Ads 468x60px

perjantai 2. syyskuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden johtaminen, osa 2

Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

2. Osa Tietosuojariskien hallinta tietoturvallisuuden keinoin

Kuten edellisessä blogikirjoituksessa avattiin, tietosuoja-asetuksen lähtökohtana on riskiperustaisuus, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaava turvallisuustaso. Jokaisen henkilötietoja käyttävän, keräävän ja käsittelevän yrityksen ja organisaation tulee siis toteuttaa tietosuojauhasta riskiarvio, jossa arvioidaan luonnollisille henkilöille tapahtuvia fyysisiä, aineellisia tai aineettomia vahinkoja, kuten ”omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoitumisen luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa.” Lainaus on tietosuoja-asetuksen perustelusta ja osoittaa, että torjuttava riski henkilön oikeuksiin ja vapauksiin kohdistuvana on laaja ja vaatii hyvän perusturvallisuustason toteutuakseen.

Tietosuoja-asetuksen määritelmä tarkoittaa ”’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin”. Riskin toteutuminen aiheuttaa siis henkilötiedon tietoturvaloukkauksen ja mahdollisia aineellisia, aineettomia tai taloudellisia seurauksia luonnolliselle henkilöille.

Tietosuojariskiä arvioitaessa on otettava huomioon, että riskiarvio tulee ulottaa koskemaan kaikkia niitä henkilön yksilöiviä tietoja, joista yksilö on suoraan tai epäsuorasti tunnistettavissa. Lisäksi tietoturvaloukkaukseksi katsotaan tilanne, jossa tahattomasti ja vahingossa käsitellään henkilötietoja väärin. Ennaltaehkäisy ja suojamekanismien toteuttaminen ei ole yksinkertaista kun suojataan mitä tahansa asiaa vahingon tapahtumiselta. Voisi ajatella, että tehokkainta on toteuttaa vankka tietosuoja- ja tietoturvataso niihin henkilötietoryhmiin ja käsitteleviin järjestelmiin, joissa eniten henkilötietoja käsitellään tai joissa käsitellään arkaluonteista henkilötietoa. Olennaiseen osaan nousee tietoturvallisuuden kokonaisarkkitehtuuri sekä se, miten paljon organisaatiossa toimintaa pyöritetään organisaation ulkopuolisella tai epävirallisella ”varjo-IT:llä” ja henkilötietojen käsittelyä tapahtuu keskitetyn hallinnan ulkopuolella.

Toisaalta mikäli henkilöstö ymmärtää henkilötietojen käsittelyn hyvät käsittelytavat, on ohjeistettu ja koulutettu huolellisesti, ymmärtää riskit ja tahallinen väärinkäytös on sanktioitu työsopimuksessa ja kirjallisissa pelisäännöissä, tahattoman vahingon riski pienenee vaikka henkilötietoja valuisikin virallisten järjestelmien puolelle. Tärkeintä tällöinkin on varmistaa, kenellä on pääsy henkilötietoon ja miten tieto on suojattu ulkopuolisilta sekä miten saadaan tietoa siitä, että henkilötietoon pyritään tai sitä käytetään oikeudettomasti.

Edellä mainituista tietoturvaloukkausesimerkeistä on syytä nostaa esiin vielä henkilötietojen häviäminen kun ajatellaan mukana kannettavia mobiililaitteita. Niitä ei yleensä ole otettu mukaan organisaation normaaliin päätelaitehallintaan, mutta uhka tiedon vuotamiselle esimerkiksi älypuhelimen kautta saattaa olla jopa suurempi kuin organisaation sisäverkosta. Puhelimessa kulkevat mukana yhteystiedot ja sähköpostit sekä niihin asennetaan sovelluksia, joiden valmistajasta tai henkilötietojen käsittelymaista ei ole tietoa puhumattakaan siitä, että joku lukisi käyttöehdot...

Uhan arviointi ja suojakeinojen toteuttaminen on balanssin löytämistä riskin toteutumisen aiheuttamien menetysten ja suojakeinojen kustannusten välillä. On päätettävä (ja kirjallisesti dokumentoitava), miten paljon riskiä yritys tai organisaatio sietää, mitä riskejä torjutaan ja mitä hyväksytään, ja kuka päätöksen on tehnyt. Jäännösriskiä voidaan seurata tiheämmällä aikavälillä kuin niitä, jotka ovat jo hallinnassa esimerkiksi organisaation kehitysohjelman kautta. Henkilötietojen ja tietosuojauhkien ollessa kyseessä on tärkeää, että johto tietää tilanteen tosiaikaisesti, jotta mahdollisen tietoturvaloukkauksen tapahtuessa siihen voidaan reagoida ja vaikutukset toiminnalle jäävät mahdollisimman vähäisiksi. Siksi riskiarvion yhteydessä on syytä pohtia myös raportointiprosessia ja jatkuvuuden hallintaa.

Eikä riskeistä ja tietoturvaloukkauksista puhuttaessa voi unohtaa ilmoitusvelvollisuuden toteuttamisen prosessia. Mikäli tapahtuu henkilötietoon kohdistuva korkea tietoturvaloukkaus, siitä tulee ilmoittaa valvontaviranomaiselle sekä henkilölle, jonka tietoja loukkauksen kohteena on. Ennaltaehkäisynä mahdollisille sanktioille ja vahingonkorvauksille toimii ainoastaan määrämuotoinen ja hallittu tietosuojan ja tietoturvallisuuden hallintamalli, joka kattaa koko organisaation tietosuoja- ja henkilörekisteriarkkitehtuurin. 


Blogitekstien seuraava kolmas osa keskittyy tietoturvaloukkauksen tunnistamiseen ja henkilötietojen suojaamiseen, neljäs osa tulee pureutumaan kumppaneihin ja tietojen siirtoon, ja viimeisessä viidennessä osassa tarkastellaan tietosuojan testaamista, seurantaa ja valvontaa.

Ei kommentteja:

Lähetä kommentti