Ads 468x60px

perjantai 19. elokuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden toteuttaminen

Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

1. Osa Henkilötiedot ja tietojen suojaaminen

Huhtikuussa tapahtunut EU:n tietosuoja-asetuksen hyväksyntä on uutisoitu usealla rintamalla ja siitä keskustellaan paljon alan ammattilaisten kesken. Mutta kun olen keskustellut henkilötiedoista, tietosuojasta tai henkilötietojen turvaamisesta tuttavieni, pk-yrittäjien, yritysten tai julkishallinnon työntekijöiden kanssa, on tullut eteen tilanteita, joissa henkilötietojen käsittelyyn liittyviä velvollisuuksia tai yksityisten ihmisten oikeuksia ei tunnisteta eikä niiden ymmärretä koskevan myös omaa yritystä tai organisaatiota.

Henkilötietoja ovat sekä voimassaolevan henkilötietolain että uuden tietosuoja-asetuksen näkökulmasta kaikki ne tiedot, joista yksittäinen ihminen on tunnistettavissa joko suoraan tai epäsuorasti. Henkilötietoja ovat siten esimerkiksi asiakastiedot, sähköpostin yhteystietolistat, Web-kyselyn tulokset, sopimuskumppanien tiedot silloin kun kyseessä on yksittäinen henkilö, tietoliikenteeseen tallentuvat IP-osoitteet, auton rekisterinumerot tai kameravalvonnan kuvat tunnistettavista henkilöistä yksityisalueilla.

Tietosuoja-asetus asettaa velvoitteita edellä mainittujen henkilötietojen keräämiselle ja käsittelylle sekä yksityisten henkilöiden oikeuksien toteuttamiselle, mutta tietosuoja-asetus on myös tietoturvalaki, joka velvoittaa suojaamaan henkilötiedot riittävällä tasolla. Asetuksen artiklat 32–34 käsittelevät henkilötietojen ja käsittelyn turvallisuutta ja velvoittavat kaikkia henkilötietojen kanssa tekemisissä olevia suojaamaan henkilötietoa sekä tunnistamaan tietoturvaloukkauksia riippumatta siitä onko käsittelevä organisaatio tai yritys pieni tai suuri.

Asetuksen lähtökohtana on riskitietoisuus, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava henkilötietoja uhkaavaa riskiä vastaava turvallisuustaso. Jotta henkilötietoja voi suojata tietosuojariskiä vastaan, on keskeistä tunnistaa, mistä henkilötietoa löytyy ja mitä henkilötietoa toiminnassa itse kerättynä tai muualta luovutettuna käsitellään. Organisaatioissa yleisesti on tiedossa keskeiset asiakasrekisterit ja niihin kerätyt henkilötiedot tai oman henkilöstön tiedot ja niistä muodostetut rekisterit, mutta henkilötiedon tunnistaminen vaikeutuu pian kun puhutaan pilvipalveluista, kumppaneista tai liiketoiminnan muista tarpeista tukitoimintojen ulkopuolelta. Tunnistamatonta tietoa ei voi suojata ja tietoturvaloukkauksen riski onkin suuri siellä, missä henkilötietoa ei tiedetä olevan. Tärkeää olisi päästä puuttumaan tietosuojariskin torjuntaan jo silloin kun uutta palvelua tai järjestelmää mietitään ennen sen käyttöönottoa. Seuraavassa kuvassa on pyritty avaamaan esimerkinomaisesti henkilötietojen suojaamisessa tietoturvallisuuden keinoin huomioitavia seikkoja asetuksen vaatimusten täyttämiseksi.




Blogitekstien toisessa osassa tarkastellaan tietosuojariskiä ja sen hallintaa tietoturvallisuuden keinoin. Osa kolme keskittyy henkilötietojen suojaamiseen ja neljäs osa pureutuu kumppaneihin ja tietojen siirtoon. Viimeisessä viidennessä osassa tarkastellaan vielä testaamista, seurantaa ja valvontaa.

tiistai 9. elokuuta 2016

VAHTI-ohje toiminnan jatkuvuuden hallinnasta julkaistu

Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI on kesän aikana julkaissut jatkuvuuden hallintaa käsittelevän ohjeen VAHTI 2/2016: Toiminnan jatkuvuuden hallinta.

Ohjeen tavoitteena on tehostaa ja yhdenmukaistaa jatkuvuuden hallintaa julkisessa hallinnossa. Vaikka ohje on suunnattu julkishallinnon toimijoille ja julkishallintoon palvelusopimussuhteessa oleville yrityksille, soveltuu se hyvin käytettäväksi myös kaikkien muidenkin organisaatioiden jatkuvuuden hallinnan kehittämiseen.

torstai 28. heinäkuuta 2016

Vieraskynä: sote-uudistuksen yhteydessä tehdään päätöksiä sote-henkilötietojen tietosuojasta


Sosiaali- ja terveyspalveluiden henkilötietojen käsittelyä koskevat linjaukset julkistettiin 29. kesäkuuta osana hallituksen sosiaali- ja terveydenhuollon uudistuksen ja maakuntien perustamisen alustavia lakiluonnoksia. Sote-uudistuksen tavoitteena on nykyaikaistaa palveluja ja parantaa julkisen talouden kestävyyttä sekä luoda edellytykset sosiaali- ja terveydenhuollon tulevaisuuden mallille. Uudistuksen myötä Suomeen perustetaan 18 itsehallinnollista maakuntaa, joiden vastuulle 1.1.2019 alkaen siirtyvät muun muassa julkiset sosiaali- ja terveyspalvelut.

Henkilötietojen käsittelystä on säädetty järjestämislain luonnoksessa. Sen mukaan maakunta olisi henkilötietolain mukainen rekisterinpitäjä maakunnan järjestämisvastuulle kuuluvassa toiminnassa syntyvien henkilötietojen osalta. Palveluiden tuottamisesta vastaavien yhtiöiden, yhteisöjen ja ammatinharjoittajien olisi tallennettava asiakas- ja potilastiedot maakunnan asiakas- ja potilasrekisteriin valtakunnallisia tietojärjestelmäpalveluja käyttäen. Tiedot olisivat siten kootusti Kantapalveluissa ja kaikkien maakunnan palveluntuottajien saatavilla, millä varmistettaisiin tiedonkulku asiakkaiden ja potilaiden käyttäessä lakiluonnosten mukaista palveluiden valinnanvapautta.

Rekisterinpidon keskittäminen maakunnille antaa erinomaisen mahdollisuuden kehittää korkealaatuisia tietosuoja- ja tietoturvakäytäntöjä, joihin voidaan sitouttaa kaikki maakunnalle palveluita tuottavat toimijat. Lakiluonnosten mukainen yhteistyöalueiden muodostaminen sekä palveluiden kokoaminen suurempiin kokonaisuuksiin edelleen laajentavat hyviksi todettujen toimintamallien soveltamismahdollisuuksia. Keskitetyn järjestelmän sujuva toiminta edellyttää kuitenkin maakunnilta henkilötietojen käsittelyä ja tietosuojaa koskevaa ammattitaitoa ja resursseja.

Uudistuksen myötä henkilötietojen käsittelyä koskevat sopimukset saattavat saada hyvinkin keskeisen aseman. Jos nimittäin maakunnista säädetään sote-järjestelmän ainoat rekisterinpitäjät, silloin muun muassa palveluntuottajat olisivat henkilötietojen käsittelijöiden asemassa käsitellessään tietoja maakuntien lukuun. Maakunnilla olisi velvollisuus ohjeistaa yksityiskohtaisesti henkilötietojen käsittelijöiden toimintaa, mikä edellyttäisi käytännössä tietosuojakysymysten arviointia kunkin palveluntuottajan osalta erikseen. Lisäksi rekisterinpitäjän ja henkilötietojen käsittelijän tulisi myös tehdä henkilötietojen käsittelystä sopimus, jonka yleiset sisältövaatimukset on määritelty 25.5.2018 alkaen sovellettavassa EU:n yleisessä tietosuoja-asetuksessa.

Sopimukset antaisivat myös mahdollisuuden turvata yksittäisen asiakkaan tai potilaan henkilötietojen käsittelyä koskevien palveluodotusten toteutuminen. Koska asiakas tai potilas on sote-mallissa käytännössä tekemisissä oman palveluntuottajansa eikä maakunnan kanssa, hän saattaa odottaa myös rekisteröidyn oikeuksiin liittyvää palvelua palveluntuottajaltaan. Sopimuksissa voitaisiin määritellä palveluntuottajalle rekisteröidyn oikeuksien toteuttamista tukevia tehtäviä, jotka palveluntuottaja suorittaisi maakunnan puolesta. Maakunta olisi kuitenkin rekisterinpitäjänä henkilötietojen käsittelystä kokonaisvastuussa EU:n yleisen tietosuoja-asetuksen osoitusvelvollisuuden periaatteen mukaisesti.

Alustavat lakiluonnokset ovat luettavissa osoitteessa www.alueuudistus.fi. Lakiluonnokset on tarkoitus koota hallituksen esitykseksi ja lähettää lausunnolle elokuussa 2016.

Kirjoittaja:
Charlotta Henriksson
Legal Counsel, VT, Senior Manager, KPMG:n lakipalveluiden tietosuojajuridiikkaryhmän vetäjä

keskiviikko 13. heinäkuuta 2016

Privacy Shield -järjestelylle Euroopan komission hyväksyntä


Euroopan unionin ja Yhdysvaltojen välillä tapahtuvaa henkilötietojen siirtoa ravisteleva muutosprosessi on edennyt jälleen uuteen vaiheeseen, kun Euroopan komissio hyväksyi eilen Privacy Shield -järjestelyn, johon yritykset voivat sitoutua 1. elokuuta alkaen. Privacy Shieldin tarkoituksena on toimia korvaajana Euroopan unionin tuomioistuimen lokakuussa 2015 Schrems-ratkaisussaan kumoamalle Safe Harbor -järjestelylle (lue kirjoituksemme Safe Harborin kumoutumisesta täältä).
Privacy Shield -järjestelyn tavoite on alusta alkaen ollut selvä: Euroopan komission ja Yhdysvaltain välisissä neuvotteluissa pyrittiin saamaan aikaan lopputulos, joka takaisi molemmille mantereille elintärkeän tietojensiirron jatkuvuuden, ja samaan aikaan antaisi Safe Harboria paremmat takeet eurooppalaisten henkilötietojen suojaamiseksi. Neuvotteluprosessi ei ole ollut helppo kummallekaan osapuolelle. Ei ole liioittelua todeta, että eurooppalaisten luottamus henkilötietojen suojaan Yhdysvalloissa on ollut alamäessä aina Edward Snowdenin vuonna 2013 tekemistä paljastuksista lähtien. Tällöin kävi ilmi, että myös Safe Harbor -järjestelmän noudattamiseen sitoutuneet yhtiöt ovat olleet osallisina Yhdysvaltain viranomaisten harjoittamassa laajamittaisessa tiedustelutoiminnassa.
Logiikaltaan Privacy Shield muistuttaa edeltäjäänsä: Safe Harborin tapaan se perustuu periaatteille, joita siihen osallistuvat yritykset sitoutuvat noudattamaan saavuttaakseen eurooppalaisittain riittävän tietosuojan tason. Privacy Shieldin periaatteet koskevat sekä rekisterinpitäjää että henkilötietojen käsittelijää, ja pääpiirteissään ne tiivistävät eurooppalaiselle tietosuojasääntelylle olennaisimpia vaatimuksia. Privacy Shield -järjestelyyn sitoutunut yritys on velvoitettu valvomaan järjestelyn noudattamista joko organisaation sisäisesti tai ulkoista vaatimustenmukaisuuden arvioijaa käyttäen.
Euroopan komission lehdistötiedotteen mukaan Privacy Shieldin myötä vaatimukset riittävän tietosuojan takaamiseksi järjestelyyn sitoutuville yhtiöille tiukentuvat merkittävästi Safe Harboriin verrattuna. Privacy Shield kiristää esimerkiksi tietojen edelleen siirtämistä kolmansille osapuolille koskevia edellytyksiä sekä asettaa entistä selkeämmät rajat tietojen säilytysajoille.
Privacy Shield pyrkii edeltäjäänsä tehokkaammin paitsi rajaamaan henkilötietojen käsittelyä, myös parantamaan järjestelyn noudattamiseen liittyvää valvontaa. Ensinnäkin Privacy Shield rajoittaa yhdysvaltalaisten viranomaisten pääsyä eurooppalaisiin henkilötietoihin, jotta vuonna 2013 paljastunut kohdentamaton ja laajamittainen eurooppalaisten henkilötietojen valvonta ei toistuisi ainakaan Privacy Shield -järjestelyn puitteissa. Privacy Shield ei kuitenkaan poista eurooppalaisten henkilötietojen valvontaa kokonaisuudessaan: komission mukaan tietoja voidaan kerätä valikoimattomasti tietyin ennakkoehdoin, ja tietojen keruun on oltava mahdollisimman kohdennettua ja keskitettyä.  Lisäksi Yhdysvaltojen kauppaministeriö saa yleisemmän toimivallan suorittaa järjestelyyn osallistuvia yrityksiä koskevia säännöllisiä tarkasteluja varmistaakseen, että yritykset noudattavat Privacy Shieldin vaatimuksia.
Tehokkaamman valvonnan lisäksi Privacy Shieldin myötä voimaan astuu uusia oikeussuojakeinoja. Yhdysvaltojen ulkoasiainministeriöön perustettavan oikeusasiamiesmekanismin avulla toteutetaan oikeussuojaa silloin kun oikeussuojan tarve liittyy kansalliseen tiedusteluun. Lisäksi EU:n kansalaiset voivat tukeutua erilaisiin uusiin riitojenratkaisumekanismeihin epäillessään henkilötietojensa väärinkäytöksiä Privacy Shield -järjestelyn puitteissa. EU:n kansalainen voi esimerkiksi ottaa yhteyttä kansalliseen tietosuojaviranomaiseen, joka varmistaa yhdessä Yhdysvaltojen liittovaltion kauppakomission kanssa henkilön valituksen tutkinnan ja edistää ratkaisun löytymistä. Viimesijaisesti henkilötietojen väärinkäytöksiin liittyvät erimielisyydet voidaan ratkaista myös välimiesmenettelyssä.
Mitä Privacy Shield sitten tarkoittaa käytännössä niille yrityksille, jotka siirtävät tai aikovat siirtää henkilötietoja Yhdysvaltoihin? Lukuisat yritykset ovat painineet saman aiheen kanssa jo lokakuusta 2015 asti, kun Safe Harboriin perustuville henkilötietojen siirroille oli kertaheitolla etsittävä korvaava laillinen peruste. Vaikka yritykset voivat jatkossa tukeutua halutessaan täysin Privacy Shield -järjestelyyn, myös muut mekanismit henkilötietojen siirrolle EU:n ja Yhdysvaltojen välillä on suositeltavaa pitää pöydällä vaihtoehtoja kartoitettaessa. Vaihtoehtoisia mekanismeja Safe Harborille on pohdittu tarkemmin muun muassa tässä blogissa julkaistussa kirjoituksessa, ja se soveltuu hyvin myös Privacy Shield -järjestelyn vaihtoehtojen kartoittamiseen. Euroopan komission hyväksymät mallisopimuslausekkeet lienevät tällä hetkellä yleisin ja suositelluin henkilötietojen siirtoperuste EU:n ja Yhdysvaltojen välillä, joskaan eivät täysin vailla riskejä. 
Privacy Shieldin etuja ja haittoja punnitessa on syytä huomioida, että järjestely on ollut kovan kritiikin kohteena sen ensimmäisistä luonnosversioista lähtien. Vaikka Privacy Shield ottaa käyttöön edeltäjäänsä tiukemmat otteet eurooppalaisten tietosuojan parantamiseksi, yleinen huoli on, ettei järjestely kykene tosiasiassa takaamaan riittävää tietosuojan tasoa. Privacy Shield -järjestelyn tehokkuus lieneekin tulevina vuosina Euroopan komission erityisen tarkan seurannan alla.
Privacy Shieldin lopullinen teksti on luettavissa täällä.

torstai 9. kesäkuuta 2016

H-hetki lähestyy: yleisen tietosuoja-asetuksen soveltaminen alkaa 25.5.2018

Huhtikuussa koitti jokaisen tietosuoja-ammattilaisen hartaasti odottama päivä, kun Euroopan Unionin yleinen tietosuoja-asetus sai lopullisen hyväksyntänsä. Asetuksen tultua julkaistuksi Euroopan Unionin virallisessa lehdessä varmistui myös sen ensimmäinen soveltamispäivä: 25. päivänä toukokuuta 2018 jokaisen Euroopassa ja Euroopan ulkopuolella toimivan rekisterinpitäjän ja henkilötietojen käsittelijän pelikenttä mullistuu.


Asetukseen valmistautuminen näkyy kesän kynnyksellä niin yksityisissä kuin julkisissa suomalaisissa organisaatioissa. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) on julkaissut 2.6. raportin EU-tietosuojan kokonaisuudistuksesta (1/2016), joka selventää asetuksen keskeisimpiä muutoksia niin rekisterinpitäjän, henkilötietojen käsittelijän kuin rekisteröidynkin näkökulmasta. Raportti antaa myös suosituksia toimenpiteistä asetuksen vaatimusten täyttämiseksi. Päivityksiä raporttiin tehdään sitä mukaa kun tarkempia yksityiskohtia ja esimerkiksi lainsäädäntöön liittyvää kansallista liikkumavaraa tarkennetaan.


Kuten VAHTIn raportissa todetaan, tärkein pohjatyö asetuksen vaatimusten täyttämiseksi tehdään viimeistään nyt. Vaikka osa asetuksen artikloista jättää tulkitsijalleen runsaasti pelivaraa, tämän ei kannata antaa viivästyttää valmistelutyön aloittamista: valmiita vastauksia löydetään harvassa tapauksessa suoraan asetustekstiä tulkitsemalla. Huolellinen valmistautuminen edellyttää asetuksen vaatimusten tuntemisen lisäksi organisaation tietosuojan nykytilan kartoitusta, asetuksen vaatimuksiin liittyvien puutteiden tunnistamista ja vaiheistettua kehityssuunnitelmaa. Tietosuoja-asetus on suoraan kytköksissä myös henkilötietojen käsittelyssä käytettävien järjestelmien arkkitehtuuriin ja tietoturvaan: esimerkiksi paljon puhutun unohdetuksi tulemisen oikeuden toteuttaminen edellyttää, että käsiteltävistä henkilötiedoista voidaan tunnistaa niiden alkuperä, käyttötarkoitus ja käyttötarkoituksen vanhentuminen järjestelmätasolla. Lisäksi tiedot on kyettävä poistamaan tehokkaasti kaikista niistä järjestelmistä ja tietokannoista, joissa tietoja sijaitsee.


Useimmissa asetukseen varautuvissa organisaatioissa tarvitaan myös asetuksen vaatimusten huolellista priorisointia. Kahden vuoden valmistautumisajan ollessa lyhyt, organisaation tietosuojan kokonaishallinnasta riippuen voi olla syytä priorisoida kriittisimmät riskit ja muutoskohteet ja erottaa ne sellaisista uudistuksista, jotka voidaan riskit arvioiden ja huolellisesti dokumentoiden toteuttaa mahdollisimman pian asetuksen voimaantulon jälkeen. Perusteellisesti dokumentoidut riskianalyysit ja kehityssuunnitelmat paitsi auttavat valmistelutyössä ja toteuttavat tilivelvollisuuden periaatetta, myös toimivat näyttönä huolellisuudesta silloin kun jotakin odottamatonta sattuu. KPMG:n tietoturvapalveluiden tietosuoja-asiantuntijat avustavat tällä hetkellä useissa asiakkaidemme tietosuojan kehitysprojekteissa, joiden tavoitteena on saavuttaa vaaditun tietosuojan taso ajoissa ja käytännönläheisesti, sekä ylläpitää sitä asetuksen voimaantulon jälkeen.


Mullistus on siis tulossa vuonna 2018. Tärkein kysymys rekisterinpitäjille ja henkilötietojen käsittelijöille on, toteutuuko muutos hallitusti vai hallitsemattomana kaaoksena. Viimeistään nyt on aika tutustua siihen, mitä tietosuoja-asetus tarkoittaa omassa organisaatiossasi.

tiistai 7. kesäkuuta 2016

Tutkimus: Identiteetin- ja pääsynhallinta entistä tärkeämpi osa digitaalisen muutoksen strategiaa



Tutkimus: Identiteetin- ja pääsynhallinta entistä tärkeämpi osa digitaalisen muutoksen strategiaa

KPMG järjestää 16.6.2016 kello 9:00-9:45 Webinaarin, jossa tämän tutkimuksen tuloksia käydään läpi. Webinaariin voi ilmoitautua osoitteessa https://ssl.eventilla.com/event/je87N

Pierre Audoin Consultants (PAC) on toteuttanut KPMG:n, CyberArkin ja SailPointin sponsoroimana tutkimuksen, jossa selvitetään, kuinka identiteetin- ja pääsynhallinnan nähdään muuttavan liiketoimintaa digiaikana. Kyselytutkimukseen vastasi 202 liiketoiminta- ja tietoturvajohtajaa eri yrityksistä ympäri Eurooppaa.

Tuoreen Identity and Access Management (IAM) in the Digital Age -tutkimuksen mukaan eurooppalaiset CIO:t, CISO:t ja muut tietoturvasta vastaavat johtavat asiantuntijat uskovat, että digitaalinen muutos voi onnistua ainoastaan tietoturvaa parantamalla. Identiteetin- ja pääsynhallinta auttaa suojautumaan kyberuhilta ja on samalla olennainen osa yritysjohtajien digitaalisen muutoksen strategiaa.

Yritykset tasapainoilevat tietoturvan, käytettävyyden ja oikeiden digitaalisten kanavien valinnan kanssa tuottaakseen päivittäispalveluja mahdollisimman tehokkaasti. Lähes puolet (48 %) vastaajista piti kuitenkin kyberuhkien ja tunkeilun estämistä jopa asiakaskokemuksen parantamista tai kustannussäästöjä tärkeämpänä digitaalisen muutoksen onnistumisen kannalta.
Tutkimuksessa nostetaan esille identiteetin- ja pääsynhallinnan soveltamiseen liittyviä kysymyksiä. Henkilöstön kouluttaminen sekä identiteetin- ja pääsynhallintaan liittyvien prosessien ymmärtäminen ovat entistä tärkeämmässä roolissa, kun yritykset aikovat hyödyntää esimerkiksi esineiden internetin (Internet of Things, IoT) tuomia mahdollisuuksia. Lisäksi tutkimuksessa kiinnitetään huomiota identiteetin- ja pääsynhallinnan haasteisiin, kuten varjo-IT:n leviämiseen pilvipalveluiden oston myötä.

Keskeiset avainlöydökset
Tutkimus osoittaa, että IT-johtajat pitävät identiteetin- ja pääsynhallintaa oleellisena niin digiajan haasteisiin vastaamisessa kuin myös digitalisaation kokonaispotentiaalin hahmottamisessa.

  • Lähes puolet vastaajista (48 %) korostaa, että digitalisoituminen edellyttää tietoturvauhkien torjuntaa ja ennaltaehkäisyä.
  • Suurin osa vastaajista (92 %) aikoo lisätä identiteetin- ja pääsynhallinnan investointejaan seuraavan kolmen vuoden aikana.
  • Yli puolet vastaajista (65 %) näkee kuluttajaidentiteetit ja -sovellukset yhtenä seuraavista identiteetin- ja pääsynhallinnan sijoituskohteistaan.
  • Vastaajista 65 % näkee varjo-IT:n kehityksen haasteena yhdenmukaisten identiteetin- ja pääsynhallintasysteemien käyttöönotolle.
  • Tulevaisuudessa perehdytyksen ja tiedon puute aiheuttaa todennäköisemmin enemmän identiteetin- ja pääsynhallinnan rikkomuksia kuin hallitsemattomat kolmansien osapuolten identiteetit.
  • Lue lisää tutkimuksesta ja selvitä, kuinka saat eniten irti identiteetin- ja pääsynhallinnan investoinneista ja turvaat liiketoimintaan liittyvän datan.

 
Taustaa tutkimuksesta
PAC haastatteli yli 200:aa eurooppalaisen yrityksen IT- ja tietoturva-asiantuntijaa maaliskuussa 2016. Asiantuntijat työskentelevät muun muassa pankki- ja vakuutussektoreilla, teollisuudessa, logistiikassa ja julkisella sektorilla Benelux-maissa, Pohjoismaissa Iso-Britanniassa, Saksassa, Sveitsissä ja Ranskassa.

PAC on perustettu vuonna 1976. PAC on osa eurooppalaista CXP Groupia, joka on johtava itsenäinen konsultointi- ja tutkimusyritys. CXP Group on erikoistunut ohjelmistotoimialaan, IT-palveluihin ja digitaaliseen transformaatioon. 

Tutkimuksen on sponsoroinut KPMG International, CyberArk ja SailPoint.

torstai 26. toukokuuta 2016

On Top of The World

Robert Mortell, a tax trainee from KPMG in Dublin has become the youngest Irish person to summit Mount Everest.

Originally from Limerick, Robert Mortell left Ireland on St. Patrick’s Day to begin a two-month climb to the summit of the world’s highest mountain and reached its peak in the early hours of Monday morning, 23 May.

At 26 years old, Mortell has set a new Irish record as the youngest Irish person to reach its summit at 8,848 metres above sea level. To date, 36 Irish climbers have now reached the summit of Mount Everest.