Tietoturvan ja tietosuojan kehittäminen : tietoturvaharjoittelijan oppimispäiväkirja
Lehtinen, Maria (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121135187
https://urn.fi/URN:NBN:fi:amk-2025121135187
Tiivistelmä
Opinnäytetyön tavoitteena oli kehittää toimeksiantajayrityksen tietoturva- ja tietosuojakäytäntöjä sekä lisätä henkilöstön tietoisuutta ja vastuuta niiden noudattamisessa. Työn taustalla vaikuttivat organisaatiomuutos, tietosuojapalveluntarjoajan vaihto sekä lisääntyneet lakisääteiset velvoitteet, jotka edellyttivät käytäntöjen ja dokumentoinnin päivittämistä.
Työ toteutettiin oppimispäiväkirjamenetelmällä, jossa tarkastelujakso kesti seitsemän viikkoa aikavälillä 13.10.–28.11.2025. Päivittäisten kirjausten ja viikoittaisten reflektointien avulla arvioitiin omaa oppimista, työtehtäviä, organisaation tietoturva- ja tietosuojakäytäntöjen toteutumista arjessa ja osana prosesseja sekä kehittämistarpeita eri osastoilla.
Työn tuloksena henkilötietojen käsittelyn dokumentointikäytäntöä yhtenäistettiin palveluntarjoajan vaihdon myötä, vastuunjakoa selkeytettiin järjestelmä- ja osastotasolla sekä tietoturvan huomioimista vahvistettiin organisaation keskeisissä prosesseissa. Tulokset osoittivat, että organisaation tietosuojan ja tietoturvan hallinta vastaa entistä paremmin lakisääteisiä vaatimuksia. Työtä voidaan hyödyntää organisaation tietoturvan ja tietosuojan jatkokehittämisessä. This thesis aimed to enhance the client company’s information security and data protection practices and to increase employee awareness and responsibility for compliance. The work was prompted by organizational restructuring, a change of data protection service provider, and expanding legal obligations, which necessitated updates to practices and documentation.
The study employed a learning diary approach over seven weeks, from 13 October to 28 November 2025. Daily entries and weekly reflections were used to assess personal learning, work tasks, the implementation of information security and data protection practices in everyday operations and processes, and to identify development needs across departments.
As a result, personal data processing documentation was standardized following the service provider transition. Responsibilities were clarified at both the system and departmental levels, and the integration of information security into key processes was strengthened. The findings demonstrate that data protection and information security management now better comply with legal and regulatory requirements. These results can serve as a foundation for the organization’s ongoing development in this area.
Työ toteutettiin oppimispäiväkirjamenetelmällä, jossa tarkastelujakso kesti seitsemän viikkoa aikavälillä 13.10.–28.11.2025. Päivittäisten kirjausten ja viikoittaisten reflektointien avulla arvioitiin omaa oppimista, työtehtäviä, organisaation tietoturva- ja tietosuojakäytäntöjen toteutumista arjessa ja osana prosesseja sekä kehittämistarpeita eri osastoilla.
Työn tuloksena henkilötietojen käsittelyn dokumentointikäytäntöä yhtenäistettiin palveluntarjoajan vaihdon myötä, vastuunjakoa selkeytettiin järjestelmä- ja osastotasolla sekä tietoturvan huomioimista vahvistettiin organisaation keskeisissä prosesseissa. Tulokset osoittivat, että organisaation tietosuojan ja tietoturvan hallinta vastaa entistä paremmin lakisääteisiä vaatimuksia. Työtä voidaan hyödyntää organisaation tietoturvan ja tietosuojan jatkokehittämisessä.
The study employed a learning diary approach over seven weeks, from 13 October to 28 November 2025. Daily entries and weekly reflections were used to assess personal learning, work tasks, the implementation of information security and data protection practices in everyday operations and processes, and to identify development needs across departments.
As a result, personal data processing documentation was standardized following the service provider transition. Responsibilities were clarified at both the system and departmental levels, and the integration of information security into key processes was strengthened. The findings demonstrate that data protection and information security management now better comply with legal and regulatory requirements. These results can serve as a foundation for the organization’s ongoing development in this area.