Avainsana-arkisto: tietoturvallisuus

post

GDPR – EU:n uusi tietosuoja-asetus

Lähetetty by

EU:n uusi tietosuoja-asetus (GDPR, General Data Protection Regulation) tulee sovellettavaksi 25.5. 2018 alkaen. Tietosuoja-asetuksen tavoitteena on lisätä ihmisten luottamusta ja antaa rekisteröidyille kontrolli itseään koskeviin tietoihin. Ihmisillä on oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä, päästä itseään koskeviin tietoihin, siirtää ne järjestelmästä toiseen, pyytää niiden poistamista sekä rajoittaa niiden käsittelyä. Suuret yritykset ovat jo pitkällä sen vaatimusten toteuttamisessa, mutta pienissä yrityksissä ei välttämättä olla yhtä pitkällä. Onko siis olla huolissaan?

Kyllä ja ei. Yhtäältä monet tietosuoja-asetuksen vaatimukset ovat sisältyneet jo voimassa olevaan tietosuojalainsäädäntöön, mutta tietosuoja-asetus tuo myös uusia vaatimuksia.

Mitä pitäisi tehdä, jotta olisi valmiina tietosuoja-asetuksen tullessa voimaan?

Yritysten tulisi viimeistään nyt tunnistaa, mitä henkilötietoja yrityksessä käsitellään. Näitä ovat sellaiset tiedot, joista yksittäinen henkilö on tunnistettavissa, myös epäsuorasti. Myös yrityksen tietoihin sisältyvät henkilötiedot, esim. yhteyshenkilöt, ovat tietosuojan piirissä.

Jo nykyisen lain puitteissa ei henkilötietoja pitäisi kerätä, käsitellä tai säilytetä enempää, kuin niiden tarkoituksen kannalta on tarpeellista. Henkilötietojen käsittelylle tulee aina olla hyväksyttävä peruste, esimerkiksi sopimuksen täytäntöön paneminen tai lakisääteisen velvoitteen noudattaminen. Tietojen käsittely voi perustua myös henkilön suostumukseen, mutta suostumus on saatava suostumuksen ilmaisevalla toimella. Suostumuksen voi myös aina peruuttaa. Yrityksen tulee myös miettiä valmiiksi menettelytavat, joilla henkilötiedot, joiden säilyttämiseen ei ole enää perustetta, voidaan poistaa.

Rekisteröidyllä on myös oikeus mm. saada nähtäväksi itseään koskevat tiedot, vaatia niihin oikaisua ja rajoittaa niiden käyttöä. Yrityksen on siis varauduttava edeltä käsin ja laadittava menettelytavat, joilla nämä oikeudet voidaan toteuttaa.

Oletusarvoinen turvallisuus henkilötietojen käsittelyssä

Henkilötietojen käsittelyssä tulee huolehtia riittävän tietoturvallisuuden ylläpitämisestä. Tämä edellyttää riskiperusteista lähestymistä, eli turvatoimenpiteiden tulee olla suhteessa tietoihin kohdistuviin riskeihin ja uhkiin.
Yrityksen on myös pystyttä osoittamaan, että se on huolehtinut henkilötietojen käsittelyn turvallisuudesta. Tämä tarkoittaa, että henkilötietojen käsittelytavat ja turvaamistoimenpiteet pitää dokumentoida. Minimissään tulisi laatia henkilörekistereistä tietosuojaselosteet Tietosuojavaltuutetun ohjeet selosteen laatimiseksi löytyvät täältä. Tieosuojaselosteiden tulee myös olla kaikkien saatavilla.

Jos tietojen käsittelyyn liittyviä tehtäviä on annettu ulkoisen toimittajan, esimerkiksi IT-palveluntarjoajan, tehtäväksi, tämän kanssa on tehtävä kirjallinen sopimus tehtävistä ja vastuista. Tieosuoja-asetus sisältää lukuisia vaatimuksia sopimuksen sisällöstä, kuten henkilötietojen käsittely ainoastaan rekisterinpitäjän ohjeiden mukaan.

Käyttäjät mukaan tietoturvan ylläpitoon

Lähetetty by

Chester Wisniewskin esityksessä Kyberturvallisuusmessuilla nousi esiin muutamia ajatuksia, jotka jatkavat aiemman juttuni teemaa. Jos käyttäjiä syyllistetään siitä, että he menettelevät vahingossa tai tietämättä tietoturvan kannalta väärin, se johtaa vain tietoturvan kannalta huonoon lopputulokseen. Ihmiset kokevat tietoturvan pelottavana eivätkä uskalla kertoa, jos epäilevät vaikkapa saamaansa sähköpostia.

Käyttäjät ovat ihmisiä, jotka yrittävät tehdä työtään parhaalla mahdollisella tavalla. Hakkerit ymmärtävät tämän ja pyrkivät hyödyntämään sitä. Jos joku lähettää haittaohjelman sähköpostilla, jonka otsikko tuntuu viittaavan heidän työhönsä, on todennäköistä, että avataan. Hakkerit tietävät, että jos ihminen saa laskun, hän kokee sen tärkeäksi ja todennäköisesti avaa sen. Siitä ei pitäisi ihmisiä rangaista, vaan pyrkiä auttamaan heitä tunnistamaan, milloin on todennäköisesti kyseessä huijausviesti.

Wisniewskin viesti oli, että tietoturvan tulisi ennemmin pyytää käyttäjiä auttamaan. Mitä enemmän käyttäjät kertovat epäilyttävistä sähköposteista ja muista mahdollisista tietoturvaloukkauksista, sitä parempi. Olen tästä aivan samaa mieltä. Kokemukseni mukaan ihmisten huolet ovat yleensä aivan aiheellisia. Käyttäjiltä tai asiakkailta saatu viesti on toisinaan ollut ensimmäinen havainto tietoturvaloukkauksesta. Lisäksi ne käyttäjät, jotka ovat kiinnostuneita tietoturvallisuudesta ovat suurena tukena muille, ja auttavat levittämään tietoturvatietoisuutta.

Loppujen lopuksi tietoturvallisuus ei ole itsetarkoitus, vaan tietoturvaa tehdään, jotta organisaatio voisi toteuttaa omaa tarkoitustaan. Käyttäjien ja asiakkaiden tavoitteiden turvaamisen tulisi olla tietoturvan tavoite, joten siihen kannattaa pyrkiä yhdessä.