Tutkimuksen tavoitteena oli selvittää organisaation johdon roolia tietosuojan toteuttamisessa. Tutkimus toteutettiin laadullisena tutkimuksena käyttäen osallistuvaa havainnointia ja työpajatyöskentelyä sekä teoriaohjaavaa aineistoanalyysiä. Tutkimuksessa organisaatiolle luotiin Valtiovarainministeriön (2016) antamaan tietosuojan kokonaisuudistusta koskevaan raporttiin perustuva tietosuojasuunnitelman malli. Tietosuojasuunnitelman mallia täydennettiin johtamisen teoriakirjallisuuden sekä suunnitelman osa-alueiden sisältöä koskevan lainsäädännön vaatimusten sekä kansallisen ohjeistuksen avulla konkretisoiden johdon vastuita ja tarvittavia toimenpiteitä. Tietosuoja-suunnitelmaa testattiin organisaation tietosuojaryhmän valitseman osa-alueen osalta linjaorganisaatiossa johdosta henkilöstöön.

Aineistoanalyysi toteutettiin teoriaohjaavasti tutkien organisaation johtamisjärjestelmän määrittelevistä dokumenteista, sekä tietoturva- ja tietosuojapolitiikoista kuinka tietoturvan ja tietosuojan johtamisen vastuut on kuvattu.

Tutkimuksessa havaittiin, että julkisen hallinnon johtamisjärjestelmä koostuu useista säännöistä ja määrittelyistä, joiden lisäksi tietosuojan johtamista kuvataan politiikoissa ja toimintaohjeissa. Yhden dokumentin vastuu määrittelyn muuttuessa kokonaisvastuun ylläpitäminen on haasteellista ja edellyttää useiden dokumenttien päivitystä, jolloin riski kokonaisuuden rikkoutumiseen kasvaa.