Suppea henkilötietojen käsittelyyn liittyvä riskien arviointi tehdään aina ennen kuin henkilötietoja ryhdytään käsittelemään. Riskiarvion avulla voit tunnistaa jo suunnitteluvaiheessa toimenpiteet, joita tarvitaan henkilötietojen asianmukaiseen käsittelemiseen.
Henkilötietojen käsittelyllä tarkoitetaan tässä kaikkea tunnisteellisten aineistojen keräämistä, tallentamista, analysointia ja siirtämistä. Tunnisteellisia tietoja puolestaan ovat kaikki suorat ja epäsuorat henkilön tunnistamiseen liittyvät tiedot.
Riskejä tulee arvioida tutkittavan näkökulmasta. Tutkittavalle voi aiheutua riskejä erityisesti henkilötietojen luvattomasta luovutuksesta tai pääsystä henkilötietoihin. On tärkeä määritellä, missä tutkimusaineistoa säilytetään, keillä on pääsy tutkimusaineistoon ja miten pääsynhallinta toteutetaan. Riskiä voi pienentää esimerkiksi poistamalla aineistosta suorat tunnistetiedot tai pseudonymisoimalla aineisto. Muita suojauskeinoja ovat esimerkiksi kaksivaiheisen tunnistautumisen käyttö ja tiedostojen (tai ulkoisen kovalevyn) salaaminen.
Mieti myös, miten ja minne aineistoa siirrellään hankkeen aikana. Siirtämistä on esimerkiksi haastattelujen äänitiedostojen siirtäminen litterointipalveluja tarjoavalle yritykselle. Olennaisen riskin voi muodostaa myös aineiston suuri määrä ja eri lähteistä saatujen aineistojen yhdisteleminen. Myös henkilötietojen katoamisen mahdollisuus muodostaa aina riskin. Siksi esimerkiksi ulkoisia kovalevyjä tulisi käyttää vain väliaikaisen tallennuksen tarpeisiin.
Lisäksi on arvioitava seurauksien vakavuutta ja riskien todennäköisyyttä. Mahdolliset vahingot voivat olla muun muassa taloudellisia (kuten petoksen tai identiteettivarkauden kohteeksi joutuminen tietovuodon vuoksi), fyysisiä (kuten väkivalta tai sen uhka) aineettomia (kuten maineen tai yksityisyyden suojan menetys).
Arvioi kunkin käsittelytoimen osalta:
- Käsittelyyn liittyvä riski
- Riskin todennäköisyys (epätodennäköinen, mahdollinen, todennäköinen, lähes varma)
- Riskin vakavuus (vakava, tunnistettuja vaikutuksia, vähäisiä vaikutuksia)
- Toimenpide riskin vähentämiseksi
- Jäännösriski. Jäännösriskillä tarkoitetaan tutkittavalle aiheutuvaa riskiä sen jälkeen, kun suojatoimenpiteet on toteutettu (matala, keskimääräinen, korkea)
Riski on sitä suurempi, mitä vakavampi seuraus on yksilön kannalta ja mitä todennäköisempää seurauksen toteutuminen on. Katso tarkemmat ohjeet riskien arvioinnista yliopiston Hyvän tieteellisen käytännön verkkosivulta. Mikäli kaipaat lisätietoja ja avustusta riskien tunnistamiseen ja arviointiin, niin ole yhteydessä Datapalveluun.