Tietoturva ajan tasalle

Tietoturva ajan tasalle.

Viestintäviraston Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki, kuinka toukokuussa 2018 voimaantulevaan EU:n tietosuoja-asetukseen tulee varautua?

Ensimmäinen askel on hahmottaa kokonaiskuva henkilötietojen käsittelyn nykytilasta. Tämä voi tapahtua kuvaamalla, mitä henkilötietovarantoja organisaation hallussa on, miten tietosuojaperiaatteet on huomioitu ja miten tietoturvasta on huolehdittu. Oleellisia ovat toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet sekä se, miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu. Kun nykytila on kartoitettu, tulisi selvittää, mitä muutoksia tietosuoja-asetuksen sääntely edellyttää organisaation henkilötietojen käsittelyyn ja toimintaan. Toimenpiteiden laatu ja laajuus riippuvat organisaation käsittelemistä henkilötiedoista, käsittelyyn kohdistuvasta riskistä ja nykyisistä käytännöistä. Erityisesti johdon on oltava tietoinen muutoksista sekä niiden vaikutuksesta organisaationsa eri toimintoihin.

Mikä on yritysten suurin haaste tietoturvan saattamisessa EU-asetuksen tasolle?

Riittävän tietoturvan tason ja riittävien toimenpiteiden tunnistaminen on erittäin haastavaa, sillä tulkintoja niistä on yhtä monta kuin tulkitsijoitakin. Tietoturvan järjestämisessä pitää osata nähdä metsä puilta ja ymmärtää, mitä on järkevää tehdä ja mihin kannattaa keskittyä. Kriittistä ei ole tunnistaa viimeisen levyn kulmalla olevaa yksittäistä henkilötietoa vaan keskittyä keskeisiin ja vaikuttaviin asioihin.

Entä alihankintaverkot, kuka vastaa niiden tietosuojasta?

Vastuuta tietosuojasta ei voi ulkoistaa; henkilötietojen rekisterinpitäjä on vastuussa toiminnassaan käsiteltävien tietojen suojauksesta. Yrityksen on huolehdittava siitä, että sama korkea turvallisuuden taso ja samat toimintaperiaatteet, joita omassa toiminnassa noudatetaan, ulottuvat koko alihankintaketjuun.

Onko uusi asetus pelkkä työläs velvoite?

Ei, vaan ennemminkin hyvä tarkastelun paikka oman liiketoiminnan turvallisuuden tasosta. Digitalisaatio perustuu pitkässä juoksussa siihen, että ihmiset oppivat luottamaan yrityksen toimintaan ja palveluihin. Mitä merkittävämmästä palvelusta on kyse, sitä suurempi tulee luottamuksen olla. Yritykset, jotka saavat perusturvallisuuden tason riittävän korkeaksi ja pystyvät tekemään siitä näkyvää, tulevat menestymään.

 

Lue myös