Ads 468x60px

torstai 6. syyskuuta 2018

Venäjän kansalaisten henkilötietoja koskeva lainsäädäntö - datalokalisaatiolaki


Venäjän kansalaisten henkilötietoja koskevaa lainsäädäntöä alettiin valmistella vuonna 2006 (152-FZ). Vuonna 2015 (242-FZ) voimaan astunut lakimuutos tarkoittaa käytännössä sitä, että Venäjän kansalaisen henkilötiedot tulee ensisijaisesti tallentaa Venäjän rajojen sisäpuolella sijaitseville palvelimille. Muutos vaatii toimenpiteitä kaikilta Venäjän kansalaisten henkilötietoja käsitteleviltä yrityksiltä.
Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka ovat yhdistettävissä suoraan tai epäsuorasti yksilöön. Henkilötietoja ovat esimerkiksi nimi, yhteystiedot, terveystiedot, uskonnolliset, poliittiset tai aatteelliset näkemykset tai sitoumukset sekä etninen alkuperä. Henkilötiedoiksi katsotaan myös informaatio tai informaatioyhdistelmät, jonka avulla henkilö voi mahdollisesti olla tunnistettavissa.
Yritysten tulee varmistaa, että henkilötietojen keräys ja säilytys noudattaa voimassa olevia Venäjän lainsäädännön periaatteita. Henkilötietoihin kohdistuvat päivitykset ja poistot tulee tehdä ensin Venäjällä sijaitseville palvelimille. Venäjän kansalaisten henkilötiedot saa kuitenkin siirtää Venäjän rajojen ulkopuolelle kansainvälisiä tiedonsiirtoja koskevan lainsäädännön periaatteiden mukaisesti.
Heinäkuussa 2017 lainsäädäntöä tehostettiin uusilla tuntuvilla sakoilla, koskien niitä yrityksiä, jotka eivät noudata Venäjän henkilötietojen säilyttämistä koskevaa lainsäädäntöä. Venäjän telehallintoviranomainen voi myös tilanteen vaatiessa estää pääsyn palveluihin Venäjän maaperältä, joka voi aiheuttaa yritykselle tuntuvia liiketoiminnallisia haittoja.
Venäjän datalokalisaatiolaki kohdistuu yrityksiin, joilla on liiketoimintaa Venäjällä. Tämä koskettaa myös yritysten tytäryhtiöitä, edustustoa, toimistoja sekä tehtaita, mukaan lukien myös Venäjällä toimivat verkkokaupat. Lainsäädännön piiriin lukeutuvat ne verkkokaupat, jotka ovat suunnattuja venäläiselle asiakaskunnalle. Näinollen esimerkiksi, mikäli verkkosivut ovat venäjänkieliset, verkkosivun domain on venäläinen (esim .ru, РФ), mainonta suunnattu venäläisille asiakkaille tai maksuliikenne on mahdollista käydä venäläisellä valuutalla verkkokaupan tulee noudattaa Venäjän lainsäädäntöä.

Miten yritys voi varmistaa noudattavansa Venäjän kansalaisten henkilötietoja koskevaa lainsäädäntöä?
 1. Henkilötietojen keräys ja tallennus tulee tapahtua Venäjän maan rajojen sisäpuolella. Näinollen tietokantojen, jonne tallennetaan Venäjän kansalaisen henkilötietoja, tulee sijaita fyysisesti Venäjällä. Tiedot on kuitenkin mahdollista replikoida tiettyjen periaatteiden mukaisesti Venäjän ulkopuolelle
 2. Kaikki muutokset, päivitykset ja poistot koskien Venäjän kansalaisten henkilötietoja tulee tapahtua ensin Venäjän maan rajojen sisäpuolella sijaitsevaan tietokantaan.
 3. Lainsäädäntö koskee vain tietokantoja, jonne tallennetaan henkilötietoja. Tietojärjestelmissä, jotka sijaitsevat Venäjän ulkopuolella, voidaan siirtää Venäjän kansalaisten henkilötietoja, jos varmistutaan siitä, että ensisijainen tietokanta on Venäjän maaperällä. 
Konkreettisia toimenpiteitä:
 1. Selvitä, mitä henkilödataa Venäjällä toimiva yritys käsittelee ja laadi henkilötietoinventaari, jossa eritellään henkilötiedot tietokannoittain. Identifioi, henkilötietojen käyttötarkoitus sekä elinkaari.
 2. Selvitä, mitkä jo käytössä olevat käytännöt noudattavat Venäjän datalokalisaatio lain periaatteita
 3. Laadi puuttuva dokumentaatio sekä prosessit
 4. Identifioi mahdollinen tekninen ratkaisu esimerkiksi paikalliselta palveluntarjoajalta
 5. Ilmoita Venäjän televalvontaviranomaiselle Roskomnadzorille henkilödataa prosessoivan tietokannan tarkka sijainti 
Kahden tietokannan ylläpitäminen, johon on pääsy niin Venäjältä kuin Venäjän rajojen ulkopuolelta ei ole sallittua. Tietokantakopiota saa kuitenkin säilyttää Venäjän rajojen ulkopuolella sovellettaessa erityisehtoja. Tässä tapauksessa ensisijainen tietokanta, jonne voi tehdä muutoksia, säilyy Venäjällä. Venäjän maaperällä sijaitsevaa tietokantaa on myös mahdollista hallinnoida etäyhteydellä Venäjän rajojen ulkopuolelta.
Viime vuosien aikana yritykset, jotka käsittelevät Venäjän kansalaisten henkilötietoja ovat varautuneet tuleviin muutoksiin eri tavoilla. Suuryritykset kuten Microsoft, Samsung, Booking.com ja eBay ovat siirtäneet Venäjän kansalaisten henkilötietoja keräävät tietokannat Venäjälle. Moni yritys ylläpitää kahta tietokantaa niin Venäjän maaperällä kuin Venäjän rajojen ulkopuolella. Tässä tapauksessa on muistettava, että kaikki muutokset tulee kohdistaa ensiksi Venäjällä sijaitsevaan tietokantaan, jonka jälkeen muutokset voidaan tehdä Venäjän rajojen ulkopuolella sijaitsevaan kopio-versioon. On myös mahdollista ylläpitää ensisijaista tietokantaa Venäjän maaperällä ja tämän jälkeen siirtää anonymisoitua tietoa muihin tietokantoihin, jotka sijaitsevat Venäjän rajojen ulkopuolella. Tässä tapauksessa on kiinnitettävä huomiota siihen, ettei henkilö ole siirron jälkeen millään tavalla tunnistettavissa.
Venäjän datalokalisaatiolailla on yhteisiä piirteitä EU:n alueella toukokuussa 2018 voimaan tulleen EU:n yleisen tietosuojalainsäädännön (GDPR). Niin Venäjän datalokalisaatiolain sekä GDPR:n tarkoituksena on turvata yksilön henkilötiedot, yhtenäistää henkilötietojen käsittelyn sääntely, selkeyttää toimivaltakysymyksiä, tehostaa viranomaisyhteistyötä ja velvoittaa rekisterinpitäjät toimimaan suunnitelmallisesti sekä osoittaa tällä tavoin toimiensa vaatimustenmukaisuus.

-Wanda Wallgren

torstai 7. kesäkuuta 2018

Tietoturva Roadshow 2018

Tietoturva roadshow on ilmainen tietoturvaseminaari, joka on järjestetty yhteistyössä Optimesys:n kanssa. Tämän vuoden roadshow:ssa teemana oli leikkimielinen ystävyysottelu RedTeam (KPMG) VS BlueTeam (OptimeSys). KPMG:n tekninen tietoturvatiimi esitteli Red Teaming palvelua, sekä demosi samalla miten hyökkääjä toimii yrittäessään murtautua kohdeyritykseen. Vastaavasti BlueTeam esitteli, miten erilaiset tekniset ratkaisut voivat auttaa hyökkäysten havainnoimisessa ja estämisessä.

Roadshow seminaari järjestettiin Tampereella 29.5, Turussa 30.5, Helsingissä 31.5 ja Jyväskylässä 5.6.2018. Tapahtuman pääkohdat painoittuivat yrityksen prosesseihin, käyttäjän tietoisuuteen ja koulutukseen, koska itse hyökkäyksen kohteena oli teknologian heikoin lenkki - ihminen.


Monelle tuntematon Red Teaming on metodi, jolla yritetään luoda mahdollisimman aito simulaatio oikeasta kyberhyökkäyksestä, jossa testataan organisaation kykyä puolustautua tietoturvapoikkeamien sattuessa. Red Teaming ei rajoitu ainoastaan teknologioihin, vaan sillä voidaan myös testata fyysinen turvallisuus, sekä organisaation henkilöstön toiminta poikkeamatilanteissa. "Mitä on Red Teaming?" - esityksessä tuotiin esille, millaisia Red Teaming palveluita KPMG tarjoaa, sekä miten voimme parantaa organisaatiota kykyä toimia kyberuhan sattuessa.

Jyväskylän teknisen tiimin Ville ja Mikael kertoivat, kuinka julkisesti saatavilla olevaa tietoa (OSINT) voidaan hyödyntää hyökkääjän näkökulmasta. Hyökkääjä kerää kohdeyrityksestä tietoa esimerkiksi sosiaalisesta mediasta, julkisisen sektorin tiedoista, ammatillisista- ja akateemisista julkaisuista, joita voidaan käyttää hyökkäyksen myöhemmissä vaiheissa.


Demossa näytettiin hyökkääjän näkökulmasta, kuinka kohdennetulla "Phishing" kampanjalla voidaan saada jalansija kohdeyrityksestä huijaamalla käyttäjää. Demossa käytettiin hyväksi GDPR tietosuojasetusta, jonka pohjalta luotiin kalastelu-sähköposti, joka varasti käyttäjien syöttämiä sähköpostitunnuksia ja salasanoja. Aiheena varmasti ajankohtainen, sillä jokainen on varmasti saanut GDPR-aiheisia viestejä ja sähköposteja.

Kalastelu kohdennettiin yritykseen nimeltä "tietoturvapalvelu.net", sillä tietojen mukaan yritys oli hakenut Microsoft SQL Server Adminia töihin ja Linkedin mukaan "Matti Meikalainen" oli juuri aloittanut työt kyseisessä roolissa yrityksessä. Kalastelusivu pyysi käyttäjiä kirjautumaan sisään yrityksen sähköposti tunnuksilla ja hyväksymään uudet GDPR muutokset, jonka jälkeen uhri ohjautui yrityksen omaan portaaliin. Kalasteluun lankesi "Matti Meikalainen", jonka sähköpostia hyökkääjä kävi tarkastelemassa saamillaan tunnuksilla.

Lähetettyjen ja saapuneiden sähköpostien perusteelta hyökkääjä pystyi valmistelemaan uuden kohdennetun kalastelusähköpostin Matille. Sähköposti sisälsi aidon, mutta haitallisen PDF-liitteen, jonka Matti kiireisenä avasi. Esittäjät huomauttivat, että sähköpostiin tulleita kirjautumisvaatimuksia ei tulisi koskaan avata mukana tulleen linkin kautta ja lähettäjän nimi tulisi aina tarkastaa ennen liitteiden päätöntä avaamista. Esittäjät kertoivat syyksi, että hyökkääjä voi huijata käyttäjää esim. Evilginx "Advanced Phishing" työkalulla. Työkalulla voidaan luoda täysin autenttisen näköinen TLS salattu kalastelusivu, mikä varastaa käyttäjätunnuksia ja session tokeneita, siksi kirjautumisvaatimuksia ei tulisi avata sähköpostin kautta koskaan.


KPMG:n hyökkääjät saivat jalansijan valitun kohteen verkosta, jota käytettiin hyödyksi lateraalisessa liikehdinnässä. Esityksessä tuotiin esille, miten hyökkääjä voi hyödyntää työntekijöiden työasemia verkon sisällä liikkumiseen ja sitä kautta tärkeiden tiedostojen varastamiseen. Tärkeä huomio esittäjien suusta oli, että on tärkeätä rajata työntekijöiden käyttöoikeuksia työtehtäviin kuuluviksi. Hyvänä esimerkkinä kerrottiin, että työntekijä voi saastuttaa työkoneensa vapaa-ajalla omassa kodissaan ja tuoda sitä kautta haittakkeen yrityksen sisään. Viimeisenä hyökkääjät demonstroivat, kuinka helppoa on varastaa tärkeät tiedostot kohteelta.


KPMG Best Practices

Varmista aina lähettäjän autenttisuus, sekä mieti onko tämä viesti tullut tarkoituksenmukaisesti minulle. Älä koskaan kirjaudu sähköpostiin tulleiden linkkien kautta mihinkään palveluun. Käytä palveluntarjoajan suositeltuja tietoturva-asetuksia, kuten kaksivaiheinen todentaminen. Testaa organisaatiosi henkilökunnan tietoturvatietoisuutta.

- Mikään teknologia ei tuo 100% turvaa
- Varmista aina linkkien ja liitteiden oikeellisuus
- Kouluta henkilöstö käyttämään sosiaalista mediaa vastuullisesti
- Tarkasta kuinka paljon yrityksestäsi löytyy mahdollisesti haitallista tietoa internetistä
- Testaa ja kouluta henkilöstö erilaisilla tietoturvaharjoitteilla

Suuret kiitokset osallistujille ja Optimesys:lle yhteistyöstä.

keskiviikko 14. helmikuuta 2018

#tj100 - vai sittenkin enemmän?Tänään on jäljellä 100 päivää (tai 99, laskutavasta riippuen) hetkeen, jota osa (lue: tietosuoja-asiantuntijat) odottaa "kuin kuuta nousevaa", ja johon osa taas (lue: yritysjohtajat) suhtautuu varauksella, ehkä jopa hieman pelonsekaisin tuntemuksin. 100 päivän kuluttua tulee sovellettavaksi EU:n tietosuoja-asetus uudistuneine velvollisuuksineen ja tarkentunein säännöksin.
Tietosuojatyö organisaatioissa on kuumimmillaan. Niin suuret kuin keskisuuret toimijat miettivät asetuksen vaatimuksia (liike)toimintansa näkökulmasta – mitä meidän tulee tehdä täyttääksemme asetuksen vaatimukset, miten varmistamme vaatimustenmukaisuuden ja miten me haluamme kehittää tietosuojaa osana liiketoimintaamme edelleen?
Nyt kun toukokuun 25. päivään on jäljellä 100 päivää (#tj100), on hyvä pysähtyä hetkeksi miettimään miksi ja miten kehitämme organisaatiomme tietosuojaa.
IAPP:n julkaiseman tutkimuksen mukaan organisaatiot ovat n. puolessa välissä (keskimäärin 48,62 %) kohti vaatimustenmukaisuutta. Yllättävää kyllä, vain 72 % EU:n sisällä toimivista yrityksistä ennusti täyttävänsä asetuksen vaatimukset 25.5.2018 mennessä, kun taas 84 % Yhdysvalloissa toimivista uskoi olevansa ”GDPR Compliant” määräpäivään mennessä.
Tietosuoja-asetuksen vaatimuksista korkeariskisimmiksi (mikäli vaatimuksia ei noudata) nähtiin henkilötietojen tietoturvaloukkauksesta ilmoittamiseen varautuminen, henkilötietoinventaari, artiklan 30 mukaisen selosteen ylläpito, suostumusten hallinta ja kansainväliset tiedonsiirrot. Kysymykseen siitä, miten näitä riskejä voidaan hallita tai pienentää, oli vastaus kautta linjan koulutus. Koulutuksen ja tietoisuuden lisäämisen ohella keinoina nähtiin esimerkiksi teknologiset ratkaisut sekä ulkopuolinen tuki.
Kuten moni meistä tietää, organisaation vaatimustenmukaisuutta on tosiasiassa haastavaa, jos ei mahdotonta, eksplisiittisesti varmentaa. Asetuksen vaatimukset vaativat tulkintaa, ja henkilötietojen suojamekanismien toteuttaminen edellyttää riskilähtöistä arviointia vaaditusta suojaustasosta. Vaatimusten kompleksisuudesta huolimatta, tietosuoja-asetus on loistava mahdollisuus kehittää liiketoimintaa. Tulevaisuudessa parhaiten menestyvät ne toimijat, jotka toteuttavat palvelunsa ja tuotteensa huomioiden tietosuoja-asiat oletusarvoisesti ja sisäänrakennetusti lunastaen täten asiakkaidensa luottamuksen. Vastaavasti tietovuodosta aiheutuva mainehaitta voi olla liiketoiminnalle pysäyttävä.
Tietosuojatyö, GDPR-kehityshankkeet eritoten, nähdään takkuavan muutamasta keskeisestä syystä. IAPP:n tutkimuksesta käy ilmi, että EU:ssa merkittävimmät kompastuskivet ovat:
 1. riittämätön budjetti (tietosuojaa ei ole huomioitu budjetoinnissa riittävästi tai pahimmassa tapauksessa lainkaan);
 2. lainsäädännön monimutkaisuus (kuten todettu, asetuksen vaatimukset vaativat tulkintaa); sekä
 3. jäljellä olevan ajan niukkuus (”liian vähän aikaa”).
Haasteet ovat linjassa niiden kysymysten kanssa, joita kohtaamme asiakkaillamme päivittäin. Mitä tulee ensimmäiseen kompastuskiveen, on budjetoinnissa otettava huomioon kehitystyön resurssit ja investoinnit vs. riski siitä, ettei yritys ole vaatimustenmukainen (esim. henkilöstön kuormittaminen tehottomien prosessien johdosta, puutteet rekisteröidyn oikeuksien totetuttamisessa, sanktiouhat) – toimitko mieluummin proaktiivisesti vai reaktiivisesti?
Lainsäädäntö voi olla monimutkaista, mutta tietosuojan perusperiaatteet ovat verrattain selkeät ja ovat läsnä jo nykylainsäädännössämme. On tärkeää pystyä hahmottamaan henkilötietojen käsittelyyn liittyvä kokonaisuus sekä tunnistaa keskeisimmät kehityskohteet; mitä meidän täytyy tehdä nyt (must-have) ja mitkä ovat pidemmän aikavälin kehitystoimenpiteitä (should-have) sekä kuinka näitä lähestytään riskiperusteisesti.
”Liian vähän aikaa” on paradoksaalinen väite ottaen huomioon, että asetus on tullut voimaan keväällä 2016 (ollen myös pitkälti samansuuntainen jo nykyisin voimassa olevan sääntelyn kanssa).
Seuraava kysymys kuuluu, miten voimme varmistaa tietosuojan riittävän tason toukokuuhun mennessä ja miten jatkamme siitä eteenpäin?
Yhtä oikeaa tietä kohti vaatimustenmukaisuutta ei ole, vaan tietosuojan kehitysprojekti tulisikin nähdä liiketoimintalähtöisenä muutosprojektina. Työ on alkanut monessa organisaatiossa joitakin kuukausia (valistuneimmilla jo vuosia) sitten, osalla työ on vasta aluillaan. Projektien yhdistävänä tekijänä on se, ettei mikään niistä pääty toukokuun 25. päivä. Tietosuoja on tullut jäädäkseen – kyseessä ei ole yhden vuoden tai yhden kevään ponnistus, vaan pysyvä ja jatkuvasti kehittyvä osa toimintaamme ja sen laatua.
Yhtä menestysreseptiä ei onnistuneeseen GDPR:n implementointiin ole, koska toimiala-, kokoluokka ja liiketoimintaprioriteetit asettavat reunaehtoja lähestymistapaan ja toteutukseen.
Työn onnistumisen elementit ovat kuitenkin vastaavia kuin minkä tahansa muutosprojektin; muutoksen vuorovaikutteinen ja suunnitelmallinen johtaminen, riittävä resursointi sekä ihmisten osallistaminen, motivointi ja viestintä.
 1. Investoinnin huomioiminen budjetissa ja resurssien varaaminen
  • tämä johdon sitoutuminen kehitystyöhön vaikuttaa välittömästi ja näkyvästi onnistumiseen
 2. Vastuiden määrittely, priorisointi ja roolien selkeyttäminen
  • miten työtä viedään tehokkaasti eteenpäin lyhyellä ja pitkällä tähtäimellä
 3. Tietosuojastrategian kohdistaminen linjaan liiketoimintastrategian kanssa
  • tässä lähestymisessä mahdollisuus saavuttaa merkittäviä liiketoimintaetuja
 4. Muutosviestintä
  • miten jalkautamme uudet toimintamallit, käytänteet ja ohjeet läpi organisaation mahdollisimman tehokkaasti, sekä
  • mitä olemassa olevia prosesseja voimme käyttää hyväksemme
 5. Jatkuva kehittäminen
  • miten varmistamme, että tietosuojatyö ei jää yksittäiseksi ponnistukseksi, vaan otamme sen osaksi liiketoimintamalliamme ja toimintatapojamme
  • tehokkaasti toteutettuna tuo myös strategista hyötyä
Tiivistettynä, meillä on 100 päivää aikaa saattaa organisaatiomme tietosuoja-asiat tietylle tasolle. Lyhyen tähtäimen ponnistuksen lisäksi meidän tulee kuitenkin nähdä tietosuoja strategisena valttikorttina – mitä pidemmällä tähtäimellä kehitämme tietosuojaamme, sitä luotettavampina kumppaneina, palveluntarjoajina ja työnantajina meidät tulevaisuudessa nähdään.
---
Kukaan ei kulje niin kauas ja nopeasti kuin ihminen, joka ei tiedä mihin hän on menossa. (H.W. Tillman)tiistai 31. lokakuuta 2017

KPMGTechGuru - koulutusohjelma
Haluatko työpaikan, jossa pääse kehittymään huippuosaajaksi alalla, jossa ei työttömyys uhkaa?

KPMG haluaa omalta osaltaan edistää nuorten työllistymistä ja tarjota mielenkiintoisia 
uramahdollisuuksia vastavalmistuneille tai opintojen loppuvaiheessa oleville tulevaisuuden lupauksille. Haemme nyt 10 tulevaisuuden lupausta KPMGTechGuru–ohjelmaan. Tämä ohjelma kattaa meillä Cyber security, Identiteetinhallinta ja IT Neuvontapalvelu – liiketoiminta-alueet.

KPMG on maailmanlaajuisesti kyberturvallisuuden ja IAM konsultoinnin markkinajohtaja. Suomessa meillä on markkinan kokoon nähden poikkeuksellisen suuri tiimi ja pystymmekin tukemaan myös ulkomaan kollegoitamme mielenkiintoisissa asiakasprojekteissa. Asiakkaina meillä on lukuisia maailman johtavia yrityksiä eri toimialoilta. Osaamisestasi ja kiinnostuksestasi riippuen saatat työskennellä suomalaisten suuryritysten, valtionhallinnon organisaatioiden sekä yrittäjävetoisten PK-yritysten kanssa tai saatat pyöriä ympäri maailmaa globaalien asiakkaidemme toimeksiannoissa.

Tässä blogissa suomalaiset asiantuntijamme ovat vuosien saatossa käyneet läpi ajankohtaisia aiheita ja kirjoittaneet työtämme ja asiakkaitamme koskettavista aiheista. Lukemalla tätä blogia saat hyvää käsitystä siitä, millaista osaamista miellä on ja minkä aiheiden ympärillä tekemisemme muun muassa pyörii.

Mitä tarjoamme?
   6kk määräaikaisen työsopimuksen ja mahdollisuuden pysyvään työsuhteeseen
   Kattavan koulutusohjelman arvoltaan noin 10.000 €, sisältäen muun muassa:
   Tietoturvasertifiointikoulutuksia ja ammattitutkintoja sekä tuotekoulutuksia
   Identiteetinhallinnan tuote- ja metodologiakoulutuksia
   IT projektihallinnan, arkkitehtuurin sekä esimerkiksi toiminnanohjausjärjestelmien ja teknologiakumppanuuksiemme koulutuksia
   Loistavan työyhteisön ja yhteishengen
   Mielenkiintoiset projektit ja asiakkaat sekä suomessa että globaalisti


Mahdollisuuden päästä osaksi:
   mailman johtavaa, globaalia Cyberturvallisuuden asiantuntijatiimiä (Lähde: Forrester Research Inc. report, The Forrester Wave™: Information Security Consulting Services 2017)
   CIO Advisory alueen konsultointitiimiä, jonka IDC on tunnistanut johtajaksi “Digital Transformation Consulting and Systems Integration Services” -alueella.
   yhtä KPMG:n suurinta ja osaavinta Digitaalisen Identiteetinhallinnan tiimiä.

Laita siis hakemus sisään ja tule osaksi voittajatiimiä!
https://home.kpmg.com/fi/fi/home/tyopaikat/KPMG-Tech-Guru.html

torstai 5. lokakuuta 2017

EU:n yleinen tietosuoja-asetus ja integraatiot

Yritykset ovat viimeisen vuoden aikana heränneet EU:n yleiseen tietosuoja-asetukseen, jonka vaatimustenmukaisuuden siirtymäaika päättyy 25.5.2018. Tällöin yritysten henkilötietojen käsittely tulee olla linjassa tietosuoja-asetuksen vaatimusten kanssa. Yritykset ovat lähteneet täyttämään tietosuoja-asetuksen velvoitteita kartoittamalla henkilörekistereitään, rekistereiden käyttöoikeuksia ja käyttötarpeita sekä päivittämällä rekisteriselosteita. Samalla osa yrityksistä on havahtunut tosiasiaan, että henkilötietoja ei pelkästään käsitellä tietojärjestelmissä vaan henkilötietoa myös välitetään integraatiossa niin yrityksen sisällä kuin yritysten välillä.

Viimeistään tässä vaiheessa integraatioarkkitehtien tulisi kiinnostua tietosuoja-asetuksesta. Mikäli yritys on kuvannut tietojenkäsittely-ympäristönsä, tulisi yrityksellä olla kuvaus niin loogisista kuin fyysistä tietovarannoista, joista henkilötietoa löytyy. Mikäli yrityksen integraatioarkkitehtuurikuvaukset ovat tietoarkkitehtuurin lisäksi kunnossa, ei henkilötietoa sisältävien integraatioiden kartoitus ole yleensä kovinkaan iso työ.

Kun henkilötietoa sisältävät integraatiot on tunnistettu, tulee integraatiot luokitella niissä välitettävien henkilötietojen perusteella. Luokitteluun vaikuttavat muun muassa välitettävien henkilötietojen arkaluonteisuus (esim. potilastieto on arkaluonteisempaa kuin henkilöiden yhteystiedot), määrä sekä käyttötarkoitus eli esimerkiksi välitetäänkö henkilötietoa yrityksen sisällä vai yhteistyökumppaneille. Luokittelu kannattaa tehdä riskilähtöisesti, sillä tietosuoja-asetus vaatii henkilötietojen käsittelyn olevan ennakoivaa, päätökset henkilötietojen suojaukseen tulee perustua tunnistettuihin riskeihin sekä tehdyt päätökset ja niiden perusteella tehdyt toimenpiteet pitää pystyä osoittamaan.

Riskianalyysi kannattaa ottaa osaksi niitä integraatioprojekteja, joissa käsitellään henkilötietoja. Esimerkiksi, jos integraatioprojektissa toteutetaan uusia integraatioita, joissa henkilötietoa yhdistellään uudella tavalla, saattaa henkilötietojen käyttötarkoitus muuttua siten, että rekisteriseloste on päivitettävä ja rekisteröidyiltä (eli henkilörekisterissä olevilta henkilöiltä) on kysyttävä lupa käyttää henkilötietoa uudella tavalla. Kun integraatioarkkitehtuurissa on kuvattu henkilötietoa sisältävät tietovirrat, on edellä mainittu tilanne helpompi tunnistaa integraatioprojekteissa.

Lisäksi tietosuoja-asetus lähtee siitä oletuksesta, että henkilötiedolla on elinkaari, joka pohjautuu henkilötiedon käsittelytarpeeseen. Vaikkei henkilötietoa yleensä säilytetä integraatiokerroksessa, on kuitenkin muistettava tarkastaa, miten henkilötietoja säilytetään ja millaisilla pääsyoikeuksilla mahdollisissa integraatiokerroksen virhejonoissa ja arkistointihakemistoissa. Samalla voidaan tarkistaa, ettei esimerkiksi henkilötietoja sisältäviä siirtotiedostoja ”jää lojumaan” siirtohakemistoihin. On hyvä muistaa, että mikäli pääkäyttäjä näkee virhejonossa olevien sanomien sisältämiä henkilötietoja, tulee pääkäyttäjän käsitellä niitä tietosuojalainsäädännön mukaisesti. Yleinen ratkaisu on salata sanomien sisältämät henkilötiedot siten, että pääkäyttäjä pystyy tekemään virheselvittelyä, muttei näe sanoman sisältämiä henkilötietoja.

Integraatiot ulkopuolisten toimijoiden ja kumppaneiden kanssa

Kun henkilötietoa välitetään yrityksen ulkopuolelle, esimerkiksi yhteistyökumppanin pilvipalveluun, korostuu yksityisyyden varmistava henkilötietojen käsittely entisestään. Katsotaan tätä esimerkin kautta – oletetaan että Yritys Oy lähettää henkilötietoa yhteistyökumppanille. Yritys Oy on tässä tapauksessa rekisterinpitäjä, joka on vastuussa henkilötiedosta. Yhteistyökumppani, joka voi olla vaikkapa palkanlaskennan suorittava kumppani, on henkilötietojen käsittelijä. Tämä yhteistyö on otettava huomioon kumppanuushallinnassa eli yhteistyösopimuksissa tulee määrittää henkilötietoihin ja niiden käsittelyyn liittyvät vastuut ja velvollisuudet.

Ennen yhteistyösopimuksen allekirjoittamista on syytä tarkistaa integraatioiden vaatimustenmukaisuus eli tarkastetaan että yrityksen ja yhteistyökumppanin tietoturva- ja tietosuojakontrollit ovat yhteneväiset ja riittävällä tasolla. Tämä otetaan yleensä yhteistyösopimuksessa huomioon sopimuksen liitteenä olevilla tietoturva- ja tietosuojavaatimuksina. Vaatimusten lisäksi on syytä toimittaa tiedonkäsittelyohjeet, joissa otetaan kantaa esimerkiksi henkilötiedon säilytysaikoihin. Lisäksi yhteystyöhön liittyvät henkilötietointegraatiot on kuvattava osana integraatioarkkitehtuuria. Tehty dokumentaatio täyttää osaltaan tietosuoja-asetuksen dokumentaatiovaatimuksia ja osoittamisvelvoitetta.

Mikäli yritys toimii EU/ETA-alueella, tietosuoja-asetus helpottaa asioita, koska henkilötietojen käsittely tulisi olla samanlaista kaikissa EU/ETA-alueen maissa. Valitettavasti jokaisella maalla on omia maakohtaisia erityispiirteitä, joten kohdemaan (juridiset) erityispiirteet kannattaa tarkistaa.

Henkilötietojen välitys integraatioissa edellyttää havainnointikykyä

Henkilötietointegraatioissa on varmistettava tietoturvan kolme peruspilaria - luottamuksellisuus, eheys ja saatavuus. Mitä nämä tarkoittavat integraatioiden näkökulmasta? Otetaan esimerkiksi perinteiset flat file -tiedostosiirrot. Luottamuksellisuus tarkoittaa, ettei siirtotiedostoihin ja niiden sisältöön pääse käsiksi kuin ne henkilöt, joiden tehtäviensä puolesta käsittelevät siirtotiedostojen sisältämiä henkilötietoja.  Eheys tarkoittaa, ettei siirtotiedostojen sisältöä pääse muuttamaan oikeudetta. Saatavuus kattaa esimerkiksi pääsyoikeudet henkilötietointegraatioiden siirtohakemistoihin.

Jäljitettävyys liittyy keskeisesti havainnointikykyyn. Sen vuoksi on tärkeää kiinnittää huomiota integraatiokerroksessa tapahtuvaan lokitukseen ja henkilötiedon audit trail -tietoon. Mikäli pääkäyttäjä käsittelee esimerkiksi aiemmin mainitussa virheenselvittelytilanteessa henkilötietoa sisältävää sanomaa, on siitä jäätävä jälki lokitietoihin – etenkin mikäli henkilötietoja ei ole salattu sanomassa. Audit trail pitää pystyä osoittamaan niin tietoliikenteen kuin tiedonkäsittelyn osalta. Keskitetty lokienhallinta vastaa moneen tietosuoja-asetuksen vaatimukseen.

Muistilista integraatioarkkitehdille:
 1. Tunnista missä ja mitä henkilötietoa on olemassa
 2. Kuvaa henkilötietointegraatiot integraatioarkkitehtuurissa
 3. Luokittele henkilötietointegraatiot ja kuvaa käsittelytarve
 4. Tarkista ja päivitä sopimukset
 5. Kuvaa henkilötiedon elinkaari
 6. Rakenna tekniset kontrollit henkilötiedon suojaamiseen ja valvontaan
Pasi Vänttinen

KPMG Oy Ab

Kirjoittaja toimii kokonais- ja integraatioarkkitehtinä KPMG:n kyberturvallisuusyksikössä.

keskiviikko 28. kesäkuuta 2017

GDPR - Webinaari 19.7 - käytännön kokemuksia ja näkemyksiä maailmalta
Kollegamme Lontoosta pitävät alla olevan webinaarin, jossa käsitellään GDPRään liittyviä käytännön asioita, kuten: Mitä on realistista yrittää saavuttaa ja mitä on muualla havaittu toimiviksi käytännöiksi. Lisäksi jaetaan käytännön vinkkejä GDPR-hankkeen läpiviemiseksi


GDPR Webinar - Get Data Protection Ready – make the most of every € you invest

Wednesday 19 July 12pm - 1pm (BST)

Does your company hold people’s personal information? The EU’s General Data Protection Regulation (GDPR) is rapidly coming down the track – and will be the biggest overhaul in data protection rules for over 20 years.

We know that meeting the deadline will be tough and a few companies might not get there. Join our webinar on Wednesday 19 July at 12pm BST to find out:

• what is achievable
• what has worked well elsewhere
• practical advice on how to work through your own GDPR programme.

GDPR should not be seen just as an exercise in compliance, ticking boxes and trying to do the bare minimum. It is an opportunity for organisations to rethink their whole approach to data and privacy. Embraced effectively, it’s a way to gain a clear competitive advantage, with better management of risk, improved efficiency and the generation of insights you can build on.

Ahead of our webinar, download our guide to the five steps your organisation needs to take in order to get GDPR ready.

If you have any questions, please do 
contact us.


http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/945511be-b380-4936-9a3f-d68370ae61ee-HRD4u8s4lGNxLcq90VnlKV6sH2h9h8FWwCyFNQK4rA=

Event Information

Wednesday 19 July, 2017
12pm - 1pm (BST) 

I will be attending


http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/b668c445-6c6f-42f8-b431-cfea3abc8807-TW3BHin30jhHgKhIRbbdepBU4uFPxzs3Coy67HfE0=
http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/b10c52b6-65ef-4207-b500-b180a1a03c22-4yvgd5VU6Hz1ak3InowFMGUg0gRoW0ziWzeIvUPj0=

Martin Tyley
Partner
KPMG in the UK
E: 
martin.tyley@kpmg.co.uk

Martin leads KPMG’s UK regional Cyber Security practice. Martin’s career began in banking before moving to KPMG where, from his Manchester base, Martin leads and supports work across the public and private sector. This includes discovery and testing work, remediation of cyber or privacy issues, through to running services such as certification on an ongoing basis for clients. Martin and his teams will work across over 20 countries during 2017, half of which are in the European Union.
Mark Thompson
Global Privacy Lead
KPMG in the UK
E: 
mark.thompson@kpmg.co.uk

Mark is the global lead for KPMG’s Privacy Advisory practice and has deep experience in delivering global privacy compliance programmes across the world. During his career, Mark has led support projects for some of the world’s largest organisations across multiple industries. He has helped many clients develop their global privacy strategies – and to design, develop, and implement robust and pragmatic privacy improvement programs.