EU:n uusi tietosuoja-asetus (GDPR) on loppusuoralla ja tulee voimaan 25.5.2018. Tämä on herättänyt kasvavaa huomiota ja jopa huolta henkilötietoja käsittelevissä organisaatioissa. Ja mikä organisaatio ei käsittelisi henkilötietoja digitalisoituneessa maailmassa?

Sääntöjen noudattamatta jättämisen maksimirangaistukset ovat tasolla, jota yksikään organisaatio ei voi jättää huomiotta. Mutta tässä vaiheessa herää kysymyksiä: Mitä todella vaaditaan ja keneltä? Ja mitkä määritellään henkilötiedoiksi? Näihin kysymyksiin vastaa Jarmo Harno, Ficolon Senior Business Process Developer, joka liittyi joukkoihimme vuosi sitten.

Asetuksessa erotellaan rekisterinpitäjän ja henkilötietojen käsittelijän vastuualueet. Rekisterinpitäjä on yksikkö, joka määrittelee henkilötietojen käsittelyn tarkoitukset, ehdot ja keinot, kun taas henkilötietojen käsittelijä on henkilö tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun joko manuaalisesti tai automatisoidusti.

Henkilötietoa on kaikki luonnolliseen henkilöön liittyvät tiedot, joita voidaan käyttää suorasti tai epäsuorasti henkilön tunnistamiseen. Se voi olla mitä tahansa nimestä, valokuvasta, sähköpostiosoitteesta, sijaintitiedosta, pankkitiedoista, somepostauksista lääketieteellisiin tietoihin tai tietokoneen IP-osoitteeseen.

Täten useimmat organisaatiot tallentavat joitain henkilötietoja. Asetuksen edellyttämät toimenpiteet riippuvat kuitenkin tietojen laajuudesta sekä arkaluontoisuudesta. Rekisterinpitäjän tulisi suorittaa ennakolta tietosuojan vaikutustenarviointi niiden käsittelytoimien osalta, jotka todennäköisesti aiheuttavat suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille luonteensa, laajuutensa, asiayhteytensä tai tarkoituksensa vuoksi.

Asetuksen tarkoituksena on, että tietoturva sisällytetään henkilötietojen käsittelyn toteutukseen riskien vähentämiseksi koko henkilötietojen elinkaaren aikana. Rekisterinpitäjän ja tietojenkäsittelijän on kyettävä osoittamaan, että olennaiset ja riittävät toimenpiteet toteutetaan tämän varmistamiseksi. Olennaista on kuitenkin jatkuva seuranta ja kehittäminen, sillä tietoturva ei koskaan voi olla täydellistä.

Kuvio 1: Tehostettu turvallisuus, yhtenäisyys ja saatavuus Ficolon avulla

 

Henkilötietojen käsittelyssä on useita tasoja ja on tärkeää, ettei heikkoja lenkkejä ole. Ajatellessamme tietosuojaa keskitymme helposti tietojenkäsittelyjärjestelmiin, mutta turvallisuus alkaa fyysisestä tasosta ja tiloista, joissa kyseiset järjestelmät ja tiedot sijaitsevat ja joissa erilaisissa toimissa liikkuvilla henkilöillä on niihin pääsy. Ficolon toimitilat ja niiden turvajärjestelyt on auditoitu ISAE 3000 –standardin mukaisesti, varmistaen että vain oikeilla henkilöillä on pääsy järjestelmiin.

Kaikki tasot fyysisestä järjestelmiin ja verkkoihin ja aina sovelluksiin ja inhimilliseen vuorovaikutukseen asti tulisi huomioida ammattimaisesti (kuvio 1).

Suuret panostukset omiin resursseihin tai osaamiseen sellaisilla tasoilla, jotka eivät ole organisaation ydinliiketoimintaa, ei ole välttämättä järkevää. Uuden asetuksen vaatimukset katetaan mahdollisesti paremmin siten, että nämä tasot hankitaan alihankiijoilta, joiden ydinosaaminen on näillä alueilla.

Pilvipalvelun tuottajana Ficolo tarjoaa ammattimaisia palveluita ja ratkaisuja usealla tasolla. Fyysisellä tasolla tarjoamme tilat ja infrastruktuurin, joilla varmistetaan huippuluokan turvallisuus ja saatavuus. Verkostotasolla tarjoamme luotettavat, varmistetut ja toisistaan eristetyt yhteydet sekä kattavan joukon optionaalisilla tietoturvan lisäpalveluita asiakastarpeen mukaan. HW- ja SW-alustojen tasolla tarjoamme 24/7 valvonnan ja ylläpidon sekä mm. tietoturvalokien ja haavoittuvuuksien hallintaa.

Yhdessä johtavien IT-palveluntarjoajien kanssa pilvipalvelumme tuovat ratkaisun kaikkiin uusiin henkilötietojen käsittely- ja prosessointivaatimuksiin, jotka GDPR asettaa.

Siirryttäessä Ficolon Cloud Delivery –ratkaisuun, rekisterinpitäjällä tai tietojenkäsittelijällä on laaja valikoima Cloud Assurance & Security palveluita valittavanaan. Niiden avulla saavutetaan tietoturvan taso, joka vastaa vaikutustenarvioinnin mukaista yksityisyyden suojaa myös korkean riskitason tapauksissa.

Esimerkiksi tunkeutumisen havaitseminen, uhka-analyysi ja tapahtumalokien analyysi voidaan yhdistää turvatietojen ja tapahtumien hallintapalveluun (SIEM). Ficolon SIEM-palvelun avulla on mahdollista luoda kokonaisvaltainen näkemys, ja ryhtyä asianmukaisiin toimiin, uhkia, haitallista toimintaa ja tietoturvahyökkäyksiä vastaan liiketoiminnan jatkuvuuden turvaamiseksi. Monissa tapauksissa näitä hyökkäyksiä ei voida välttää ja jopa tunkeutuminen voi tapahtua, mutta juuri haitallisen toiminnan viivästynyt havainnoiminen voi olla kohtalokasta.

GDPR:ää ei pitäisi nähdä raskaiden seuraamusten uhkana, vaan katalysaattorina tarjottavien palveluiden turvallisuuden, yhtenäisyyden ja saatavuuden parantamiseksi.

Jarmo Harno

Jarmo on aiemmin työskennellyt 20 vuotta Nokialla erilaisissa verkkoliiketoiminnan laatu-, kehittämis-, tuotteenhallinta- ja liiketoiminnan analysointitehtävissä ennen Ficoloon tuloa. Jarmo Harno on myös osallistunut tulevien ammattilaisten kouluttamiseen yliopettajana Laurea ammattikorkeakoulussa. Hänen vastuualueensa Senior Business Process Developerina Ficolossa pitävät sisällään prosessien, laadun ja tietoturvallisuuden hallintajärjestelmien kehittämisen. Jarmon mukaan Ficolo tarjoaa kasvavana ja dynaamisena organisaationa, vailla toimintaa jäykistäviä siiloja, mielenkiintoisen toimintakentän laaja-alaiselle kehittämistyölle.