Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
GDPR - Uudistuvat tietosuojavaatimukset haltuun 5 askeleella

Lähes jokainen yritys käsittelee henkilörekisterejä. Ne ovat perusta modernille markkinoinnille. Lisäksi yrityksistä löytyy asiakasrekistereja tai työntekijöihin liittyviä tietoja.

Esimerkiksi näiden hallintaa koskee EU:n uusi tietosuoja-asetus, GDPR (General Data Protection Regulation). Sen voidaan siis sanoa koskevan lähes jokaista suomalaista yritystä. Asetus on jo voimassa ja siirtymäaika päättyy 25.5.2018, jonka jälkeen yritysten toiminnan pitäisi olla uusien tietosuojamääräysten mukaisia. Moni on tästä vielä hyvin kaukana.

GDPR vaatii yritykseltä paljon uutta. Siihen sisältyy osoitusvelvollisuus, eli viranomainen voi vaatia yritykseltä selvitystä "Miten firmasi täyttää tietosuoja-asetuksen vaatimukset"? Samalla uhkataan isoilla sanktoilla (20 miljoonaan euroon asti) ja lisätään roimasti rekisteriin kirjatun henkilön oikeuksia. Tämä tietopaketti tuo selkeyttä muutokseen.

”Meillä ei käsitellä henkilötunnuksia tai tallenneta pitkiksi aikaa henkilötietoja, joten tämä ei varmaan koske meitä?”

Valitettavasti väärin. Henkilötiedoksi käsitetään käytännössä kaikki yksityishenkilöön liittyvä informaatio, esimerkiksi nimi, sosiaalisen median kanaviin ladattu kuva, sähköpostiosoite, potilastiedot, yms. Jopa IP-osoite voi (EU-tuomioistuimen päätöksen mukaan) olla henkilötietoa, vaikka henkilön tunnistaminen ei yksin sen avulla onnistuisikaan. Hyvin harva yritys on tämän asetuksen ulkopuolella.

Miksi uusi tietosuoja-asetus?

Teknologinen kehitys ja globalisaatio luovat haasteita henkilötietojen suojalle. GDPR on tehty vastaamaan näihin haasteisiin.

GDPR parantaa EU-kansalaisen tietosuojaan liittyviä oikeuksia, yksityisyyden suojaa sekä omien henkilötietojen luottamuksellista käsittelyä.

GDPR harmonisoi kuluttajasuojaa EU-alueella. Tämä liittyy EU:n digitaalisten sisämarkkinoiden strategiaan, jossa yritetään luoda paremmat mahdollisuudet tehdä kuluttajakauppaa. Nykyään voimassa olevia EU-direktiivejä tietosuojaa koskien on sovellettu eri maissa hyvin kirjavasti. Tästä on tullut lisävaivaa etenkin kansainvälisesti toimiville yrityksille. Jatkossa riittää asiointi vain yhden valtion tietosuojaviranomaisen kanssa.

”Tulevaisuudessa bulgarialainen verkkokauppa on tietosuojan kannalta yhtä turvallinen kuin suomalainen, jos kauppa osoittaa noudattavansa asetusta”

- tietosuojavaltuutettu Reijo Aarnio

Tietosuojakysymyksiä ei perinteisesti yrityksissä ole hahmotettu kokonaisuutena, vaan tietosuojaan liittyvät tehtävät ovat jakaantuneet markkinointiin, tietohallinnontoon, lakiosastolle, henkilöstöhallinnolle ja niin edelleen. Jatkossa edellytys määräysten mukaiselle toiminnalle on tietosuoja-asioiden huomioiminen kokonaisuutena.

‍Tällaisia uutisia tulee vastaan paljon (https://www.theguardian.com/business/2015/nov/06/nearly-157000-had-data-breached-in-talktalk-cyber-attack)

Asetuksessa on siis pohjimmiltaan myönteinen näkökulma, niin yrityksen kuin yksilönkin näkökulmasta. Kun yritys hoitaa henkilötietoihin liittyvät velvoitteet hyvin, tämä tukee liiketoimintaa ja vahvistaa asiakkaiden luottamusta. Asetus kuitenkin ensisijaisesti vahvistaa kansalaisten oikeuksia ja samalla tuo lisää velvollisuuksia heidän tietojaan säilyttäville ja käsitteleville yrityksille. Ensivilkaisulla GDPR voi yritysjohtajalle tuntua suurelta määrältä turhaa työtä.

"Ensivilkaisulla GDPR voi yritysjohtajalle tuntua suurelta määrältä turhaa työtä."

Tässä kirjoituksessa esittelemme 5 tärkeää askelta, joiden kautta yritys pääsee liikkeelle tietosuojatyössä ja GDPR:n vaatimuksiin vastaamisessa.

GDPR:n vaatimukset haltuun 5 askeleen kautta

1. Selvitä nykytila porukalla

Yleinen haaste on, ettei yritys tiedä tarkasti, mitä kaikkea henkilötietoa järjestelmistä löytyy, missä ja miten sitä säilytetään, käsitellään, ylläpidetään tai kuka siitä vastaa. Tämä on peruja siitä, ettei tietosuojaan liittyviä asioita aiemmin ole nähty kokonasuutena. Nyt tämä olisi aika selvittää.

Henkilötietoja voi olla siisteissä ohjelmistojen tietokannoissa, satunnaisissa Excel-tiedostoissa tai paperisissa mapeissa. GDPR ei välitä siitä, millaisessa systeemissä tiedot sijaitsevat. Kaikkia niitä pitää jatkossa hallinnoida vaatimusten mukaan. Tämä ajaa yritykset vääjäämättä kysymään, ovatko kaikki olemassa olevat rekisterit todella tarpeen. Jos teillä on vanhoja markkinointikäyttöön tarkoitettuja henkilörekisterejä, oikea toimenpide lienee tuhota ne tai kysyä vastaanottajilta lupa viestimiseen jatkossa.

Henkilörekistereitä luodaan tänä päivänä aika surutta. Jos vaikkapa tapahtumaa varten luodaan ad hoc -rekisteri, silloin ollaan aika riskialttiilla polulla

- Jan Mickos, CGI

Nykytilan selvittämiseksi oleellisia kysymyksiä ovat mm.:

  • Kuinka keräämme henkilötietoja?
  • Onko meillä käsittelyoikeus muihin rekistereihin? (esim. asiakkaan tietoihin - asetus koskee myös näitä)
  • Miksi keräämme juuri nämä tiedot? Tarvitsemmeko kaiken?
  • Mihin tarkoitukseen käsittelemme henkilötietoja? Onko tämä asiallinen oikeusperuste henkilötietojen käsittelylle?
  • Kenelle luovutamme henkilötietoja?
  • Kuka vastaa kustakin rekistereistä ja niiden ylläpidosta?

Tässä vaiheessa siis selvitetään, missä henkilödataa on, mitä dataa tarkemmin, missä sitä pitää olla ja missä sitä ei pidä olla! Henkilötieto ei enää voi olla hujan hajan firman syövereissä!

2 - Tarkista määräystenmukaisuus ja listaa toimenpiteet kuilun (tavoitetila vs. nykytila) kuromiseksi

Vaikka Suomen henkilötietolaissa on ollut jo entuudestaan monia asetukseen liittyviä vaatimuksia, GDPR tuo kuitenkin mukanaan laajan joukon uusia vaatimuksia, jotka organisaatioiden tulee täyttää.

En suosittele suoraa hyökkäystä asetustekstin kimppuun - se on melkoisen hankalasti luettava järkäle. Tässä on lyhyt yhteenveto oleellisimmista muutoksista, (tulossa: jotka voit halutessasi lukea myös hieman tarkemmin selitettyinä).

  • Todistustaakka siirtyy viranomaiselta rekisterin pitäjälle. Tämä lisää ennakkosuunnitelun ja dokumentoinnin tarvetta yrityksissä.
  • Rekisteröidyn oikeudet laajenevat selvästi. Hyvä esimerkki on rekisteröidyn "oikeus tulla unohdetuksi", jonka jälkeen rekisterinpitäjän on poistettava kaikki tähän yksittäiseen henkilöön liittyvät henkilötiedot systeemeistään.
  • Sanktiot rikkeistä kovenevat. Laiminlyönnistä voidaan määrätä sakkoa jopa 20 milj. euroa.
  • Tietojen käsittely vaatii SELKEÄN suostumuksen. Pitkä piilotettu teksti tai ennalta täytetty valintaruutu ei enää toimi. Yrityksen on nimenomaan varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet.
  • Keskittyminen tiedon elinkaaren hallinnassa. Esimerkiksi tiedon poistaminen on vaatimus, jos tiedolla ei enää ole arvoa alkuperäisen tarpeen kannalta.
  • Yrityksissä on nimettävä tietosuojavastaava.
  • Tietomurroista raportoitava 72 tunnin sisällä. Haasteena lienee se, että puutteellisilla käytännöillä tietomurtoja ei yleensä havaita heti, vaan voi mennä kuukausia tai vuosia.

Kirjoitamme pian erillisen kirjoituksen, jossa näitä muutoksia avataan hieman tarkemmin.

3 - Priorisoi "korjaavat" toimenpiteet ja varmista toimintatapojen dokumentointi

Uuden tietosuoja-asetuksen pääviesti on, että henkilötietojen käsittelylle on luotava kirjatut säännöt ja prosessit. Lisäksi on pystyttävä osoittamaan, että näitä noudatetaan. Ketkä ovat esimerkiksi  oikeutettuja pääsemään käsiksi rekistereihin ja miksi? Dokumentit ja prosessikuvaukset on oltava kunnossa tietosuojaan liittyvistä asioista. Tähän dokumentaatioon nojaudutaan, kun viranomainen tulee kysymään henkilötietojen käsittelyn nykytilasta.

Tavoitetilan ja nykytilan vertailusta saatte lisäksi kasan toimenpideideoita, joiden avulla toimintanne tulisi vaatimusten mukaiseksi. Nämä kannattaa vastuuttaa ja listata ylös. Toimenpiteiden priorisoinnissa kannattaa noudattaa riskiperusteista lähestymistapaa, jossa suojatoimet järjestetään rekisteröidylle aiheutuvaan riskiin. Myös asetus korostaa tätä, jotta matalariskisen toiminnan ylihuomiointia vältetään ja huomio kiinnitetään tärkeimpiin asioihin.

Tietosuojaasetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai tunnistamattomuuden kumoutumiseen. Riskit ovat suuremmat esimerkiksi käsiteltäessä suuria henkilömääriä, suuria tietomääriä tai erityisryhmien, kuten vaikkapa lasten, tietoja.

Esimerkiksi Data Impact Protection Assesment (DPIA) -mallilla voidaan arvioida, mikä on kriittisintä tietoa ja mihin siis keskittyä ensin.

Omien toimintatapojen dokumentointi vaatii aikaa ja vaivaa, mutta on siitä hyötyäkin (myös yritykselle). Nykyään yrityksen on pitänyt tehdä ilmoituksia kansallisille tietosuojaviranomaisille. Tätä voidaan jatkossa korvata pysyvällä dokumentoinnilla.

4 - Tarkista tietoturva

Tietosuoja-asetus edellyttää, että henkilörekisterit on suojattu kunnollisella tietoturvalla ja "modernien tietoturvaratkaisujen avulla". Tämä kohta ansaitsee erityistä huomiota, koska sen hoitaminen on  teknisesti vaativaa.

600 million records were leaked worldwide in 2015, according to public breach disdclosures.

- IBM

Asetus antaa siis tulkintaa jättävät, mutta tiukat ohjeet tietoturvan suhteen. Yrityksen tietohallinnoille napsahtaa tehtäväksi dokumentoida esimerkiksi tietosuojaan liittyvä käyttäjien hallinta, ohjelmallinen sekä automatisoitu tietoturva. Verkon tulee olla turvallinen, palomuurit kunnossa, pääsynhallinta kontrollissa, fyysisestä turvallisuudesta huolehdittu, prosessit kunnossa ja niin edelleen.

Aika näyttää, mikä on asianmukainen tietoturvataso, mutta jos tietoturvaan liittyvien järjestelmien päivitykset laahaavat perässä tai kriittisiin systeemeihin pääsee käsiksi yksinkertaisilla salasanoilla, ollaan varmasti heikoilla jäillä.

Ydinasia on, että tietosuoja ja tietoturva kulkevat tiukasti käsi kädessä. Tietosuojaa ei pystytä toteuttamaan ilman kunnollista tietoturvaa.

5 - Jakakaa vastuut ja varmistakaa ylläpito säännöllisin tarkistuksin

Tämä kohta on vähintään yhtä tärkeä, kuin kaikki edelliset. Asetuksen noudattaminen ei pääty siihen hetkeen, kun organisaatio toteaa, että se on nyt täyttänyt asetuksen vaatimukset ja luonut henkilödatalle pelisäännöt. Vuorossa on kysymys: Miten varmistamme, että pysymme jatkossa oikealla tietosuojatasolla ja noudatamme omia käytäntöjämme? Tietosuojasta huolehtiminen on siis rakennettava uskottavasti osaksi päivittäistä tekemistä.

Yrityksen tulee lisätä sisäistä valvontaa ja käyttöönottaa menettely, jossa yritys testaa, tutkii ja arvioi säännöllisesti omien teknisten ja organisatoristen toimenpiteiden tehokkuutta henkilötietojen käsittelyn turvallisuuden varmistamiseksi. Jatkuvan ylläpidon lisäksi on hyödyllistä tunnistaa riskialttiit tilanteet, joita voivat olla esimerkiksi uuden tietojärjestelmän tai vaikka mobiilisovelluksen käyttöönotto. Miten testataan, että nämä eivät aiheuta riskejä omalle tietosuojalle?

Loppujen lopuksi tietosuojassa, kuten muussakin toiminnassa, pääosassa ovat ihmiset. Tietosuoja on helppo mieltää kapeasti tietosuojatittelillä toimivan työntekijän tai lakiosaston asiaksi, mutta todellisuudessa monenlaisissa rooleissa olevat ihmiset käsittelevät henkilötietoja ja monet tietosuojaan liittyvät asiat myös putoavat luonnollisemmin jonkin muun avainhenkilön tontille. Tehkää selkeä vastuunjako ja myös suunnitelma siitä, miten henkilöstön ymmärrystä tietosuojasta kehitetään.

Jos asiakaspalvelija kertoo puhelimessa tietoja, joita ei saisi kertoa, hienosti suunniteltu ketju murtuu.

- Eija Warma, Castren & Snellman

Tietosuoja pitää nähdä kokonaisuutena, ja uudistettu asetus antaa tähän kannustusta. Koko yrityksen sekä jokaisen työntekijän tasolla pitää ymmärtää, mitä tietosuoja tarkoittaa näkökulmastani.

Tietotilinpäätös on yksi tapa toteuttaa säännöllinen tietosuojakartoitus, josta on hyötyä myös sidosryhmäviestintään. Tietotilinpäätöksen tekemiseen löytyy ohjeistusta tietosuojavaltuutetun verkkosivuilta (www.tietosuoja.fi) Tietotilinpäätös-oppaasta.

Yhteenveto

”Yksityisyys on yhä tärkeämpi teema asiakkaillemme ja kuluttajille."

- Patrick Nolan, Atos

EU:ssa toimiville yrityksille tietosuojan valvontaan tulee iso hyppäys uuden asetuksen myötä. Tietosuojasta huolehtiminen on kuitenkin liian kauan ollut asia, jonka suhteen toimintatavat ovat saaneet olla levällään yrityksen sisällä. Nyt yrityksiltä vaaditaan kokonaisvaltainen kuva esimerkiksi hallussaan olevasta tiedosta, jotta ne voivat suojata henkilötiedot ja pystyvät vakuuttamaan sidosryhmät tietojen luottamuksellisesta käsittelystä.

Älä jää odottelemaan työryhmien mietintöjä tai muita raportteja, jotka tulevat kertomaan suomalaisilla yrityksillä olevan vielä paljon tekemistä tietosuoja-asetukseen vastaamiseksi. Ota asia teillä hyvissä ajoin pöydälle, ja tee tietosuojan huomioimisesta yrityksenne vahvuus.

Sisältö

Jaa artikkeli