Ads 468x60px

keskiviikko 11. syyskuuta 2013

Tietovuotojen asianmukainen hoito säästää rahaa ja julkisuuskuvaa

EU:n tulevassa tietosuoja-asetuksessa tullaan asettamaan rekisterinpitäjille yleinen velvoite raportoida henkilötietoihin kohdistuneista tietovuodoista valvontaviranomaisille, ja jos tietovuodosta on oletettavissa suoraa haittaa rekisteröidyille (esim. henkilötietoja on päätynyt salaamattomana asiattomien haltuun), myös heitä on tiedotettava tapahtuneesta ja ohjeistettava koskien vahinkojen minimointia. Velvoitteen soveltamisalasta käydään vielä kädenvääntöä, mutta se koskenee aikanaan ainakin kaikkia suuria ja keskisuuria yrityksiä, joiden liiketoiminnassa henkilötiedoilla on merkitystä resurssina.

Tietovuotoilmoituksen (”Data Breach Notification”) vaatima sisältö ja vaaditut toimenpiteet ovat vielä lainsäätäjän pohdittavana, mutta osviittaa saa jo nyt Tietosuoja-asetuksen valmisteludokumenteista sekä juuri voimaan astuneesta EU-asetuksesta, joka koskee Sähköisen viestinnän tietosuojadirektiivin mukaisten henkilötietojen tietoturvaloukkausten ilmoittamiseen sovellettavia toimenpiteitä (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:en:PDF).
Käytännössä säädetään mm. siitä, miten teleyrityksen tai yhteisötilaajan tulee toimia, jos sähköiseen viestintään tai siihen liittyviin tunnistamistietoihin on kohdistunut tietoturvaloukkaus.

Myös lainmukaisesti toimivan muun rekisterinpitäjän on jatkossa suunniteltava toimintatapa tietovuotoilmoitusten tekoa varten, ”ready-to-go” käytettäväksi. Tehokas prosessi säästää rahaa ja rajoittaa kielteistä julkisuutta, jonka seuraukset voivat pahimmassa tapauksessa olla kohtalokkaat. Siinä missä itse tieto, myös ajan mittaan rakennettu ja saavutettu brandi ja maine ovat yrityksen avainomaisuutta ja vaativat täten asiaankuuluvaa hallintaa, varautumista (kuten ennalta määriteltyjä toimintaprosesseja ja henkilöresursointia) sekä suojelua. Viestinnän roolia maineriskin hallinnassa ei sovi unohtaa: oikea-aikainen (viivyttelemätön) ja rehellinen, faktuaalinen ja informatiivinen kriisiviestintä ammattimaisesti hoidettuna on ensiarvoista asiakasuskollisuuden ja kuluttajaluottamuksen säilyttämisen kannalta.

Yritysten muuttuva IT- ja tietohallintokulttuuri (mm. työntekijöiden henkilökohtaisten välineiden käyttö työnteossa (BYOD), työn mobiili luonne sekä etätyön lisääntyminen) alleviivaa myös omalta osaltaan tietovuotojen ja -varkausten ehkäisyn ja tehokkaan hallinnan merkitystä.

Toimintatavan suunnittelu nojaa omien prosessien ja tietovarantojen tuntemukseen, olivat nämä sitten strukturoitua tai strukturoimatonta dataa. Suunnitelmallisuus, riskien arviointi, tiedon luokittelu ja siihen kytkeytyvä käyttöoikeuksien oikeellisuus, muut tietoturvatoimenpiteet, huolellisuus rekisterinpidossa sekä avoimuus ilmoituksen tekemisessä ovat tekijöitä, jotka vaikuttavat viranomaisarvioon ja mahdollisiin seuraamuksiin. Lainsäätäjän on toki onnistuttava tehtävässään siten, ettei säännös kannusta rekisterinpitäjiä kaikin toimin salaamaan tietovuodon sattumista.

Henkilötietojen merkityksen kasvu kriittisenä resurssina, alati lisääntyvät tietovuodot (40% globaali lisäys verrattuna vuoteen 2011, ks. KPMG Data Loss Barometer 2012-julkaisu http://www.kpmg.com/uk/en/services/advisory/risk-consulting/pages/data-loss-barometer-2012.aspx), julkisuuden paine sekä kaavailtujen maksimisakkojen suuruus pitävät huolen siitä, että tämä aihe tulee olemaan kuuma peruna myös Suomessa tulevina vuosina. Toimintatapojen suunnittelulla on kiire - yhteisötilaajia velvoite sitoo jo tänä päivänä!

Mikko Viemerö ja Petteri Leiviskä

Ei kommentteja:

Lähetä kommentti