään ja käsitellään paljon eritasoista henkilötietoa, ja siksi myös vastuullisuus ja läpinäkyvyys henkilötietojen käsittelyssä korostuvat.
Yleisen tietosuoja-asetuksen mukaisena vastuullisena rekisterinpitäjänä Keva vastaa siitä, että yleisen tietosuoja-asetuksen vaatimuksia ja periaatteita henkilötietojen käsittelystä noudatetaan ja vaatimustenmukaisuus on kyettävä osoittamaan. Tietotilinpäätös on yksi keino täyttää yleisen tietosuoja-asetuksen mukainen osoitusvelvollisuus.
Tietotilinpäätöksen on Kevassa laatinut tietosuojavastaava Heidi Hernetkoski yhteistyössä tietoa ja dataa organisaatiossa käsittelevien tahojen kanssa.
