GDPR – vielä ehdit laittaa yrityksesi tietosuojan kuntoon

GDPR, uusi tietosuoja-asetus, on pyörinyt otsikoissa, seminaareissa ja asianajajien ja yrityspäättäjien mielissä jo pidemmän aikaa. Nyt kun asetuksen siirtymäaika on loppumassa ja täytäntöönpanoon on enää alle 90 päivää, moni yritys on jo julkaissut blogitekstejä ja vinkkejä siitä, miten heillä on tietosuoja-asiat hoidettu. Edelleen kuitenkin monella yrityksellä on koko tietosuoja-asetukseen valmistautuminen aloittamatta tai ainakin pahasti kesken.

TIVIAn jäsenyhdistys ICT Leaders Finland ry järjesti 28.2.2018 seminaarin otsikolla ”GDPR ja muu uusi datasäätely – tee edes nämä”. Seminaari järjestettiin asianajotoimisto Hannes Snellmanin tiloissa ja siellä kuultiin niin isäntäorganisaation kuin KPMG:n ja yleisön ajatuksia ja kysymyksiä tietosuojasta.

Erkko Korhonen Hannes Snellmanilta listasi aiheita, jotka hän on huomannut olevan hankalimpia tietosuoja-asetuksen täytäntöönpanossa asiakasyrityksissä. Näihin aiheisiin kuuluivat mm. se kuinka määritellään, milloin tietosuojaloukkaus on aiheuttanut korkean riskin ja asiasta pitää ilmoittaa myös asianomaisille ja milloin riski on matala ja ilmoitus viranomaisille riittää. Tietosuoja-asetuksesta ei löydy tarkkaa ohjetta ja sellaista on hankala myöskään antaa, koska asiat on tulkittava aina tilannekohtaisesti. Huomioon on otettava voivatko vuodetut tiedot aiheuttaa yhdisteltynä esimerkiksi identiteettivarkauksien vaaran tai ovatko vuodetut tiedot jo sellaisenaan arkaluontoisia, esimerkiksi terveystietoja sisältäviä ja siksi korkean riskin aiheuttavia.

Tietosuoja-asetuksen tulkinnassa on usein törmätty myös ylilyönteihin ja väärinymmärryksiin, joita alaan vihkiytymättömän on hankala erottaa oikeasta tulkinnasta. Korhonen muistutti myös, että vaikka esimerkiksi hyviä data mappingia helpottavia työkaluja ja ohjelmistoja on ilmestynyt markkinoille, ei ole olemassa mitään ”one button wonderia”, joka laittaisi koko yrityksen datan kuntoon yhdellä napin painalluksella. Tietosuoja-asetuksen noudattaminen vaatii aina riskien arviointia ja oman liiketoimintansa tuntemista.

KPMG:n Timo Laakso havainnollisti omassa puheenvuorossaan, että tietoturvallisuus ei ole binääri ”joko tai” -ilmiö vaan enemmänkin jana, jonka eri kohdissa on enemmän tai vähemmän tietoturvaa. Laakso antoi esimerkin siitä, miten ainoa täysin tietoturvallinen henkilörekisteri on sellainen, joka on lukittu kassakaappiin ja heitetty merenpohjaan. Tällöin kuitenkin törmätään tiedon saatavuusongelmaan. Jokaisen yrityksen on löydettävä omalle toiminnalleen riittävän turvallinen järjestelmä. Laakso kertoi puheenvuoronsa lopussa myös siitä, että vanhaan malliin, jossa tietoturvaongelmat pyrittiin kokonaan estämään, ei voida turvautua. On varauduttava siihen, että ongelmia tulee ja panostettava niiden havaitsemiseen, tehtävä suunnitelma siitä miten ongelmiin tulisi reagoida mahdollisimman nopeasti sekä miten toimintaa voisi kohdattujen ongelmien pohjalta kehittää.

Seminaarin lopun paneelikeskusteluun osallistuivat panelisteina Laakson ja Korhosen lisäksi myös Hannes Snellmanin Jesper Nevalainen ja Outi Jousi. Panelisteille esitetty yleisökysymys ”Mitkä kolme asiaa nyt kannattaa tehdä, jos ei ole vielä edes aloittanut tietosuoja-asetukseen valmistautumista?” kiteytti illan annin ja antoi vastauksen myös seminaarin otsikkoon ” GDPR ja muu uusi datasäätely – tee edes nämä”. Panelistien vastauksen mukaan tärkeintä olisi aloittaa ja kartoittaa oma datatilanteensa. Sen jälkeen luoda prosessit ja dokumentaatio osoitusvelvollisuuden täyttämiseksi sekä lopuksi luoda organisaatioon henki ja ajatus pysyvästä muutoksesta. Tärkeintä on pystyä osoittamaan, että toimenpiteisiin tietosuojan eteen on ryhdytty vakavissaan.

ICT Leaders Finland ja TIVIA kiittävät Hannes Snellmania illan isännöinnistä ja onnistuneesta seminaarista etäyhteyksineen. Etäyhteyden kautta seminaarin sisältö saatiin jaettua myös TIVIAn muille jäsenyhdistyksille valtakunnallisesti.

Jaa tämä kirjoitus

Tunnisteet

Kategoriat

Arkistoi