EU:n uusi tietosuoja-asetus tuo velvoitteita, vastuita ja rajoitteita

Net 2017,  14.3.2017

EU:n yleisen tietosuoja-asetuksen GDPR (General Data Protection Regulation) soveltaminen alkaa runsaan vuoden kuluttua 25.5.2018. Tämän jälkeen niin julkishallinnon kuin yksityisten yritystenkin keräämien henkilötietojen hallinta ja käsittely tiukentuvat merkittävästi. Asetuksen piirissä ovat esimerkiksi jäsen- ja asiakasrekisterit sekä sähköiset tilaajarekisterit. Asetus luo organisaatioille useita velvoitteita, vastuita ja rajoitteita, joihin valmistautuminen on syytä aloittaa välittömästi.

EU:n uusi tietosuoja-asetus tuo velvoitteita, vastuita ja rajoitteita

Nykyinen tietosuojaa koskeva lainsäädäntö on peräisin pääosin ajalta ennen internetiä.  GDPR-asetuksen myötä globaali markkinatalous siirtyy digiaikaan.

”Tähän asti tietosuojaan ei ole kiinnitetty riittävästi huomiota, vaikka lähes kaikki henkilötiedot, esimerkiksi potilastiedot ja kauppojen asiakastiedot, ovat nykyään digitaalisessa muodossa. Fujitsulle tietoturva on erittäin tärkeää ja uuden asetuksen myötä sen rooli korostuu entisestään. Tietosuojaan liittyvät vastuumme kasvavat sekä rekisterin pitäjänä että asiakkaiden datan käsittelijänä”, toteaa Fujitsu Finlandin toimitusjohtaja Simo Leisti.

Uusi tietosuoja-asetus vaatii Leistin mukaan hyvän näkyvyyden tietotekniseen infraan.  

”Teknologia on yksi apukeino, jolla tietosuoja-asetuksen vaatimuksiin vastataan. On luotava strategia, joilla haasteet selätetään. Asetusta pitää osata soveltaa oikein. Kun se tulee voimaan, ilmoitusvelvollisuuden aikaraja on hyvin tiukka. Jos yrityksessä tapahtuu jotain haavoittuvuuksiin tai tietovuotoihin liittyvää, siitä pitää tehdä ilmoitus asiakkaille ja viranomaisille 72 tunnin sisällä. Vielä toistaiseksi aikaa on päiviä tai jopa viikkoja. Tietotekniikka on olennaisen tärkeässä roolissa. Hyvä kumppani voi voi auttaa tunnistamaan tarpeet järjestelmissä, sopimuksissa ja prosesseissa, sekä tuottaa palveluja joilla velvoitteet hoituvat pelisääntöjen mukaan.”

Fujitsulla on it-palvelutoimittajana erittäin paljon asiakasyrityksiin ja -organisaatioihin liittyvää dataa. Fujitsun oma GDPR-projekti on käynnissä emeia-tasolla (Eurooppa, Lähi-itä, Intia ja Afrikka). Samalla selvitetään miten asetus vaikuttaa asiakkaiden toimitus-, palvelu- ja alihankintasopimuksiin sekä mitä vanhoja toimintoja, tapoja ja sopimuksia on asetuksen myötä uudistettava.

Tietosuoja kilpailutekijästä perusvaatimukseksi

Tietosuoja-asetuksen perimmäinen tavoite on suojata yksilöä ja hänen tietojaan.

”Digitaalisuuden myötä on herännyt uusi valistuneisuuden aalto. Ihmiset kyselevät aktiivisesti omien henkilötietojensa perään ja mediassa näkyy usein tietosuojaan liittyviä uutisia ja kyselyjä. Tietosuoja on tänä päivänä erittäin merkittävä asia jokaiselle organisaatiolle ja kaikille meille yksittäisille ihmisille”, kuvailee lakimies Kaisa Keski-Vähälä Fujitsusta.

Suomessa on jo totuttu henkilörekisteriselostevaatimukseen, sillä rekisteriselostevelvoite on ollut voimassa useiden vuosien ajan. Jatkossa vastuu ja tilintekovelvollisuus laajenevat, kun sekä tietojen käsittelijälle että rekisterinpitäjälle tulee uusia vastuualueita viranomaisten suuntaan. Tilintekovelvoitteesta tulee aktiivista. Asetus vaatii, että tiedon käsittelyprosessit kuvataan tarkasti ja tietojen koko elinkaari näkyy keräämisestä tuhoamiseen asti.

Asetus antaa kuitenkin Kaisa Keski-Vähälän mukaan harkintavaltaa ja hengitystilaa päättää itse, mikä on ”riittävä” tietoturva.

”Koska asetus koskee hyvin laajasti kaikkea henkilötietoa, siinä ei voi täydellisen yksityiskohtaisesti kuvata ihan kaikkea. Kunhan valittu tietosuojan taso on hyvin perusteltu ja se on käyty esimerkiksi asiakkaan kanssa läpi, ollaan jo hyvällä pohjalla. EU:sta tulee tulkinta-apua, mutta lähtökohtaisesti tulkitsemme itse ja sovellamme asetusta tapauskohtaisesti. Samalla oma harkintavaltamme lisääntyy.”

GDPR:n ensiaskeleista käyttöönottoon

Fujitsu tarjoaa asiakkailleen tien kokonaisvaltaiseen tietoturvaan.

”Runsaan vuoden kuluttua asioiden pitää olla kunnossa ja tietosuoja-asetuksen vaateisiin pitää pystyä vastaamaan. Sanktiot tiedetään, ja ne ovat kovat. Laiminlyönneistä voi joutua maksamaan neljä prosenttia yrityksen liikevaihdosta tai enintään 20 miljoonaa euroa”, painottaa ratkaisuarkkitehti Tomi Lavikainen Fujitsun Enterprise and Cyber Security -yksiköstä.

Lavikaisen mukaan merkittävin asia uudessa asetuksessa on reagointiajan lyheneminen kolmeen päivään. Lisäksi ihmisille tulee muun muassa oikeus ja hävittää omat tietonsa rekisteristä. Miten siis tarjotaan pääsy rekisteriin poistoa varten? Entä miten tiedot poistetaan myös varmuuskopioista?

”Silloin tarvitaan jo oikeasti hyvä näkyvyys siihen, mitä verkossa tapahtuu, mitä tehdään jos siellä tapahtuu poikkeavaa toimintaa ja miten se estetään. Esimerkiksi pilvipalvelujen tietoturvaohjeistukset kaipaavat monessa paikassa täsmennyksiä. O365-käyttäjät ovat saattaneet sortua tietojen kalastelijoiden ansoihin. Monia pieniä käytännön asioita ja puutteita tulee aina päivänvaloon.”

Fujitsun GDPR-projekti sisältää kolme vaihetta:

  1. Hanke lähtee liikkeelle keveästi, sillä alkuvaiheessa ei haluta haukata liian isoa palaa. Hankkeessa selvitetään, millä tasolla asiakas tuntee olevansa tietosuoja-asioissa ja mitä valmiuksia on jo olemassa. Samalla pyritään saamaan ymmärrys siitä, mitä dataa kerätään ja mihin sitä käytetään ja mitä uhkia siihen mahdollisesti kohdistuu.
  2. Seuraavaksi on edessä suuritöisin vaihe, kun projekti organisoituu, tehtävät määritellään ja tarvittava koulutus järjestetään. Kaikki kerättävä tieto analysoidaan, tehdään haastatteluja ja tutkitaan järjestelmäkohtaisesti täyttyvätkö asetuksen vaatimukset. Mukana ovat myös mahdolliset kolmannet osapuolet. Prosessit käydään läpi. Puutteet listataan ja selvitetään miten järjestelmät ja prosessit saadaan asetuksen vaatimaan kuntoon.
  3. Järjestelmät ja prosessit korjataan kuntoon. Jatkosta sovitaan myös, sillä projekti ei ole koskaan täysin valmis. Esimerkiksi koulutusta pitää todennäköisesti järjestää säännöllisesti. 

 OT

Lisätietoja
info@fi.fujitsu.com

Julkaistu Net-lehden numerossa 2017,  14.3.2017

Facebook  Twitter  Google  LinkedIn