EU:n yleinen tietosuoja-asetus tuli voimaan 25.5.2018. Uudella lainsäädännöllä on haluttu ohjata yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon jo toimintansa suunnittelussa. Asia koskee kaikkia yrityksiä ja tietoturva on oleellinen osa tietosuojaa. Sen vuoksi järjestimme syksyn ja kevään aikana useita tilaisuuksissa, joissa yhteistyökumppanimme asiantuntijat Ahertava Oy:stä kertoivat käytännönläheisesti GDPR:n uusista vaatimuksista rekisterinpitäjille. Printcomin omat asiantuntijat kertoivat palveluista, joilla tiedonkäsittely ja -hallinta saadaan turvattua.
Rekisterinpitäjän velvollisuudet lisääntyivät samalla kun rekisteröityjen oikeudet paranivat
Jo ennen GDPR:n voimaantuloa jokaisen yrityksen verkkosivuilta olisi pitänyt löytyä rekisteriseloste. Nyt puhutaan tietosuojaselosteesta, joka on kattavampi kuin rekisteriseloste. GDPR tietosuoja-asetus pitää sisällään paljon muutakin kuin pelkän tietosuojaselosteen. Sen myötä rekisterinpitäjälle tuli tietosuojan osalta uusia velvollisuuksia, jotka vaikuttavat myös yrityksen tietoturvaan.
- Enää ei enää riitä, että rekisterinpitäjä kertoo noudattavansa lakeja. Olennaista on, että rekisterinpitäjä pystyy osoittamaan toteen noudattavansa tietosuojalainsäädäntöä, kertoo toimitusjohtaja Mika Ilkka Ahertava Oy:stä (kuva yllä).
Ilmoitusvelvollisuus on yksi uusista velvollisuuksista, joita asetus toi tullessaan. Tämä tarkoittaa sitä, että henkilötietojen tietoturvaloukkauksesta pitää ilmoittaa 72 tunnin kuluessa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Näitä loukkauksia voivat olla esimerkiksi kadonnut USB-tikku, varastettu tietokone, hakkerointi, haittaohjelmatartunta, kyberhyökkäys, tulipalo datakeskuksessa tai tiliotteen postitus väärälle henkilölle. Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.
Mikä muodostaa henkilörekisterin?
Henkilörekisterin muodostaa kaikki asiakkaalta tai netistä kerätty ja tallennettu tieto, joka voidaan kohdentaa aitoon henkilöön. Tärkeää on tunnistaa kaikki yrityksen ylläpitämät henkilörekisterit ja onko kaikki niihin kerättävä tieto oleellista. Henkilöillä on oikeus omien tietojen tarkastamisen lisäksi pyytää rekisterinpitäjää poistamaan tiedot ja oikeus tulla unohdetuksi. Henkilötietojen käsittelyperuste pitää olla selkeä ja dokumentoituna, kuka pääsee henkilötietoihin käsiksi ja missä roolissa.
- Huvin vuoksi ei tietoja pidä kenestäkään kerätä, muistuttaa Ilkka.
Kannattaa määritellä selkeästi koko prosessi eli kuinka asiaa hoidetaan, ja dokumentoida tietosuojatoimet. Riskit on syytä kartoittaa, esimerkiksi millaisia vaikutuksia riskeillä on liiketoimintaan, jos rekisteri pääsee jostain syystä vuotamaan yrityksen ulkopuolelle. Rekisteri tulee olla suojattu riittävästi ja henkilökunnan on tiedettävä kuinka toimia, joten henkilöstön koulutusta ei pidä laiminlyödä.
Mitä dokumentteja ainakin yrityksestä pitäisi löytyä GDPR:n myötä?
Tietosuoja-asetuksen voimaan tulon jälkeen verkkosivuilta tulee löytyä yrityksen tietosuojaseloste. Sen lisäksi tarvitaan henkilötietojen käsittelyohje, joka on yrityksen sisäinen ohjeistus. Muista myös kumppanisi. Kumppanisopimukset kannattaa laittaa kuntoon ja sopia asiat kirjallisesti, eli selkeät prosessit ja toimintaohjeet. Roolit ja vastuut tulee olla määriteltynä ja kirjattuna ylös. Valmis ilmoituspohja, jolla voidaan tehdä viranomaisille ilmoitus nopeasti, jos tapahtuu tietoturvaloukkaus.
Tietosuoja kuntoon myös tietoturvan näkökulmasta
EU:n tietosuoja-asetus liittyy arkaluonteisen tiedon hallintaan. Tietosuoja-asetusta kannattaa siksi ajatella myös tiedonhallinnan ja tietoturvan kautta.
Tiedon hallittuun käsittelyyn soveltuva Microsoft Office 365 on suunniteltu GDPR-näkökulmasta, ja on tällä hetkellä ainoita EU-tietoturva auditoituja ympäristöjä. Palvelukokonaisuus pitää sisällään ratkaisuja tiedonhallintaan, jotka helpottavat yhteisten dokumenttien käsittelyä, luokittelua, löytämistä ja jakamista, jolloin tiedostoja ei tarvitse liikutella sähköpostin välityksellä.
Modernit palomuurit, kuten WatchGuard, tuovat lisäturvaa. Palomuurin avulla voidaan analysoida, minkälaista tietoa yrityksen sisäverkon ja julkisen verkon välillä liikkuu, ja siten estää tiedon menettäminen sekä pysäyttää, havainnoida ja reagoida asiaan kuulumattomaan tietoliikenteeseen. Turvallisuutta voidaan parantaa myös salatulla sähköpostilla. Sähköpostiin voidaan määrittää arkaluontoisen tiedon esto, jolloin arkaluontoiseksi tiedoksi määriteltyjä asioita ei voida lähettää sähköpostissa eikä liitteenä. Tiedostojen voimassaoloaika voidaan määrittää, jolloin tiedosto tuhoutuu määritellyn ajan kuluttua tai voidaan määrittää, että tiedostoa ei voida lähettää eteenpäin asiaankuulumattomille tahoille.
- Turvallisuutta lisää monivaiheinen tunnistautuminen, joka kannattaa ottaa käyttöön, suosittelee tiedonhallinnan palvelupäällikkö Joonas Vaara Printcomilta.
Keskitetty tiedonhallinta auttaa pitämään huolta, että kaikki on kunnossa
Edellä mainitut esimerkit ovat vain osa siitä, miten tietoturvaa voidaan yrityksessä parantaa. Liiketoiminnan tarpeet määrittelevät sen, millainen palvelukokonaisuus kulloinkin valitaan. Samalla selvitetään, onko yrityksessä prosesseja, joita voidaan digitalisoida. Toimintojen digitalisointi vähentää manuaalisia vaiheita, tehostaa yrityksen toimintaa ja parantaa tietoturvaa.
Me autamme mielellämme
Kun haluat varmistaa yrityksesi tietosuojan asiantuntijoiden kanssa, ota yhteyttä Ahertavaan. Heiltä löytyy osaaminen ja oikeat työkalut prosessin ammattimaiseen läpivientiin.
Kun sinua kiinnostaa hallittu tietojen käsittely ja yrityksesi tietoturvan parantaminen, ota yhteyttä myyntiimme.