Käyttäjän arvio: 0 / 5

HuonoHuonoHuonoHuonoHuono

Tietoturvallisuuden Toiminnanohjaus™ on hallintamalli, joka mahdollistaa tietoturvallisuuden tehokkaan ja kokonaisvaltaisen kehittämisen

 

 

Prosesseihin liittyviä uhkia ja riskejä arvioidaan tietoturvallisuuden peruslähtökohdista. Saatavuus, luottamuksellisuus ja eheys kytkeytyvät prosesseihin ja näiden keskinäisiin suhteisiin.

Jatkuvan parantamisen malli luo pohjan tietoturvallisuuden hallintamallille.

 

Organisaation koko ja sen toiminnan luonne säätelee tietoturvallisuuden tasoa ja vaikuttavat esimerkiksi GDPR-riskien arviointiin.

  • Tietotilinpäätös
    • GDPR:n osoitevelvollisuuden täyttäminen + sidosryhmäviestintä
  • Riskikartoitus
    • Prosessilähtöinen tietoturvallisuusriskien ja uhkien tunnistaminen ja minimointi
  • Vaikutusten arviointi
    • Tietosuojan toteutumisen arvioinnin työkalu
  • Dokumentit
    • Tietoturvallisuuteen liittyvät prosessikuvaukset, politiikat, periaatteet ja ohjeet
  • Koulutus
    • Digitaalinen oppimisympäristö mahdollistaa laajat koulutuskokonaisuudet, mittaamisen sekä tiedon syvällisen analysoinnin
  • Auditointi
    • Ulkoinen auditointi takaa tietoturvallisuuden toteuttamisen laadun

 

 

Kokonaisuutta tarkastellaan laajasti niin ulkoisten kuin sisäisten uhkien ja riskien näkökulmista sidosryhmät huomioiden.

Havainnot kerätään yhteen ja niiden pohjalta luodaan suunnitelma estämään vahinkojen syntyminen tai vähentämään toteutuneiden riskien seurauksia. Määritellään korjaavat toimenpiteet ja kirjataan ne kehityssuunnitelmaan aikatauluineen, samalla luodaan tarvittavat mittarit sekä raportointimalli.

Hallintamalli hyödyntää ISO –standardeja ja parhaita käytänteitä ottaen kantaa myös GDPR:n vaatimuksiin.

Lue lisää EU:n tietosuoja-asetuksesta ja sen vaikutuksista täältä

Ota yhteyttä ja tulemme kertomaan lisää

asiakaspalvelu (at) fordione.fi  

Käyttäjän arvio: 0 / 5

HuonoHuonoHuonoHuonoHuono

EU:n tietosuoja-asetusta aletaan soveltaa täysimääräisenä 25.5.2018 

Jos yritys käsittelee toisen yrityksen henkilötietoja tai jos se luovuttaa toiselle yrityksenne henkilötietoja palveluiden tuottamista varten, kannattaa olla hereillä ja ottaa selvää EU:n uudesta tietosuoja-asetuksesta. Tähän saakka näistä asioista on voitu sopia melko vapaasti ja lyhyin ehdoin, mutta 25.5.2018 alkaen tilanne muuttuu. Tuolloin yrityksen täytyy sopia tietyistä velvollisuuksista rekisteriä pitävän yrityksen kanssa kirjallisesti.

Olennaista: sopimuksissa syytä määritellä tarkasti, mistä kumpikin osapuoli käytännössä vastaa; lisäksi huolehdittava siitä, että sopimukset kattavat kaikki ”pakolliset” lausekkeet. Eli määriteltävä mm. miten rekisteröityjen oikeudet käytännössä toteutetaan, siis mm. rekisteröidyn oikeus tarkastaa sekä saada oikaistuksi ja poistetuksi tietoja.

 

Rekisterinpitäjä ja henkilötietojen käsittelijä

Tietosuoja-asetuksen mukaan rekisterinpitäjä (= se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan) on yritys tai muu yhteisö, joka pitää listaa henkilöistä ja rekisteröi heidän tietojaan ja joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Käytännössä lähes kaikki yritykset ovat siis rekisterinpitäjiä jo pelkästään sillä perusteella, että heillä on omaa henkilökuntaa.

Jos yritys tarjoaa vaikkapa palkkahallinnon palveluja yrityksille tai yrityksen pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja, yritys on asetuksen mukaan henkilötietojen käsittelijä (= se todellinen tietoja tallentava, kokoava ja säilyttävä, esim. palveluntarjoaja).


Päivitä kaikki henkilötietojen käsittelyä koskevat sopimukset

Nykyinen normisto, tietosuojadirektiivi ja henkilötietolaki, asettavat henkilötietojen käsittelyä koskevia velvoitteita lähinnä rekisterinpitäjälle: rekisterinpitäjä on perinteisesti vastannut siitä, että se käsittelee henkilötietoja lain vaatimalla tavalla. 

Rekisterinpitäjä ja käsittelijä ovat puolestaan voineet vaikkapa palvelusopimuksessa sopia keskinäiset vastuunsa henkilötietojen käsittelystä. Osapuolet ovat saattaneet sopia esimerkiksi siitä, mitä tietoturvatoimia he noudattavat henkilötietojen käsittelyn suhteen ja onko käsittelijällä oikeus siirtää henkilötietoja EU/ETA-alueen ulkopuolelle.

Jatkossa asetus tuo vaatimuksia myös henkilötietojen käsittelijälle ja ne täytyy kirjata mukaan sopimukseen, elleivät ne siellä jo ennestään ole. Käytännössä tämä tarkoittaa sitä, että edustipa yritys sitten rekisterinpitäjää tai henkilötietojen käsittelijää, kaikki yrityksien väliset henkilötietojen käsittelyä koskevat sopimukset täytyy päivittää, mikäli ne ovat voimassa asetuksen voimaantulon jälkeen.

Sovi vähintään näistä asioista

Mikäli edustaa henkilötietojen käsittelijää, tietosuoja-asetus velvoittaa yritystä sopimaan siitä, että

  • varmistetaan henkilötietojen käsittelyn turvallisuustaso
  • käsittelijä tekee ilmoitukset tietoturvaloukkauksista rekisterinpitäjälle
  • tarvittaessa yritykseen nimitetään tietosuojavastaava tiettyjen kriteereiden täyttyessä
  • käytetään alihankkijaa vain rekisterinpitäjän suostumuksella

 

Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on jatkossa sovittava siitä kirjallisesti. Seuraavat neljä kohtaa on oltava ainakin rekisterinpitäjän ja kolmannen osapuolen välisessä sopimuksessa käsiteltyinä:

  • henkilötietojen käsittelyn kohde ja kesto,
  • luonne ja tarkoitus,
  • henkilötietojen tyyppi ja
  • rekisteröityjen ryhmät (esimerkiksi loppuasiakkaat) sekä
  • rekisterinpitäjän oikeudet ja velvollisuudet

 

Sopimukseen sisällytettävät asiat:

Käsittelijän eli ulkoistuspalveluita tarjoavan velvollisuudet on mainittava sopimuksessa nimenomaisesti (artikla 28) joita ovat:

  • velvollisuus noudattaa rekisterinpitäjän dokumentoituja ohjeita käsittelyssä ja mm. siirrossa kolmansiin maihin
  • huolehtia salassapitovelvollisuudesta
  • toteuttaa kaikki artikloissa 32–36 säädetyt velvollisuudet;
  1. tietoturvasta huolehtiminen ja pseudonymisointi
  2. tietoturvaloukkauksesta ilmoittaminen viranomaisille
  3. tietoturvaloukkauksesta ilmoittaminen rekisteröidyille
  4. vaikutustenarviointi
  5. ennakkokuuleminen
  • palautetaanko vai poistetaanko henkilötiedot käsittelyn päättyessä (mainittava myös, jos tiedot lainsäädännön mukaan säilytettävä)
  • antaa rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen säädettyjen velvollisuuksien noudattamista osoittamista varten

 

Käsittelijän on myös ylläpidettävä kirjallista selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista, ja selosteessa on oltava seuraavat tiedot (asiat tulisi todentaa tai pyytää kirjallinen seloste käsittelijältä):

  • henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
  • kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät
  • tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä sekä asianmukaisia suojatoimia koskevat asiakirjat
  • mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista (artikla 32, kohta 1)

 

Sopimuksessa huomioitavat asiat:

  • käsittelyn tulee tapahtua rekisterinpitäjän ohjeiden mukaisesti
  • kummankin osapuolen salassapitovelvoitteet on yksilöitävä
  • käsittelijän tulee sitoutua noudattamaan asianmukaisia toimenpiteitä käsittelyn riskiä vastaavan turvallisuustason varmistamiseksi
  • alihankinta on mahdollista vain rekisterinpitäjän luvalla ja käsittelijällä on vastuu alihankkijastaan
  • käsittelijän on sitouduttava avustamaan rekisterinpitäjää tämän vastatessa rekisteröityjen pyyntöihin esimerkiksi tilanteissa, joissa rekisteröidyt haluavat pääsyn omiin tietoihinsa
  • käsittelijällä on vastuu auttaa rekisterinpitäjää varmistamaan tiettyjen rekisterinpitäjän velvoitteiden, kuten tietojen poistopyynnön, noudattaminen
  • henkilötietojen poistosta tai palautuksesta käsittelyyn liittyvien palveluiden päättyessä on syytä sopia (jollei muu lainsäädäntö edellytä tietojen säilyttämistä)

 

Henkilötietojen käsittelyä koskevien sopimusehtojen painoarvo kasvaa entisestään ja osapuolet sopivat jatkossa yksityiskohtaisempia ehtoja. Vastaavasti sopimuksen osapuolet antavat henkilötietojen käsittelyä koskeville asioille suurempaa painoarvoa myös muissa sopimusehdoissa, kuten takuu- ja vastuunrajoitusehdoissa. Lisääntyneet vastuut näkyvät usein myös palveluiden hinnoittelussa. 

Vastuu vahingoista GDPR:n mukaan

Vastuunjako:

1) rekisterinpitäjä vastuussa vahingosta, joka on aiheutunut käsittelystä, joka ei ole GDPR:n mukainen;

2) henkilötietojen käsittelijä vastuussa ainoastaan, jos se ei ole noudattanut käsittelijöille osoitettuja GDPR:n velvoitteita tai se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.

  • Todistustaakka rekisterinpitäjällä tai käsittelijällä: Osoitettava, ettei ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
  • Yhteisvastuu: Jos useampi osallistuja tietojenkäsittelyssä, ja ne ovat vastuussa aiheutuneesta vahingosta, kukin rekisterinpitäjä tai käsittelijä vastuussa koko vahingosta (takautumisoikeus muita vahingonaiheuttajia kohtaan).
  • Sopimuksen osapuolilla mahdollisuus sopia korvausvastuun jakamisesta keskinäisessä suhteessaan → sopimusehdot kannattaa laatia huolellisesti.

Kauttamme on saatavissa myös sopimusjuridiikkaan erikoistuneita lakimiespalveluita.

 

Käyttäjän arvio: 0 / 5

HuonoHuonoHuonoHuonoHuono

Tietosuoja-asetus koskee kaikkien kansalaisten henkilötietojen käsittelyä. Yhdenmukainen henkilötietolainsäädäntö EU:ssa tukee rajat ylittävää kaupankäyntiä. Kansalaisen on helpompi luottaa esimerkiksi verkkokauppoihin, kun hän tietää, että hänen henkilötietojaan käsitellään kaupanteon yhteydessä asianmukaisesti.

”Tulevaisuudessa bulgarialainen verkkokauppa on tietosuojan kannalta yhtä turvallinen kuin suomalainen, jos kauppa osoittaa noudattavansa asetusta” - Tietosuojavaltuutettu Reijo Aarnio


Suostumuksen hankkiminen

Verkkokaupan asiakkaalta (tilaajalta) ei aina tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaus on sopimus, jossa asiakas on osapuolena.

Jos yrityksen asiakkaaksi rekisteröitynyt henkilö on tehnyt verkkopalvelussa ostoksen, tilauksen, varauksen tms., osapuolten välille on muodostunut henkilötietojen käsittelyyn oikeuttava asiallinen yhteys.

Jos osapuolten välille ei ole rekisteröitymisen seurauksena muodostunut asiakassuhdetta, kyse on muusta henkilön suostumukseen perustuvasta tietojen käsittelystä.  

Jos suostumus henkilötietojen käsittelyyn on annettu internetissä, on kummankin osapuolen kannalta tarkoituksenmukaista, että henkilö voi myös perua suostumuksensa verkossa. On suositeltavaa, että suostumuksen voi perua samassa sähköisessä palvelukanavassa kuin missä se on annettukin.


Sähköinen markkinointi 

Verkkokaupan asiakkaalle (tilaajalle) saa lähettää sähköistä markkinointia, jos asiakas on aktiivisesti sallinut sen tai jos sähköpostiosoite on saatu tilauksen yhteydessä, eikä asiakas ole aktiivisesti kieltänyt sitä, vaikka kieltomahdollisuutta on tarjottu. Rekisteriselosteessa on oltava maininta sähköisestä markkinoinnista.

Sähköpostimarkkinoinnista ja GDPR:stä puhuttaessa on tärkeää tunnistaa seuraavat roolit: uutiskirjeiden lähettäjä on rekisterinpitäjä (= se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan), ja uutiskirjeteknologian toimittava yritys on henkilötietojen käsittelijä (= se todellinen tietoja tallentava, kokoava ja säilyttävä jne. joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta). GDPR:n keskiössä on rekisterinpitäjän osoitusvelvollisuus, jonka myötä uutiskirjeen lähettäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötiedon käsittelylle. Henkilötietojen käsittelyä koskevat periaatteet kuvataan GDPR-asetuksen artiklassa 5 ja oikeusperusteet määritellään artiklassa 6.

Kun ylläpidetään henkilörekisteriä, kuten postituslistoja, silloin on oltava näiden henkilötietojen käsittelylle peruste, joka kohtaa vähintään yhden 6. artiklan kohdan kanssa. Kun uutiskirje lähetetään listoilla oleville kontakteille, on viestintä perustuttava yhtä lailla vähintään yhteen artiklan kohdista.

 

Artikla 6

Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
  2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
  3. käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
  4. käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
  5. käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;  
  6.  käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. 


Suostumus henkilötietojen käsittelyyn

Asiakkailta on aina pyydettävä suostumus henkilötietojen käsittelyyn. Tämä on osittain virheellinen väite, sillä suostumuksesta ja sopimuksesta säädetään tietosuoja-asetuksen kuudennessa artiklassa henkilötietojen käsittelyn lainmukaisuudesta. Artiklan johtolause kuuluu: ”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy". Asiakassuhteessa edellytyksiä on usein useampia. Rekisterinpitäjän ja rekisteröidyn väliseen suhteeseen liittyy usein myös lakisääteisiä velvoitteita tai *oikeutettuja etuja. Suostumusta tulisi käyttää vain sellaisissa tilanteissa, joissa rekisterinpitäjän käytössä ei ole muuta oikeusperustetta henkilötietojen käsittelylle.

* oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde − rekisteröity on esimerkiksi rekisterinpitäjän asiakas tai tämän palveluksessa.


Käytännön esimerkki

 

Jos rekisteröitynyt on tilannut itse (opt-in = henkilön itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn).

 

Syy käsitellä henkilötietoa on henkilön itsensä antama suostumus: hän on tilannut uutiskirjeen ja haluaa sen antamaansa sähköpostiin. Syy kohtaa artiklan ensimmäisen kohdan kanssa. Syy lähettää uutiskirjettä tälle henkilölle on sama artiklan kohta, suostumuksen mukaisen viestinnän toteuttaminen.

Jos sähköpostimarkkinointi perustuu lupaperusteiseen markkinointiin ja on luotu oma opt-in -lista, toimintamalli soveltuu sellaisenaan yhteen artiklan kanssa.

 

Entäpä ne kaikki muut vastaanottajat, kuin opt-in -tilaajat? Tulevaisuus on tämän suhteen vielä osittain epävarmaa.
 

Jos rekisteröitynyt on asiakas 

Syy säilöä rekisteröidyn henkilötietoja on todennäköisesti yrityksen ja asiakaan välillä vallitseva sopimus, asiakassuhde (artiklan toinen kohta).

Syy lähettää uutiskirje asiakkaalle voi olla esimerkiksi sopimuksen täytäntöönpano (sama artiklan kohta), puhuttaessa vaikka verkkokaupan tilausvahvistuksesta.

Muut tilanteet, kuin ylläolevat, millaisia uutiskirjeitä voi lähettää asiakkaalle, joka ei ole antanut lupaa markkinointiviestintään? Mikä lasketaan artiklan mainitsemaksi oikeutetuksi eduksi?

Suostumus voidaan saada, vaikka seuraavanlaisella klausuulilla verkkosivulla

”Vahvistamalla sähköpostisi hyväksyt, että saamme jatkossakin lähettää sinulle hyödyllistä markkinointiin ja viestintää liittyvää sisältöä. Voit milloin tahansa peruuttaa tilauksesi alla olevasta linkistä.” 

Käyttäjän arvio: 0 / 5

HuonoHuonoHuonoHuonoHuono

 

Olen tänä vuonna tavannut EU:n tietosuoja-asetuksen tiimoilta asiakkaan jos toisenkin. Keskustelut ovat pääsääntöisesti olleet varsin rakentavia ja kauppaakin on syntynyt ihan mukavasti. Yksi asia on kuitenkin jäänyt hieman pohdituttamaan. Varsin usein asiakas on nimittäin esittänyt toiveen, tai oikeammin vaateen, että jos ja kun tähän on nyt kerran pakko lähteä, niin tehdään sitten vain ne asiat, jotka minimissään täytyy tehdä. Eli mennään ihan rimaa hipoen yli ja that’s it! Ajattelin itse hyödyntää samaa mallia viime kesänä hankkiessani lääkärintodistusta ajokorttia varten. Pyysin lääkäriä tekemään vain ne lääketieteelliset toimet, jotka kortin voimassapitämiseksi aivan minimissään vaaditaan. Hän katsoi minua hieman säälivästi ja antoi kaksi vaihtoehtoa. Joko tarkistus tehdään tai sitä ei tehdä. Ja that’s it! Sama pätee EU:n tietosuoja-asetukseen. Sen vaatimukset joko täytetään tai sitten ei.

 

Jostain syystä vaatimusten täyttäminen koetaan varsin byrokraattisena. Ainakin mikäli alkusyksystä pitämäni koulutuksen pienimuotoisesta gallupista voi vetää johtopäätöksiä. Pyysin osallistujia nostamaan käden ylös, mikäli tietosuoja-asetuksen, eli tuttavallisemmin GDPR:n, vaatimusten täyttäminen tuntuu heistä turhalta EU-hömpötykseltä. Yli puolet käsistä nousi. Seuraavaksi pyysin nostamaan käden ylös, mikäli omien henkilötietojen päätyminen vääriin käsiin tuntuu hyvältä tai tosi hyvältä jutulta. Yllättäen yhtään kättä ei noussut. Sinällään hieman surkea, mutta varsin odotettu tulos. Miksi siis toimenpiteet, joilla jokaisen toivoma henkilötietojen suojaaminen pyritään turvaamaan, tuntuvat hankalilta ja byrokraattisilta? Yksi syy voi olla se, että asiaan liittyvää tietoa tulee tällä hetkellä joka myyntituutista, ja konkretian löytäminen tästä infomerestä saattaa olla varsin tuskallista. Eli lienee syytä avata asiaa hieman tarkemmin.

 

EU:n yleinen tietosuoja-asetus on laadittu ennen kaikkea siksi, että yksilön oikeudet omiin tietoihinsa voidaan taata tässä alati digitalisoituvassa maailmassa. Toisaalta asetuksella halutaan myös varmistaa, että jokaisella palvelua tuottavalla taholla on samat toimintaedellytykset ja velvollisuudet kaikissa EU-maissa. Jotta nämä tavoitteet saadaan toteutettua, on laadittu yhteensä 99 artiklaa käsittävä pakottavaa lainsäädäntöä oleva asetus. Kohtalaisen paljon vaikeaselkoista tekstiä omaksuttavaksi. Ja jos päällimmäiseksi mieleen ovat jääneet myyntikirjeissä toistuvasti mainitut kovat sanktiot, on täysin ymmärrettävää, että asia saattaa hieman ahdistaa.

 

Onneksi tieto ei aina lisää tuskaa. Yksinkertaistettuna asetuksessa on kyse henkilötietojen käsittelyyn liittyvien riskien tunnistamisesta, niiden vaikuttavuuden analysoinnista ja ennen kaikkea riskien minimoimisesta. Ja siitä, että tämä kaikki voidaan myös tarvittaessa valvovalle viranomaiselle osoittaa, eli osoitusvelvoitteen täyttämisestä. Aloitetaan asetusvyyhdin purkaminen organisaation toiminnan luonteesta. Onko henkilötietojen käsittely organisaation ydintoimintaa? Entä onko käsiteltäviä tietoja paljon ja ovatko ne arkaluonteisia? Jos vastaus on kyllä, organisaation saattaa olla tarve nimetä tietosuojavastaava. Kyseessä on sisäinen tai ulkoinen nimetty taho, jonka vastuulla on huolehtia henkilötietojen käsittelyn lainmukaisuudesta.

 

Henkilöstöhallinnollisten toimien tultua näin täytetyiksi, pääsemmekin pohtimaan itse henkilötietojen käsittelyä. Tyypillisesti suurimmat käsittelyyn kohdistuvat riskit liittyvät tietojen säilyttämiseen, käsittelyoikeuksiin ja tiedon jakeluun. Siksi niistä kannattaakin aloittaa. Tehdään tämä kuvaamalla mitä henkilötietoja sisältäviä tietovarantoja organisaatiolla on, minkälaista tietoa niissä säilytetään ja kuinka pitkään. Sitten analysoidaan ketkä tietoja käsittelevät, miksi ja millaisilla oikeuksilla ja järjestelmillä sekä se, kenelle tietoja mahdollisesti luovutetaan ja miksi. Rinnalla arvioidaan näihin toimintoihin liittyviä uhkia ja riskejä ja pohditaan näiden vaikuttavuutta. Käsittelyprosessien tultua selvitetyiksi, arvioidaan tietoturvallisuuden ja siihen liittyvän dokumentaation tasoa sekä henkilöstön tietoturvatietoisuutta viestintää unohtamatta. Lopuksi käydään vielä henkilötietojen käsittelyyn liittyvät sopimukset lävitse ja lisätään tarvittaessa näihin henkilötietojen käsittelysäännöt. Kaikki havainnot kirjataan ylös ja niiden pohjalta laaditaan kehityssuunnitelma tarvittavista toimenpiteistä ja sovitaan niiden toteuttamisesta. Ja voilà, osoitusvelvollisuus onkin täytetty!

 

Totuuden nimissä on kuitenkin todettava, että valitettavasti tämä ei kuitenkaan vielä aivan riitä. GDPR tuli nimittäin jäädäkseen. Ja se edellyttää, että kaikki henkilötietoihin kohdistuvat poikkeamat ja niiden käsittelyyn mahdollisesti kohdistuvat merkittävät muutokset, kuten esim. tietojärjestelmämuutokset, tulee kuvata ja viestiä rekisteröidyille ja tarvittaessa myös valvovalle viranomaiselle. Eli kyseessä on siis jatkuva prosessi. Onneksi haasteen selättämiseen löytyy oiva lääke. Tietosuojavaltuutetun toimiston osoitusvelvoitteen täyttämiseen suosittelema vuotuinen tietotilinpäätös. Se on vapaamuotoinen dokumentti, joka kerää yhteen kaiken edellä kuvatun ja lisäksi paljon muuta. Kokemuksesta voin sanoa, että tietotilinpäätös ei ole pelkästään osoitusvelvollisuuteen liittyvä asia. Sen avulla organisaatio voi myös arvottaa tietoturvallisuuttaan yleisesti ja rakentaa turvallisuusidentiteettiään. Eli toisin sanoen synnyttää tietoturvallisuuskulttuuria. Ja kulttuuri on tunnetusti asia, joka ei pelkästään kuulosta hienolta. Se on sitä.

 

Kirjoittaja Matti Timonen on toimii hallinnolliseen tietoturvaan keskittyneessä Fordione Oy:ssä konsulttina ja hallituksen puheenjohtajana. Hän on myös yksi yrityksen perustajista.

 

Käyttäjän arvio: 0 / 5

HuonoHuonoHuonoHuonoHuono

Paljastuksia olutravintolassa - "Kaisa alaviiva yksi"

 

Kävin ostamassa pitsaa kotiin. Koska toimitusajan epäiltiin pitenevän totutusta, päätin ottaa oluen odotellessa. Siinäpä se oli sitten hyvä nojailla Etu-Töölöläisen olutravintolan baaritiskiin ja havainnoida. Kiinnitin huomioni kahteen hyvin pukeutuneeseen ja jo hieman varttuneemmassa iässä olevaan herrasmieheen. Keskustelu kulki oluen siivittämän avoimena ja kuuluvana. Olin pakotettu kuulemaan, vaikka en kuunnellut.

 

”Meillekin tuli sitten sellainen pilvisähköposti.” sanoi ensimmäinen herra.

”No niin sitä pitää! Että tiedot jakoon vain.” kommentoi toinen.

”Älä muuta sano! Ja samassa rytäkässä piti sitten vaihtaa se salasanakin. Pitää nykyisin sisältää ihan erikoismerkkejä ja kaikkea.”

”Kuulostaa tosi vaikealta…”

”No. Lisäsin Kaisaan, vaimon nimeen, alaviivan ja ykkösen. Hyvin meni läpi!”

 

 

Suurin murhe on inhimillinen

 

Tarina kuulostaa täysin absurdilta, mutta on tosi. Kyseessä on mielestäni malliesimerkki siitä, kuinka tietoturvallisuuspanostukset voivat valua hikenä hiekkaan. Juuri pilvipalveluiden tietoturvasta ja tietosuojasta puhutaan paljon. Varsin yleinen väittämä on, että jokaisen vähänkin asiaan vihkiytyneen tulee ymmärtää, että pilveen tallennettu tieto on vaarassa päätyä vääriin käsiin. Toki tällaistakin tapahtuu. Mutta harvemmin. Pilviratkaisuiden tietoturvapanostukset ovat sitä luokkaa, että paljon puhuttu "Lielahden Eurojackpot -voitto" olisi niissä kisoissa lähinnä pyöristysvirhe. Siksi uskallankin väittää, että suurin murhe ei ole tekninen, vaan inhimillinen.

 

Olen viimeiset kolme vuotta toiminut hallinnollisen tietoturvallisuuden parissa. Näissä merkeissä olen tavannut yhden jos toisenkin organisaation. Käydyt keskustelut ovat varsin usein johtaneet tekniikkaan. Se kun on kuin sää; siitä on niin kovin helppo puhua. Paljon vaikeammaksi on osoittautunut keskustelu tulevasta EU:n tietosuoja-asetuksesta: se nimittäin edellyttää, että tekniikan lisäksi myös hallinnollisen puolen on oltava kunnossa. Otetaan esimerkki asetuksen vaateista. Jos lähtökohtana on nyt se, miten yksilön toiminta vaikuttaa organisaation tietosuojaan, on asia jatkossa päinvastoin. Eli kysymys kuuluu: miten organisaation toiminta vaikuttaa yksilön tietosuojaan?

 

En usko, että suurilla pilvipalveluoperaattoreilla tulee olemaan merkittäviä haasteita tämän pykälän täyttämisessä. Niiden jatkuvuus on maineesta kiinni - panostus tietoturvallisuuteen niin sanotusti "pysyy ja paranoo". Mutta pilvipalveluissa, kuten kaikissa muissakin palveluissa, on yksi perustavanlaatuinen ongelma: ne ovat juuri niin turvallisia, kuin me käyttäjät haluamme niiden olevan.

 

 

Tietoturvallisuutta toteutettava 24/7 

 

Organisaatiot ovatkin haasteellisen tehtävän edessä. Miten saada henkilöstö ymmärtämään, että tietoturvallisuus on kokonaisvaltainen asia ja sitä tulee toteuttaa 24/7? Tämä ongelma ei harmittavasti ratkea tekniikalla. Ei ainakaan vielä. On siis pystyttävä kertomaan selkokielellä, että pahimmillaan viimeisen päälle suojatusta ympäristöstä saattaa muutamalla huonosti valitulla sanalla muotoutua varsin suojaton. Ja sen seurauksena on Kaisan yksityisyys uhattuna. Kuten myös organisaation maine. Ja tätä eivät kumpikaan halua. Eikä kukaan muukaan.

 

Matti Timonen on tehnyt pitkän uran IT- alalla. Hän on toiminut mm. tietohallintojohtajana logistiikka- ja IT -yrityksissä ja vetänyt myös liiketoimintayksikköä. Tällä hetkellä hän toimii hallinnolliseen tietoturvaan keskittyneessä Fordione Oy:ssä konsulttina ja hallituksen puheenjohtajana. Hän on myös yksi yrityksen perustajista.

© 2015 Fordione. All Rights Reserved.
Y-tunnus: 2635372-8, kotipaikka Helsinki