Tietosuoja on organisaation yhteinen asia

  Toni Sivupuro
  Kirjoittaja: Toni Sivupuro 21.9.2017

  Aihe: Tietosuoja, GDPR, Datan suojaus

  EU:n uuden tietosuoja-asetuksen (GDPR) siirtymäaika päättyi 25.5.2018. Asetus koskee kaikkia EU:n alueella toimivia yhteisöjä sekä yrityksiä: tietoturvan näkökulmasta tietosuoja-asetus vaikuttaa yritysten strategisiin valintoihin niin henkilötietojen käsittelyssä kuin yritysdatan sijainnissa.

  Tietosuojan vaativat toimenpiteet osaksi liiketoimintaprosesseja

  Vaikka tietosuoja-asetuksesta on kohistu paljon ja osittain sitä pelättiinkin, ei sitä saisi ajatella vain yhtenä yksittäisenä osa-alueena, joka on nyt laitettu kuntoon sanktioiden pelossa. Sen sijaan asetuksen edellyttämät toimenpiteet nähtiin esimerkiksi meillä MPY Palveluissa mahdollisuutena liiketoimintaprosessien kehittämiselle ja organisaation kokonaisturvallisuutta parantavana ajurina.  

  Tämä siksi, että tietosuoja-asetuksen sisältämä osoitusvelvollisuus vaatii koko organisaatiolta uudenlaista asennoitumista tietoturvaan ja tietosuoja-asioihin: rekisterin pitäjällä on näyttötaakka, jonka mukaan on varmistettava ja osoitettava se, että henkilötietojen käsittelyssä noudatetaan asetuksen henkeä.

  Tietoturvallisuus ei siis ole vain yksittäinen osa-alue yrityksen toiminnassa, vaan koko organisaation asia. Siihen liittyy paljon teknisiä elementtejä, mutta merkittävimmät asiat liittyvät ihmisten tietoturvalliseen käyttäytymiseen liiketoimintaprosesseissa. Tietoturvallisuuteen on kiinnitettävä huomiota jokaisessa yrityksen prosessissa aina henkilöstöhallinnosta yhteistyöhön sidosryhmien kanssa.

  Osoitusvelvollisuus ohjaa toimimaan riskilähtöisesti

  Ei siis riitä, että yksittäinen osa-alue on hoidettu viimeisen päälle, vaan on pystyttävä ottamaan kokonaisuus haltuun ja tunnistamaan tietosuojaan liittyvät riskit sekä arvioimaan niiden vaikutukset organisaation toiminnalle. Ja ennen kaikkea on selvitettävä, kuinka riskejä voidaan hallita. Juuri osoitusvelvollisuuden periaate täydentää asetuksen vaatimuksia ja ohjaa toimimaan riskilähtöisesti.

  Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, mikäli tietojen käsittely johtaa:

  • syrjintään,
  • identiteettivarkauteen,
  • petokseen tai vaikka
  • taloudellisiin menetyksiin ja
  • sosiaaliseen vahinkoon esimerkiksi salanimen tai nimimerkin paljastuessa

  Riskikerroin on vielä korkeampi, jos kyseessä johonkin erityiseen henkilötietoryhmään kuuluvia, suurta henkilötietomäärää tai esimerkiksi lapsia koskevia tietoja.

  Riskien minimoinnin näkökulmasta nykytilan tarkka arviointi on osoitusvelvollisuuden kannalta aivan perusasioita. Arvioinnissa voidaan huomioida henkilödatan sisältö riskiarvioinnin pohjalta ja suojata kriittinen data asetuksen vaatimalla tavalla.

   


  Lataa maksuton opas: GDPR - miten suojaan oikein henkilödataa?

  Opas auttaa tunnistamaan vastuut GDPR:n määräysten noudattamisesta. Lisäksi opit, millä toimenpiteillä yrityksesi voi suojata henkilödataa.

  LATAA OPAS


   

  Miten saat parhaat hyödyt riskien kartoituksesta?

  Väitän, että monessa liiketoimintaprosessissa löytyy osa-alueita, joiden rutinoituneet toimintamallit ovat sekä tehottomia ja huomaamatta jääneet kehityksestä jälkeen.

  Parhaat hyödyt riskien kartoituksesta saat osallistuttamalla sekä prosesseissa olevat henkilöt että tietosuojavastaavan. Katselmoikaa yhdessä löytyneitä riskejä luottamuksellisen tiedon näkökulmasta. Huomaatte varmasti, että kehittämisen kohteita löytyy koko prosessin laajuudelta. Näin kehittäminen kohdistuu kokonaisuuteen yksittäisten ja pistemäisten ratkaisujen sijaan.

  Samalla osallistuvat henkilöt saavat parempaa ymmärrystä tietosuoja-asetuksen vaatimuksista ja tietoturvallisuuden merkityksestä liiketoiminnalle.

  Riskien minimointia määriteltäessä suosittelen samalla kartoittamaan, onko liiketoiminnalle kriittisen datan manuaaliset käsittelyprosessit mahdollista automatisoida ja laatimaan suojaustoimet sen mukaisesti.

  Sertifikaatit ja auditoinnit avuksi

  Tietosuojavaltuutetun toimiston julkaisemassa ohjeistuksessa mainitaan, että yritykset voivat yhtenä keinona käyttää myös tietosuoja-asetuksen mukaisia tietosuojaa koskevia sertifikaatteja tai käytännesääntöjä näyttönä siitä, että rekisterinpitäjälle säädettyjä velvollisuuksia noudatetaan. Sertifikaattien myöntämisen tarkoituksena on antaa rekisteröidyille mahdollisuus arvioida helposti tuotteiden ja palveluiden tietosuojan tasoa. Tietooni ei ole vielä tullut tähän mennessä, mitä nämä sertifikaatit käytännössä ovat, joten tietosuojavaatimukset voidaan ottaa osaksi pitkäjänteistä laatutyötä ja sertifioitumista.

  Sertifiointeihin liittyvillä auditoinneilla varmistetaan, että käytäntöjen toimivuus ja tasokkuus noudattavat vaadittua linjaa. Sertifiointien avulla varmistetaan niin osoitusvelvollisuuden periaatteen mukainen toiminta kuin sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen.

  Myös strategisten kumppanien osalta sertifikaatit varmistavat, että kumppanilla asiat ovat yhtä hyvässä kunnossa kuin yrityksellä itsellään. Se on myös riskien hallintaa pahan päivän varalle.

   

  Toni Sivupuro 
  Tietohallintopäällikkö
  MPY Palvelut

   

  MPY Palvelut Oyj:n tietoturvallisuuden hallintajärjestelmälle on myönnetty ISO/IEC 27001:2013 -sertifikaatti, joka kattaa koko konesaliliiketoiminnan sekä kaikki siihen liittyvät johtamis- ja tukiprosessit.

  MPY:n ISO/IEC 27001:2013 sertifioinnissa on hyödynnetty Katakri V3 4-tason turvaluokitusta fyysisten konesalitilojen turvallisuuteen ja tietojärjestelmien ylläpitoon liittyen. Turvaluokituksen vaatimukset ovat tiukat ja turvatilan on oltava Katakri-kriteeristön pohjalta monitasoisesti suojattu ja tietojen säilytyspaikan on oltava Suomessa. Vaatimukset koskevat myös tietoliikennettä, joka on oltava yrityksen omassa hallussa.

  Jaa kirjoitus eteenpäin: