Ads 468x60px

maanantai 24. elokuuta 2015

EU:n tietosuoja-asetuksesta kilpailuetua

EU:n yleinen tietosuoja-asetus tulee lähitulevaisuudessa muuttamaan henkilötietojen käsittelyn sääntelyn perustaa ja tuo mukanaan uusia, nykyistä tiukempia vaatimuksia rekisterinpitäjille. Jatkossa henkilötietojen käsittelyn tulee olla suunnitelmallista, dokumentoitua ja perustua riskianalyysiin. Rekisterinpitäjän tulee jatkossa kyetä tarvittaessa osoittamaan, että on toiminut asetuksen vaatimusten mukaisesti, korotettujen sanktioiden uhalla.

Viranomaisten tehtävä on valvoa rekisterinpitäjien ja tietojenkäsittelijöiden suorittamaa henkilötietojen käsittelyä sekä asetuksen vaatimusten toteuttamista. Koska toistaiseksi viranomaisten resurssit valvontaan ovat olleet rajalliset, organisaatioiden oma vastuunkanto ja proaktiivisuus asiassa korostuvat, ja osoittamalla itse vaatimustenmukaisuus sekä hyvät tietosuojakäytännöt voidaan saavuttaa selkeä kilpailuetu markkinoilla. Jo nykyisin monien tarjouspyyntöjen edellytyksenä on osoittaa tietoturvan ja tietosuojan hoidon tila.

Erittäin hyvä keino osoittaa vaatimuksenmukaisuus EU:n tietosuoja-asetuksen vaatimuksiin on tuottaa ulkopuolisen varmentajan varmennuslausunto. Varmennusraportti voidaan laatia esim. ISAE 3000 -standardin (International Standard for Assurance Engagements) mukaan, joka on palveluntarjoajien toiminnan varmistamiseen tarkoitettu kansainvälinen tilintarkastusstandardi. ISAE 3000 -standardia on sovellettu jo vuodesta 2007 lähtien ja se asettaa vaatimuksia varmennustoimeksiantojen hyväksymiseen, suunnitteluun, evidenssin hankintaan ja dokumentointiin.  Sen sijaan ISAE 3000 ei itsessään aseta konkreettisia vaatimuksia (kriteeristöä) palveluntarjoajan valvontaympäristölle.

Varmennusraporttia varten palveluntarjoajan tulee itse kuvata palvelutuotannon prosessit ja niiden hallintaan käytettävät valvontamenetelmät (kontrollit) riittävän yksityiskohtaisesti sellaisena kuin ne ovat käytössä. Lisäksi valvontamenetelmät tulee olla todennettavissa tarkastushetkellä tai valitulla tarkastusajanjaksolla riippuen siitä onko kyseessä tyypin 1 vai 2 varmennusraportti. Palveluyhteisön käyttämän valvontaympäristön asianmukaisuudesta ja tehokkuuden arvioinnista vastaa auktorisoitu tilintarkastaja. Näin ollen ISAE 3000 -lausunto vertautuu luotettavuudessaan tilintarkastuskertomukseen.

Tietosuojaa varmennettaessa voidaan ISAE 3000 -lausunnon kriteeristönä käyttää siis itse määriteltyä, tietosuoja-asetuksen vaatimukset kattavaa kontrollikehikkoa. Nykyisin erityisesti julkisten pilvipalvelujen tietosuojaa varmennettaessa olisi hyvä käyttää valvontamenetelmiä määritettäessä ISO 27018 standardin liitteen A hallintakeinoja. Aiemmin erilaisia kriteeristöjä valvontaympäristön laatimisen pohjaksi olivat esim. Trust Services Principles –periaatteisiin perustuvan Webtrust-kehikon Generally Accepted Privacy Principles (GAPP) -periaatteet sekä Safe Harbor –valvontakehikko. Henkilötietojen turvaamiseen soveltuu myös yleisen tietoturvastandardi ISO 27001:2013, johon em. ISO 27018 myös perustuu.

Kun kriteeristö on valittu, valvontamenettelyt on kuvattu ja otettu käyttöön, voidaan suorittaa niiden varmennus. Varmennuksen lopputuloksena syntyy yksityiskohtainen varmennusraportti, joka tyypistä riippuen sisältää:
  1. Auktorisoidun tilintarkastajan lausunnon tietosuojan valvontaympäristön toiminnasta,
  2. Palveluntarjoajan johdon vakuutuksen valvontaympäristöstä,
  3. Palveluntarjoajan henkilötietojen käsittelyprosessien, riskienhallintamenetelmien sekä tietosuojakontrollien kuvaukset,
  4. Yksityiskohtaiset tietosuojakontrollien testausmenetelmät ja tarkastustulokset,
  5. Muuta palveluntarjoajan tai tarkastuskohteen kannalta oleellista informaatiota, esim. tulevat tietosuojan kehityshankkeet jne.
KPMG pystyy ainoana toimijana Suomessa tarjoamaan sekä ISAE 3000 -varmennuslausunnon että ISO 27001 -sertifioinnin. Koska KPMG on Viestintäviraston hyväksymä tietoturvallisuuden arviointilaitos, pystymme lisäksi tuottamaan myös muut viralliset auditoinnit, kuten KanTA-sertifioinnit sekä viralliset VAHTI- ja KATAKRI-auditoinnit. Virallisten auditointien ja sertifiointiemme palvelutarjonta on myös laajenemassa lähiaikoina.

Ei kommentteja:

Lähetä kommentti