Ads 468x60px

perjantai 30. syyskuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden johtaminen, osa 3


Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

3. Osa Henkilötiedon ja tietoturvallisuuden hallinta

Blogitekstien sarjan edellisissä osissa on käsitelty sekä henkilötietojen tunnistamista ja niiden suhdetta tietoturvallisuuteen että henkilötietoihin kohdistuvien riskien hallintaa. Kenties haastavinta koko tietosuoja-arkkitehtuuria mietittäessä on tietoturvaloukkauksen esille tuominen ja tunnistaminen sen jälkeen kun tiedetään missä henkilötietoja sijaitsee ja käsitellään. Miten tunnistaa tietoturvaloukkaus?

Asetuksen mukaan tietoturvaloukkauksesta tulee pystyä kertomaan mitä on tapahtunut, miksi, keihin tietoturvaloukkaus kohdistuu ja mitä henkilötietoja loukkaus koskee. Lisäksi on dokumentoituna löydyttävä tietoa siitä mitä toimenpiteitä on tehty aikaisemmin, jotta tietoturvauhkaa on pienennetty, mitä toimenpiteitä on esitetty tehtävän, mutta ei ole toteutettu ja mitä seurauksia niille henkilöille mahdollisesti aiheutuu, joiden yksityisyyttä on loukattu.

On sanomattakin selvää, että on eri asia, onko loukkauksen kuten tietovuodon tai –varkauden kohteena esimerkiksi luottokorttitietoja tai turvakiellossa olevan henkilön osoitetietoja vai julkisesti muutenkin esimerkiksi somesta saatavia tietoja. Silti henkilötiedon keräämisen ja käsittelyn käyttötarkoituksen tulee osaltaan vaikuttaa siihen, miten tietoja suojataan samalla kun pohditaan mitä tietoja suojataan. On syytä myös kiinnittää huomiota siihen, voiko usean heikommin suojatun henkilörekisterin tiedoista saada luotua arkaluontoisen ja jopa henkilön oikeuksia vakavasti loukkaavan tiedon?

Blogitekstien sarjan ensimmäisessä osassa pohdittiin henkilötietojen ja -rekisterien tunnistamista. Kun nämä suojattavat kohteet ovat tiedossa ja tietoihin kohdistuvat uhat arvioitu, on toteutettava perusturvallisuustaso, jolla taataan tietojen luottamuksellisuus, eheys ja saatavuus. Eivätkä perusturvallisuuden vaatimukset koske pelkästään henkilötietoja vaan kaikkea toiminnalle tärkeää tietoa eli sitä tietopääomaa, miksi yritys tai organisaatio on olemassa.

Perinteisesti tietoturvallisuutta on toteutettu verkkoa suojaamalla, estämällä haittaohjelmien toimintaa ja laitteita turvaamalla. Edellisten lisäksi henkilötietoja suojattaessa on kiinnitettävä huomiota erityisesti käyttöoikeuksiin ja pääsynhallintaan. Koska henkilötiedolle tulee määritellä käyttötarkoitus, täytyy myös määritellä, keillä on työtehtäviin perustuva oikeus päästä henkilötietoon käsiksi ja muuttaa sitä. Lisäksi on pohdittava, annetaanko rekisteröidylle eli henkilölle itselle oikeus ylläpitää ja muuttaa tietoa ja miten varmistetaan, että tietoa muuttava henkilö on juuri rekisteröity itse.

Tietosuoja-asetus korostaa läpinäkyvyyttä, selkeyttä ja ymmärrettävyyttä rekisteröidyn suuntaan, joten oikeuksien toteutumisen kannalta myös tietoturvakeinojen tulee olla viestittävissä käyttäjille. Erityisesti selkeystarve korostuu silloin kun tuotetaan palvelua alaikäisille lapsille. Huoltajan roolin toteuttaminen ja suostumuksen hallinta palvelun käyttöä varten on keskeistä, jotta lapsen oikeus turvalliseen palveluun toteutuu.

Henkilötietojen elinkaaren aikana korostuu jatkuvien palvelujen osuus, etenkin silloin kun tietojenkäsittelyresurssia ostetaan kumppanilta. On huolehdittava siitä, että lokia kerätään riittävästi tietoturvaloukkausten havainnointia ja selvittämistä varten, epäilyttävistä tapahtumista saadaan hälytyksiä ylläpitäjille, henkilötietoja varmistetaan ja varmistettua tietoa pystytään myös palauttamaan eheäksi kokonaisuudeksi käyttäjille. Sopimuksissa tulee sopia menettelyt tietoturvaloukkauksista ilmoittamiselle, vastuut ja suunnitella palautuminen ennalta, mikäli pahin tapahtuu.

Tietosuoja-asetus määrää myös henkilötietojen osalta arvioimaan tarvitaanko henkilötiedoille lisäsuojaa. Se voidaan toteuttaa esimerkiksi salaamalla henkilötietoja, tietojen anonymisoinnilla eli henkilötiedon muuttamisella siten, ettei yksittäistä henkilöä pysty tunnistamaan, korvaavien pseudonyymien käytöllä tai kerättävän tiedon minimoinnilla. Suositeltavaa toki on, että lisäsuoja-arvio tehdään silloin kun henkilötietojen keruuta ja käsittelyn käyttötarkoitusta aletaan suunnitella. Siten toteuttaminen käytännössä on helpointa ja halvempaa verrattuna tuotannossa olevaan tietoon tehtäviin lisäsuojauksiin.

Tietoturvaloukkauksen tapahtuessa juuri lisäsuojakeinot otetaan arvioon kun mietitään rekisteröidylle aiheutuvaa loukkauksen vaikutusta. Mikäli tieto on ollut vahvasti salattua, muutettua tai minimoitua, voidaan olettaa että hyökkääjän saama hyöty tiedosta on pieni, jolloin seuraukset jäävät lievemmiksi. Lisäsuojakeinot ovat siten ennaltaehkäisyä ja osa jatkuvuuden hallintaa.

Tietosuojan ja tietoturvallisuuden vastuuhenkilöiden yhteistyön niin sisäisesti kuin kumppanien kanssa on hyvä olla saumatonta, jotta tällä tasolla pystytään tietosuojaa ja tietoturvallisuutta hallitsemaan. Tehokas toiminta tarvitsee yhteiset periaatteet ja ohjeet, koulutusta, toiminnan ja prosessien yhteen viilaamista ja testaamista sekä asioiden dokumentointia kirjallisissa sopimuksissa. Osassa organisaatioita on perustettu erillisiä, säännöllisesti kokoontuvia tietosuojan ohjaus- tai seurantaryhmiä ottamaan kantaa tärkeisiin henkilötietojen käsittelyä koskeviin kysymyksiin ja tekemään päätöksiä.

Blogitekstien seuraavassa neljännessä osassa käsitellään tarkemmin ulkoistusten ja kumppanien hallintaa tietosuojan ja tietoturvan näkökulmasta. Viimeinen viides osa tarkastelee vielä tietosuojan testaamista, seurantaa ja valvontaa.

Ei kommentteja:

Lähetä kommentti