Ads 468x60px

torstai 5. lokakuuta 2017

EU:n yleinen tietosuoja-asetus ja integraatiot

Yritykset ovat viimeisen vuoden aikana heränneet EU:n yleiseen tietosuoja-asetukseen, jonka vaatimustenmukaisuuden siirtymäaika päättyy 25.5.2018. Tällöin yritysten henkilötietojen käsittely tulee olla linjassa tietosuoja-asetuksen vaatimusten kanssa. Yritykset ovat lähteneet täyttämään tietosuoja-asetuksen velvoitteita kartoittamalla henkilörekistereitään, rekistereiden käyttöoikeuksia ja käyttötarpeita sekä päivittämällä rekisteriselosteita. Samalla osa yrityksistä on havahtunut tosiasiaan, että henkilötietoja ei pelkästään käsitellä tietojärjestelmissä vaan henkilötietoa myös välitetään integraatiossa niin yrityksen sisällä kuin yritysten välillä.

Viimeistään tässä vaiheessa integraatioarkkitehtien tulisi kiinnostua tietosuoja-asetuksesta. Mikäli yritys on kuvannut tietojenkäsittely-ympäristönsä, tulisi yrityksellä olla kuvaus niin loogisista kuin fyysistä tietovarannoista, joista henkilötietoa löytyy. Mikäli yrityksen integraatioarkkitehtuurikuvaukset ovat tietoarkkitehtuurin lisäksi kunnossa, ei henkilötietoa sisältävien integraatioiden kartoitus ole yleensä kovinkaan iso työ.

Kun henkilötietoa sisältävät integraatiot on tunnistettu, tulee integraatiot luokitella niissä välitettävien henkilötietojen perusteella. Luokitteluun vaikuttavat muun muassa välitettävien henkilötietojen arkaluonteisuus (esim. potilastieto on arkaluonteisempaa kuin henkilöiden yhteystiedot), määrä sekä käyttötarkoitus eli esimerkiksi välitetäänkö henkilötietoa yrityksen sisällä vai yhteistyökumppaneille. Luokittelu kannattaa tehdä riskilähtöisesti, sillä tietosuoja-asetus vaatii henkilötietojen käsittelyn olevan ennakoivaa, päätökset henkilötietojen suojaukseen tulee perustua tunnistettuihin riskeihin sekä tehdyt päätökset ja niiden perusteella tehdyt toimenpiteet pitää pystyä osoittamaan.

Riskianalyysi kannattaa ottaa osaksi niitä integraatioprojekteja, joissa käsitellään henkilötietoja. Esimerkiksi, jos integraatioprojektissa toteutetaan uusia integraatioita, joissa henkilötietoa yhdistellään uudella tavalla, saattaa henkilötietojen käyttötarkoitus muuttua siten, että rekisteriseloste on päivitettävä ja rekisteröidyiltä (eli henkilörekisterissä olevilta henkilöiltä) on kysyttävä lupa käyttää henkilötietoa uudella tavalla. Kun integraatioarkkitehtuurissa on kuvattu henkilötietoa sisältävät tietovirrat, on edellä mainittu tilanne helpompi tunnistaa integraatioprojekteissa.

Lisäksi tietosuoja-asetus lähtee siitä oletuksesta, että henkilötiedolla on elinkaari, joka pohjautuu henkilötiedon käsittelytarpeeseen. Vaikkei henkilötietoa yleensä säilytetä integraatiokerroksessa, on kuitenkin muistettava tarkastaa, miten henkilötietoja säilytetään ja millaisilla pääsyoikeuksilla mahdollisissa integraatiokerroksen virhejonoissa ja arkistointihakemistoissa. Samalla voidaan tarkistaa, ettei esimerkiksi henkilötietoja sisältäviä siirtotiedostoja ”jää lojumaan” siirtohakemistoihin. On hyvä muistaa, että mikäli pääkäyttäjä näkee virhejonossa olevien sanomien sisältämiä henkilötietoja, tulee pääkäyttäjän käsitellä niitä tietosuojalainsäädännön mukaisesti. Yleinen ratkaisu on salata sanomien sisältämät henkilötiedot siten, että pääkäyttäjä pystyy tekemään virheselvittelyä, muttei näe sanoman sisältämiä henkilötietoja.

Integraatiot ulkopuolisten toimijoiden ja kumppaneiden kanssa

Kun henkilötietoa välitetään yrityksen ulkopuolelle, esimerkiksi yhteistyökumppanin pilvipalveluun, korostuu yksityisyyden varmistava henkilötietojen käsittely entisestään. Katsotaan tätä esimerkin kautta – oletetaan että Yritys Oy lähettää henkilötietoa yhteistyökumppanille. Yritys Oy on tässä tapauksessa rekisterinpitäjä, joka on vastuussa henkilötiedosta. Yhteistyökumppani, joka voi olla vaikkapa palkanlaskennan suorittava kumppani, on henkilötietojen käsittelijä. Tämä yhteistyö on otettava huomioon kumppanuushallinnassa eli yhteistyösopimuksissa tulee määrittää henkilötietoihin ja niiden käsittelyyn liittyvät vastuut ja velvollisuudet.

Ennen yhteistyösopimuksen allekirjoittamista on syytä tarkistaa integraatioiden vaatimustenmukaisuus eli tarkastetaan että yrityksen ja yhteistyökumppanin tietoturva- ja tietosuojakontrollit ovat yhteneväiset ja riittävällä tasolla. Tämä otetaan yleensä yhteistyösopimuksessa huomioon sopimuksen liitteenä olevilla tietoturva- ja tietosuojavaatimuksina. Vaatimusten lisäksi on syytä toimittaa tiedonkäsittelyohjeet, joissa otetaan kantaa esimerkiksi henkilötiedon säilytysaikoihin. Lisäksi yhteystyöhön liittyvät henkilötietointegraatiot on kuvattava osana integraatioarkkitehtuuria. Tehty dokumentaatio täyttää osaltaan tietosuoja-asetuksen dokumentaatiovaatimuksia ja osoittamisvelvoitetta.

Mikäli yritys toimii EU/ETA-alueella, tietosuoja-asetus helpottaa asioita, koska henkilötietojen käsittely tulisi olla samanlaista kaikissa EU/ETA-alueen maissa. Valitettavasti jokaisella maalla on omia maakohtaisia erityispiirteitä, joten kohdemaan (juridiset) erityispiirteet kannattaa tarkistaa.

Henkilötietojen välitys integraatioissa edellyttää havainnointikykyä

Henkilötietointegraatioissa on varmistettava tietoturvan kolme peruspilaria - luottamuksellisuus, eheys ja saatavuus. Mitä nämä tarkoittavat integraatioiden näkökulmasta? Otetaan esimerkiksi perinteiset flat file -tiedostosiirrot. Luottamuksellisuus tarkoittaa, ettei siirtotiedostoihin ja niiden sisältöön pääse käsiksi kuin ne henkilöt, joiden tehtäviensä puolesta käsittelevät siirtotiedostojen sisältämiä henkilötietoja.  Eheys tarkoittaa, ettei siirtotiedostojen sisältöä pääse muuttamaan oikeudetta. Saatavuus kattaa esimerkiksi pääsyoikeudet henkilötietointegraatioiden siirtohakemistoihin.

Jäljitettävyys liittyy keskeisesti havainnointikykyyn. Sen vuoksi on tärkeää kiinnittää huomiota integraatiokerroksessa tapahtuvaan lokitukseen ja henkilötiedon audit trail -tietoon. Mikäli pääkäyttäjä käsittelee esimerkiksi aiemmin mainitussa virheenselvittelytilanteessa henkilötietoa sisältävää sanomaa, on siitä jäätävä jälki lokitietoihin – etenkin mikäli henkilötietoja ei ole salattu sanomassa. Audit trail pitää pystyä osoittamaan niin tietoliikenteen kuin tiedonkäsittelyn osalta. Keskitetty lokienhallinta vastaa moneen tietosuoja-asetuksen vaatimukseen.

Muistilista integraatioarkkitehdille:
  1. Tunnista missä ja mitä henkilötietoa on olemassa
  2. Kuvaa henkilötietointegraatiot integraatioarkkitehtuurissa
  3. Luokittele henkilötietointegraatiot ja kuvaa käsittelytarve
  4. Tarkista ja päivitä sopimukset
  5. Kuvaa henkilötiedon elinkaari
  6. Rakenna tekniset kontrollit henkilötiedon suojaamiseen ja valvontaan
Pasi Vänttinen

KPMG Oy Ab

Kirjoittaja toimii kokonais- ja integraatioarkkitehtinä KPMG:n kyberturvallisuusyksikössä.

Ei kommentteja:

Lähetä kommentti