364
TUTUSTU mitä me osaamme ja teemme
TUTUSTU mitä me osaamme ja teemme

Close

Osaamisalueet

ota yhteyttä

Haluan siirtyä digitaaliseen dimensioon

Valdation:
* Etunimi:
* Sukunimi:
Yritys:
Puhelinnumero:
* Sähköposti:
Maa:
* Viesti:
Successfully sent!
Could not send the mail, try again later!
KAHVIA VAI TEETÄ? Piipahda luonamme.
GDPR is approaching

Blogi helmikuuta 21, 2017

Odotatko ennakkotapauksia tietosuoja-asetuksesta? Ei ehkä kannata

H-hetki lähestyy. EU:n määrittelemän tietosuoja-asetuksen (General Data Protection Regulation) soveltaminen alkaa 25.5.2018. Uusi säännös nostaa riskienhallinnan merkityksen uudelle tasolle. Miten yksittäisen yrityksen pitäisi valmistautua muutokseen?

Siirtymäaikaa EU-tietosuojan uudistukseen tätä blogia kirjoitettaessa on vain noin 15 kuukautta. Sen jälkeen siirrymme aikaan, jolloin yrityksellä kerta kaikkiaan täytyy olla säännökset täyttävät tietojärjestelmät ja prosessit tai vaarana ovat merkittävät sanktiot: tietosuoja-asetuksen mukainen sakko eli jopa 4 % yrityksen liikevaihdosta kirpaisee ketä tahansa ja tämän skenaarion varmasti jokainen yritys haluaa välttää. On siis kehitysprojektin aika ja nyt vielä ehtii valmistautua, vaikka aikaraja lähestyy kovaa vauhtia.

Onko tässä kuitenkaan oikeasti kiire? Vastaus on kyllä. Tietosuoja-asetuksen vaatimusten täyttäminen vaatii kaikkien tietojärjestelmien läpikäynnin ja tämä vie helposti kuukausia.

Mistä työt aloitetaan?

Suurin työ kehitysprojektissa on nykytilan analysointi ja olemassa olevien järjestelmien läpikäynti säädösten ja tavoitteiden asettamisen näkökulmasta. Lähtötilan kartoituksessa selvitetään, missä järjestelmissä henkilötietorekistereitä on ja onko niille lailliset perusteet. Voi myös olla järkevää pohtia, voisiko henkilötietoja pseudonymisoida, jolloin henkilötieto voi olla lähes anonyymissä muodossa, jolloin tämän tiedon vuotaminen ei suoraan kerro henkilöstä sensitiivistä tietoa.

Tässä on myös tärkeää huomioida, että Suomessa enää harva yritys toimii nykyisessä digitaalisessa toimintaympäristössä omin voimin. Palveluntarjoajat auttavat kehitysprojekteissa asiakkaitaan erityisesti tietoturvan osalta. Meidän roolimme on auttaa asiakkaita eri osa-alueilla kuten prosesseissa ja tiedon teknisessä hallinnassa ja oikeastaan uudistuksen toteuttaminen onkin aidosti hankalaa ilman kumppaneiden apua. Kumppanilla on monesti keskeinen rooli esimerkiksi asiakkaan liiketoimintaan kohdistuvien riskien tunnistamisessa ja uusien palveluiden toteuttamisessa. 

Projektin tuloksista jatkuvaan hallintaan

Kehitysprojektin tuloksena tunnistetaan ja luodaan uusia prosesseja, menetelmiä ja ohjeistuksia. Jollei aikaisemmin, viimeistään niiden käyttöönotossa huomataan usein, että uusien säädösten vaatimusten täyttö vaatii uusien palveluiden käyttöönottoa. Näitä palveluita saattavat olla esimerkiksi

  • tiedonhallinnan työkalut ja menetelmät
  • lokien hallinta
  • identiteetin- ja pääsynhallinta
  • tietoturva & arkkitehtuuri
  • haavoittuvuuksien ja niiden päivitysten hallinta
  • henkilötietorekisterin hallinta

On todennäköistä, että yritysten tietojärjestelmistä löytyy edelleen sinne kuulumatonta tietoa, kun uusia palveluita on otettu käyttöön. Siksi näiden palveluiden käyttöönoton jälkeen kehitystä on tärkeä jatkaa pienin askelin. Tämä onkin paras tapa hallita jatkuvaa riskiä. Sekä kehitysprojektin että sen jälkeisen kehityksen etenemisestä, vaiheista ja tehdyistä päätöksistä on hyvä pitää kirjaa, koska etenkin tietosuoja-asetus velvoittaa osoittamaan tarvittaessa oikeusministeriön tietosuojavaltuutetulle, kuinka asetuksessa esitetyt velvoitteet on yritystoiminnassa huomioitu. Selvitysvelvollisuus voi koskea niin kokonaisprosessin hallintaa kuin vaikka yksittäisen henkilön tietojen käsittelyä yrityksessä.

Tietosuoja-asetukseen ja verkko- ja tietoturvadirektiiviin valmistautuminen voi tuntua isolta urakalta ja loppujen lopuksi 15 kuukautta on lyhyt aika. Ei kannata päätyä varoittavaksi ennakkotapaukseksi vaan aloittaa työt heti.

Tuukka Vainiomäki

 

Tuukka Vainiomäki
Kirjoittaja työskentelee Enfon IT-palveluissa Senior Specialistina keskittyen erityisesti tietoturvapalveluiden kehitykseen. 

 

  

Lähteet:

Valtiovarainministeriön VAHTI-raportti EU-tietosuojan kokonaisuudistuksesta
https://www.vahtiohje.fi/c/document_library/get_file?uuid=c97ee414-1fc0-4a91-969c-2ef0657605d1&groupId=10128

Ehdotus NIS-direktiivistä (toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko
Unionissa)
http://register.consilium.europa.eu/doc/srv?f=ST+6342+2013+INIT&l=fi