Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Miten varmistaa GDPR:n mukainen tietosuoja?

26. toukokuuta 2017

European Union

 

Organisaatioiden keskuudessa käy kova kohkaus GDPR:stä (General Data Protection Regulation) ja sen mukanaan tuomista vaatimuksista ja isoista sanktioista. Suuret mittakaavat saanut EU:n uusi tietosuoja-asetus saattaa tuntua pelkältä pelottelulta ja hypetykseltä, mutta oikeasti se tietää lähes jokaiselle organisaatiolle töitä. On kuitenkin muistettava nähdä metsä puilta ja keskityttävä olennaiseen. Vaikka työtä riittääkin, hyvä perustaso on saavutettavissa kohtuullisella työllä. Pääasia on lähteä asiassa liikkeelle mahdollisimman pian.

 

Kaikki lähtee suunnittelusta

Jotta EU:n uuden tietosuoja-asetuksen merkitystä organisaatiolle voidaan arvioida, on ensin selvitettävä organisaation tietosuojan ja tietoturvan nykytilanne. Selvitystyötä tehdessä havaintoja on hyvä samalla peilata nykylainsäädäntöön ja tietosuoja-asetuksen vaatimuksiin.

Tietosuojan nykytilannetta arvioidessa tulee tunnistaa organisaation henkilörekisterit ja arvioida kunkin kohdalla mm. seuraavia asioita:   

  • Millä perusteella keräät ja käsittelet henkilötietoja?
  • Keräätkö mahdollisesti liikaa tietoa ns. ”varmuuden vuoksi”?
  • Käsitelläänkö sensitiivisiä henkilötietoja tai tehdäänkö tiedoista automaattisia analyysejä ja johtopäätöksiä?
  • Minne tiedot tallennetaan, mihin niitä siirretään/luovutetaan ja millä perusteella?
  • Kuka pääsee käsiksi tietoihin ja millä perusteella?
  • Mikä on hyvin perusteltu pisin mahdollinen tietojen säilytysaika?
  • Onko rekisteröidyn oikeudet toteutettu (esim. tietojen tarkistaminen, korjaaminen, poistaminen)?
  • Voisiko joitain rekistereitä yhdistää?

Tietoturvaa tietosuojan näkökulmasta kartoitettaessa on hyvä huomioida ainakin seuraavat kohdat:

  • Miten henkilörekisterit on suojattu (looginen + fyysinen suojaus)?
  • Ovatko riskianalyysin prosessit kunnossa?
  • Kuinka hyvin tietoturvatoiminnot ovat todennettavissa?

Jos tehtävä tuntuu liian haasteelliselta kokonaisuudelta tai kaipaat varmuutta asioihin, monet tahot tarjoavat organisaatioille tietosuojakartoituksia ja -arviointeja, joilla pääsee hyvin vauhtiin. Nykytilanteen arvioinnin lisäksi kartoitukset useimmiten sisältävät myös toimenpide-ehdotukset, joilla organisaatio saavuttaa tarvittavan tietosuojatason.Kun nykytilanne ja tarvittavat kehitystoimenpiteet ovat selvillä, on hyvä priorisoida toimenpiteet. Tämän perusteella voidaan laatia toimintasuunnitelma, jossa toimenpiteet on projektoitu ja vastuutettu.  

 

Yleisiä käytännön toimenpiteitä tietosuojan jalkauttamiseksi

Rekisterien karsiminen, riskianalysointi ja suojaus

Tietosuojan jalkautuksessa kannattaa lähteä liikkeelle prosesseista joiden avulla henkilötietoja kerätään. Kun tietojen keräämisen prosessit ja kanavat ovat tiedossa, kartoitetaan missä organisaatio henkilötietoja säilyttää ja käsittelee. Kartoituksessa tulisi tunnistaa myös ns. ”varjorekisterit” eli epävirallisesti ylläpidetyt excel-taulukot ja vastaavat, joita löytyy jokaisesta organisaatiosta. Digitaalisten rekisterien lisäksi tulee huomioida myös paperitallenteet ja niiden asiallinen käsittely.

Tämän jälkeen on hyvä arvioida voitaisiinko joitain rekistereitä yhdistää. Jokaiseen selkeästi määriteltyyn tarkoitukseen tulee olla oma rekisteri, mutta hyvällä suunnittelulla voidaan rekisterien määrä pitää kohtuullisena ja rekisterien hallintaa näin helpottaa. Kun tarvittavat rekisterit ovat tiedossa, laadi puuttuvat rekisteriselosteet ja aseta ne rekisteröityjen saataville jo ennen kuin tietoja aletaan kerätä. Rekisteriselosteissa tulee huomioida asetuksen asettamat vaatimukset riittävästä viestinnästä rekisteröidyille.  Viestintää voi toteuttaa myös muutoin kuin rekisteriselosteen avulla. Käytössä olevat tietosuojaperiaatteet voidaan esittää selkeäsanaisesti hyvin tiiviissä muodossa varsinaisen rekisteriselosteen lisäksi.

Tietosuoja-asetus on riskilähtöinen. Tämä tarkoittaa, että rekisterinpitäjä on velvollinen arvioimaan henkilötietojen käsittelyyn liittyviä riskejä ja turvaamaan tietosuojan arvioitujen riskitasojen mukaisesti. Tämän vuoksi seuraava tehtävä on teettää riskianalyysit rekistereille. Riskianalyysin perusteella rekisterit voidaan luokitella muutamaan luokkaan niiden kriittisyyden ja sensitiivisyyden perusteella ja näin kohdentaa suojaukset perustellusti.

Tietoturvan varmistaminen ja osoitusvelvollisuus

Osoitusvelvollisuus on yksi EU:n tietosuoja-asetuksen tuomista uusista asioista yleiseen tietosuojalakiin verrattuna. Kyseessä ei siis enää ole vain uskon asia, vaan tietosuojan toteutuminen riittävällä tasolla on pystyttävä todentamaan. Keskeisten tietoturvaprosessien dokumentoinnit onkin hyvä tarkistaa ja varmistaa, että näiden prosessien toteutuksesta jää jälki.

Tietoturvaloukkaukset tulee asetuksen mukaan myös pystyä havaitsemaan ja niistä tulee ilmoittaa. Varmista siis, että organisaatiollanne on riittävä näkyvyys IT-ympäristöön ja sen tapahtumiin. Jos näkyvyyttä ei ole, laadi suunnitelma sen parantamiseksi. Määrittele ja dokumentoi myös prosessi tietoturvaloukkausten ilmoittamiseksi.

Rekisteröidyn oikeudet, ulkopuoliset toimijat ja henkilöstön ohjeistus

Rekisteröidyille on myös asetuksessa määritelty erilaisia oikeuksia, kuten oikeus tarkastaa ja korjata tiedot. Nämä oikeudet toteuttavat prosessit tulee määritellä ja dokumentoida sekä jälleen varmistaa, että prosessien noudattamisesta jää jälki. Vaikka henkilötietojen käsittely olisi ulkoistettu, on tietosuojan toteutumisen vastuu rekisterinpitäjällä. Tämän vuoksi on hyvä tunnistaa kaikki henkilötiedon ulkopuoliset käsittelijät sekä vastaanottajat ja varmistaa riittävät ohjeistukset sekä päivittää tarvittaessa sopimukset. Koko organisaation valmisteleminen tulevaan muutoksen on myös tärkeää. Huolehdi, että prosessit ovat selviä kaikille ja ohjeista sekä kouluta henkilöstöä.

 

Tietosuojan ylläpito ja kehitys

Kun organisaation tietosuojan tila on saatettu hyvälle tasolle, voi jo hieman huokaista helpotuksesta, mutta tietosuojaa ja sen kehittämistä ei tule kuitenkaan kokonaan lykätä taakseen. Tietosuojan prosesseja, politiikoita ja käytänteitä on hyvä seurata ja auditoida säännöllisesti, jotta voidaan varmistaa niiden toimivuus. Johdolle tulee myös säännöllisesti raportoida tietosuojan tilasta. Asetus kannattaa myös huomioida meneillään olevissa järjestelmähankkeissa sekä sovelluskehityksessä eritoten tietoturvallisuuden näkökulmasta. Uusien järjestelmähankintojen vaatimusmäärittelyissä on myös hyvä huomioida tietosuoja. Näin organisaatio pystyy varmistamaan tietosuojan toteutumisen ja turvaamaan toiminnan jatkuvuuden.