MPY:n blogi

Tietosuoja on organisaation yhteinen asia

Kirjoittaja: Toni Sivupuro Päivämäärä: 21.9.2017 11:56
Toni Sivupuro

EU:n uuden tietosuoja-asetuksen (GDPR) siirtymäaika päättyy 25.5.2018. Juuri tällä hetkellä yrityksissä valmistaudutaan – tai ainakin tulisi valmistautua nopealla aikataululla lain mukanaan tuomiin uudistuksiin.

Asetus koskee kaikkia EU:n alueella toimivia yhteisöjä sekä yrityksiä: tietoturvan näkökulmasta tietosuoja-asetus vaikuttaa yritysten strategisiin valintoihin niin henkilötietojen käsittelyssä kuin yritysdatan sijainnissa.

Tietosuoja-gdpr-MPY.jpg

Tietosuojan vaativat toimenpiteet osaksi liiketoimintaprosesseja

Vaikka tietosuoja-asetuksesta kohistaankin paljon ja sitä osittain pelätään, ei sitä saisi ajatella vain yhtenä yksittäisenä osa-alueena, joka on nyt laitettava kuntoon sanktioiden pelossa. Sen sijaan asetuksen edellyttämät toimenpiteet nähtiin esimerkiksi meillä MPY Palveluissa mahdollisuutena liiketoimintaprosessien kehittämiselle ja organisaation kokonaisturvallisuutta parantavana ajurina.  

Tämä siksi, että tietosuoja-asetuksen sisältämä osoitusvelvollisuus vaatii koko organisaatiolta uudenlaista asennoitumista tietoturvaan ja tietosuoja-asioihin: rekisterin pitäjällä on näyttötaakka, jonka mukaan on varmistettava ja osoitettava se, että henkilötietojen käsittelyssä noudatetaan asetuksen henkeä.

Tietoturvallisuus ei siis ole vain yksittäinen osa-alue yrityksen toiminnassa, vaan koko organisaation asia. Siihen liittyy paljon teknisiä elementtejä, mutta merkittävimmät asiat liittyvät ihmisten tietoturvalliseen käyttäytymiseen liiketoimintaprosesseissa. Tietoturvallisuuteen on kiinnitettävä huomiota jokaisessa yrityksen prosessissa aina henkilöstöhallinnosta yhteistyöhön sidosryhmien kanssa.

Osoitusvelvollisuus ohjaa toimimaan riskilähtöisesti

Ei siis riitä, että yksittäinen osa-alue on hoidettu viimeisen päälle, vaan on pystyttävä ottamaan kokonaisuus haltuun ja tunnistamaan tietosuojaan liittyvät riskit sekä arvioimaan niiden vaikutukset organisaation toiminnalle. Ja ennen kaikkea on selvitettävä, kuinka riskejä voidaan hallita. Juuri osoitusvelvollisuuden periaate täydentää asetuksen vaatimuksia ja ohjaa toimimaan riskilähtöisesti.

Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, mikäli tietojen käsittely johtaa:

  • syrjintään,
  • identiteettivarkauteen,
  • petokseen tai vaikka
  • taloudellisiin menetyksiin ja
  • sosiaaliseen vahinkoon esimerkiksi salanimen tai nimimerkin paljastuessa

Riskikerroin on vielä korkeampi, jos kyseessä johonkin erityiseen henkilötietoryhmään kuuluvia, suurta henkilötietomäärää tai esimerkiksi lapsia koskevia tietoja.

risk-management-riskien hallinta.jpg

Riskien minimoinnin näkökulmasta nykytilan tarkka arviointi on osoitusvelvollisuuden kannalta aivan perusasioita. Arvioinnissa voidaan huomioida henkilödatan sisältö riskiarvioinnin pohjalta ja suojata kriittinen data asetuksen vaatimalla tavalla.

Miten saat parhaat hyödyt riskien kartoituksesta?

Väitän, että monessa liiketoimintaprosessissa löytyy osa-alueita, joiden rutinoituneet toimintamallit ovat sekä tehottomia ja huomaamatta jääneet kehityksestä jälkeen.

Parhaat hyödyt riskien kartoituksesta saat osallistuttamalla sekä prosesseissa olevat henkilöt että tietosuojavastaavan. Katselmoikaa yhdessä löytyneitä riskejä luottamuksellisen tiedon näkökulmasta. Huomaatte varmasti, että kehittämisen kohteita löytyy koko prosessin laajuudelta. Näin kehittäminen kohdistuu kokonaisuuteen yksittäisten ja pistemäisten ratkaisujen sijaan.

Samalla osallistuvat henkilöt saavat parempaa ymmärrystä tietosuoja-asetuksen vaatimuksista ja tietoturvallisuuden merkityksestä liiketoiminnalle.

Riskien minimointia määriteltäessä suosittelen samalla kartoittamaan, onko liiketoiminnalle kriittisen datan manuaaliset käsittelyprosessit mahdollista automatisoida ja laatimaan suojaustoimet sen mukaisesti.

Sertifikaatit ja auditoinnit avuksi

Tietosuojavaltuutetun toimiston alkuvuodesta julkaisemassa ohjeistuksessa mainitaan, että yritykset voivat yhtenä keinona käyttää myös tietosuoja-asetuksen mukaisia tietosuojaa koskevia sertifikaatteja tai käytännesääntöjä näyttönä siitä, että rekisterinpitäjälle säädettyjä velvollisuuksia noudatetaan. Sertifikaattien myöntämisen tarkoituksena on antaa rekisteröidyille mahdollisuus arvioida helposti tuotteiden ja palveluiden tietosuojan tasoa. Tietooni ei ole vielä tullut tähän mennessä, mitä nämä sertifikaatit käytännössä ovat, joten tietosuojavaatimukset voidaan ottaa osaksi pitkäjänteistä laatutyötä ja sertifioitumista.

Sertifiointeihin liittyvillä auditoinneilla varmistetaan, että käytäntöjen toimivuus ja tasokkuus noudattavat vaadittua linjaa. Sertifiointien avulla varmistetaan niin osoitusvelvollisuuden periaatteen mukainen toiminta kuin sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen.

Myös strategisten kumppanien osalta sertifikaatit varmistavat, että kumppanilla asiat ovat yhtä hyvässä kunnossa kuin yrityksellä itsellään. Se on myös riskien hallintaa pahan päivän varalle.

Toni Sivupuro 
Tietohallintopäällikkö
MPY Palvelut

MPY Palvelut Oyj:n tietoturvallisuuden hallintajärjestelmälle on myönnetty ISO/IEC 27001:2013 -sertifikaatti, joka kattaa koko konesaliliiketoiminnan sekä kaikki siihen liittyvät johtamis- ja tukiprosessit.

MPY:n ISO/IEC 27001:2013 sertifioinnissa on hyödynnetty Katakri V3 4-tason turvaluokitusta fyysisten konesalitilojen turvallisuuteen ja tietojärjestelmien ylläpitoon liittyen. Turvaluokituksen vaatimukset ovat tiukat ja turvatilan on oltava Katakri-kriteeristön pohjalta monitasoisesti suojattu ja tietojen säilytyspaikan on oltava Suomessa. Vaatimukset koskevat myös tietoliikennettä, joka on oltava yrityksen omassa hallussa.

Aihe: Tietosuoja, GDPR, Datan suojaus