Etsi
  • TietosuojaGuru_ryhmä

Äläpä leiju Pilivessä!

”Asiakas- ja henkilöstörekisteri? No tietysti löytyy! Jaa niin missäkö? No jossaki pilivessä tietenki!”


Kuulostaako tutulta? No, et ole ainoa. Kannattaakohan ottaa pieni tovi ja tuumailla, missä ne tiedot oikeasti ovatkaan. Miksi? Jotta pystyt pitämään kesälomat jatkossakin.


Nykypäivänä tietosuoja ja tietosuojan merkitys ovat nostaneet korostetusti päätään. Tavalliselle kansalaiselle se näkyy parhaiten erilaisia suostumuksia kysyvinä valintoina, pankkitunnuksilla kirjautumisen yleistymisenä sekä sinä pienenä pränttinä, mitä Google kertoo henkilöitä etsiessä:





” Osa tuloksista on ehkä poistettu eurooppalaisen tietosuojalain nojalla.”





Teknologia rullaa eteenpäin ja yksinkertainen tiedonsiirto paikasta toiseen maailmanlaajuisesti on helppoa. Mahdollisuuksien meri on valtava, ja ilmaispalvelut, notkeat tietojenkeruumenetelmät, edulliset tietokoneet, kännykät ja pilvipalvelut niittävät mainetta. Siinä rinnalla kulkee samanaikaisesti joukko heitä, jotka edelleen luottavat perinteiseen mapitukseen. Tietoja jemmataan pölyttymässä arkiston nurkissa vuosikausia ja säilytyspaikkana toimii avokonttorin kaappi tai epämääräinen kasa työpöydän nurkalla. Ei kovin salatun kuuloista, vai mitä? Tietomurtojen kohtuullisen näkyvä uutisointi onkin muuttunut päivän polttavaksi aiheeksi ja lisännyt huolta henkilökohtaisten tietojen leviämisen mahdollisuudesta.

Kansalaisten henkilötietoja on turvattu jo aiemminkin. Vielä nyt voimassa oleva henkilötietodirektiivi on vuodelta 1995, mutta on huomattu, ettei se ole riittävällä tasolla. Asioiden tola on vähän turhankin rennoissa kantimissa. Korjausliikkeenä tähän EU julkaisi ehdotuksen tietosuojan lainsäädäntöuudistuksesta vuonna 2012. Muutaman vuoden kädenväännön jälkeen säädökset julkaistiin toukokuussa 2016. Tämän myötä yrityksistä varsinkin suuremmat toimijat havahtuivat tilanteeseen ja omien toimien tarkistukseen. Tilanne konkretisoituu lopuillekin viimeistään 25.5.2018, kun EU:n yleinen tietosuoja-asetuksen uudistus astuu voimaan.


Mitä, missä, milloin?

Vuonna 2016 hyväksytty tietosuoja-asetus tarkoittaa käytännössä sitä, että kahden vuoden siirtymäajan päätyttyä jokaisen yrityksen tulee tietää, minkälaisia henkilötietoja ne käsittelevät, missä tiedot käsitellään ja miten. Kaikki tämä on dokumentoitava ja tarvittaessa pystyttävä todentamaan. On myös muistettava, että ihan jokaisella on oikeus nähdä, millä tavalla hänen henkilötietonsa on säilytetty, mitä siellä lukee ja ennen kaikkea, miksi niitä on kerätty. Tarvittaessa tietoja täytyy päästä myös oikaisemaan.

Tässä vaiheessa yleensä tulee se ensimmäinen käden heilautus ja naurahdus: ”Joojoo…”. Mutta entäs sitten, kun oven takana kolkuttaakin tarkastaja, joka vaatii nähdä, missä tietueita säilytetään, miten niitä käsitellään, ovatko ne ajan tasalla, ja mihin ne nettisivulla olevan planketin tiedot menevät. Siinä vaiheessa ei enää aikomuksen taso riitä. Se on se helppo osio. Entäs sitten kun se pitäisi todentaakin.

Monen yrityksen puhelin on jo pirissyt valveutuneiden kansalaisten ottaessa yhteyttä ja kysyessä, mikä tilanne on. Odotettavissa on, että ensi keväänä uudistuksen myötä – ja ensimmäisen kohuotsikoinnin jälkeen – tämä skenaario kasvaa räjähdysmäisesti. Eniten kysymyksiä on herättänyt oikeus tulla unohdetuksi. Niin mikä?


Kun henkilö ei enää halua, että hänen tietojaan käsitellään, kaikki tiedot tulee poistaa, paitsi jos on olemassa laillinen peruste säilyttää ne.


Viimeistään nyt onkin syytä kaivaa ne arkiston perukat ja katsoa, kuinka epäoleellista informaatiota siellä oikein on.

Syy tiukkaan linjaan on käytäntöjen kirjavuus: yksi maa soveltaa yhtä, toinen toista, kolmas on välimallissa. Jotta pelisäännöt olisivat kaikille yhtäläiset, käytäntöjä täytyi ravistaa. Rekisteriselosteet ovat huonolla tolalla, joten EU:ssa haluttiin laittaa tilanne kuntoon ja saattaa se mahdollisimman läpinäkyväksi. Pelikortit ovat nyt kaikille samat ja kysymys kuuluukin, kuka siihen suhtautuu asian vaatimalla vakavuudella. Prosessi ei välttämättä ole mikään yksinkertainen jumppa, varsinkaan jos ollaan edelleen siinä vaiheessa, että trikoot pötköttävät kaupan hyllyllä. Virheisiin ei taida juuri kukaan haluta tässä tapauksessa sortua: sanktio kun voi olla 2-4% edellisen tilikauden vuotuisesta kokonaisliikevaihdosta. Rupesiko kiinnostamaan?

Lähtökohtaisesti monella yrityksellä tekninen ympäristö on kunnossa. Tuunattuna on viimeisen päälle varusteet ja niihin virusturvista lähtien kaikki mahdolliset hyökkäysvallit. Lähtökohtaisesti. Toki poikkeukset tässäkin vahvistavat säännön. Ongelmaksi muodostuukin toimimaton hallinnon puoli. Tämän faktan tarkistus on helppoa, täytyy vain esittää itselleen muutama kysymys:


Miten toimitilat on turvattu? Kuka tiloihin pääsee? Pääseekö joku sellainen käsiksi tietoihin ja järjestelmiin, kenen ei tarvitse päästä? Jos kaikki on kunnossa, mistä tämä on helposti todennettavissa?


Asetuksen myötä vaaditaan faktaa siitä, miten tietoturva-asiat on hoidettu. Samoin vaatimuslistalla on tietosuojaseloste ja -selvitys sekä riskien kartoitus. Miten tiedot on kerätty, kuinka kauan näitä säilytetään, miten pidetään salassa. Ja, ennen kaikkea, miten prosessi jalkautetaan henkilökunnalle.


Paljon monimutkaisia sanoja. Mutta mieti, oletko joskus puntaroinut omia elämänvalintoja? Listannut plussia ja miinuksia ja miettinyt, miten mikäkin asia kannattaisi tehdä? Onnittelut, olet jo siis tavallaan suorittanut yksinkertaistettua riskikartoitusta! Kyseessä ei siis ole mikään uusi kenttä, tällä kertaa kohteena vaan on tietoturva.


”No mutta minähän olen tallentanut ne tuonne, ei hätää!” Oletko varma? Entäpäs sitten, kun tietueita käsitteleekin jokin ulkopuolinen taho? Onko niin, että se on kaikkinensa ihan ok, vastuu on heillä ja mahdollisen virheen sattuessa, syyttävä sormi osoittaa naapuriin? Ei ole. Ulkopuolisten palveluiden ja alihankinnan kohdalla vastuu on aina tilaajalla. Käännäpä tilanne niin päin, että sinä myyt palveluitasi taholle, joka kilpailuttaa tarjoukset. Arkipäivää on, että tässä tapauksessa pyydetään selvitys, miten tietoturva ja tietosuoja-asetukset on hoidettu. Huomattavaa on siis, että vastaat myös alihankkijan toimesta. Tuliko mieleen missään vaiheessa, että vaikka se pilvi, portaali tai sähköposti puhuu suomea, mihin päin maailmaa tiedot oikeastaan tallentuvat?


Jos pahin sitten tapahtuu, ja tiedot leviävät vääriin käsiin, uutta on myös ilmoitusvelvollisuus. Käytännössä 72h kuluessa saatuasi tiedon tietojen mahdollisesta päätymisestä ulkopuolisiin käsiin on viranomaisille tehtävä tästä ilmoitus. Mitä on tapahtunut, mikä on riski, mihin toimenpiteisiin on ryhdytty / ryhdytään. Tietyissä tapauksissa informaatio tästä on mentävä myös sille henkilölle, jonka tiedot ovat joutuneet vääriin käsiin. Mikäli tätä prosessia ei tässä vaiheessa ole jo mietitty kuntoon yrityksen sisällä, on syytäkin menettää yöunensa.

Tietosuojavastaava, kuka se sitten on ja milloin häntä tarvitaan?


Käytännössä tietosuojavastaavaa vaaditaan aina, kun rekisteripitäjän henkilötietojen käsittelijän ydintoiminnot sisältävät laajamittaista rekisteröityjen tietojen säännöllistä seuraamista. Varsinkin, jos kyseessä on korkean riskin tietoa. Tämä on myös oikeusturvakäsite, vahva osoitus siitä, kuka on vastuussa mistäkin.

Tässä vaiheessa viimeistään olet toivottavasti herännyt kunnolla. Ehkä jopa hieman säikähtänytkin. Tämä kun ei todellakaan ole mikään naurun asia. Aivan varmasti on odotettavissa, että täsmäiskuja yrityksiin tulee myös viranomaistaholta. Sakkoja tarvittaessa pelätä langettaa, kun tästä on nyt pari vuotta varoiteltu.


Mutta entäpä kun se osaaminen puuttuu? Vaadittavat dokumentit menevät yli hilseen ja olo on lähinnä epätoivoinen. Asiakkaan kysellessä, miten teillä on hoidettu tietoturva-asiat, et oikein osaa sanoa yhtään mitään. Hätä ei ole tämän näköinen, vaan on oikeasti olemassa se hiuksia säästävämpikin ratkaisu.

Ensinnäkin, huomaa, että vielä ehdit. Todennäköisesti asiaan harjaantuneet henkilöt ovat tulevana keväänä vähintäänkin ylityöllistettyjä, mutta IT-alan rush-hour asian tiimoilta ei ole vielä täällä. Toiseksi, hengitä. Tämä ei ole pakkopullaa eikä lakisääteistä jargonia vaan luonnollinen osa nykypäivän riskienhallintaa ja tietosuojakäytäntöjä. Mietihän omalle kohdalle, missä kaikkialla tietosi ovat ja haluatko, että ne ovat varmasti turvassa?

”Henkilötietosuoja koskettaa käytännössä aivan kaikkia, jotka käsittelevät esimerkiksi sähköpostia. Väistämättä siellä liikkuu tietoutta, joka voi jopa kohtuullisen herkästi levitä ulkopuolisille. Ei se vaadi kuin napin painalluksen väärässä paikassa väärään aikaan”, toteaa Ari Kurvinen inData Housesta.


Miten IT-alan ammattilainen asian sitten ratkaisisi?

”Toimenpiteet tarkistetaan tietysti aina tapauskohtaisesti ja tarvittava apu räätälöidään sopivaksi. Suurempien kokonaisuuksien kohdalla voidaan puhua kehittämisprojektista, jossa haluttu lopputulos saavutetaan yhteistyössä yrityksen kanssa. Mukaan pääsee kivuttomasti eikä omaa osaamistaustaa tarvitse häpeillä. Palvelukokonaisuuksia on olemassa ihan kaiken kokoisille organisaatioille, ja ne on suunniteltu auttamaan siinä, missä se oma osaaminen ehkä loppuu. Tavoite nimenomaan on, että oman osaamisen ja energian voi uudistuksen jälkeen jatkossakin keskittää siihen ydinliiketoimintaan.”


Maallikon korviin kuulostaa hienolta tuotepropagandalta, mutta mitä se käytännössä tarkoittaa?

” Hieman organisaatiosta riippuen, mutta lähtökohtaisesti pelin avaa nykytilan auditointi. Eli missä mennään ja kuinka iso jumppa vaaditaan. Nykytilan hahmotus ja tarvittavat toimenpiteet kulkevat käsi kädessä. Yhdessä käydään läpi, mitkä tietosuojavaatimukset oikeastaan ovatkaan kulloisenkin yrityksen kohdalla, mitä vaatimuksia se asettaa, ja miten järjestelmissä henkilötietojen käsittelyn todentaminen hoidetaan. Katsotaan myös, miten riskit kartoitetaan ja mahdollisten tietosuojahäiriöiden raportointi hoidetaan.”


Ei vara venettä kaada. Jos mielen päällä kaihertaa yhtään epäilystä siitä, onko kaikki kunnossa, varmistu siitä. Vielä ei ole liian myöhäistä. Ammattilaisen avun jälkeen sakkorahat voi huoletta satsata vaikkapa omaan saareen siellä kesälomaparatiisissa.


57 katselukertaa
LINKIT