Blogi: Tietosuoja-asetuksen uudistus puhuttaa ja pelottaa - mistä lääkkeet tulevaan?

Tagit: Tietohallinto, Pilvipalvelut / SaaS, Tietoturva, Julkishallinto, konesalipalvelut

post_image

Mitkä ovat EU:n tietosuoja-asetuksen vaikutukset yrityksemme liiketoiminnalle ja IT:lle? Mitä uudet sanktioriskit voivat tarkoittaa meille? Mitä tietoturvaloukkausten ilmoitusvelvollisuus käytännössä muuttaa? Miten ulkoisten tiedonkäsittelijöiden, vaikkapa pilvipalvelutarjoajien, sopimustenhallinta tulisi toteuttaa?

Näihin kysymyksiin haettiin vastauksia DataCenterin yhdessä IT Governance Partnersin kanssa isännöimässä Tietosuoja-asetus uudistuu – mikä muuttuu tietohallinnon johtamisessa? -aamiaisseminaarissa 17.5.2016. Paikalle kerääntyi lähes 60 tietosuojasta kiinnostunutta tietohallinnon ja liiketoiminnan päättäjää.


Kuvasimme tapahtuman puheenvuorot videolle - tässä lyhyt teaser päivän annista:
Katso täältä>


Mordor, Snowden vai mahdollisuus?


Dottir Oy:n lakimies Jaakko Lindgren avasi päivän. Hän hälvensi kuulijoille tietosuoja-asetukseen liittyviä ennakkoluuloja, kertoi sanktioista sekä uusista vaatimuksista mm. tietosuojan valvonnan sekä dokumentaation suhteen.

EU:n uusi tietosuoja-asetus tullaan hyväksymään vielä tämän kevään aikana. Siirtymäajan jälkeen asetus astuu voimaan toukokuussa 2018. Lindgren korosti, että uusien velvoitteiden noudattamiseksi muutokset on hyvä ottaa haltuun jo nyt. Hän myös muistutti, että asetuksen vaikutukset kullekin toimialalle ovat vielä hämärän peitossa. Tärkeintä on pysyä hereillä ja tarkkailla todellisia vaikutuksia.

Lindgrenin mukaan suomalaisten päättäjien tulisi nähdä tietosuoja-asetus mahdollisuutena taistelussa kansainvälisiä kilpailijoita vastaan.

Yksi asia on varma: tietosuoja-asetus tulee teettämään paljon lisää töitä tietosuojasta vastaaville ammattilaisille.


Katso Jaakko Lindgrenin puheenvuoro kokonaisuudessaan täältä:


Tiedätkö edes, mitä tietoa keräätte?


Seuraavaksi kuulijoiden eteen asteli KPMG:n tietoturva-asiantuntija Mirva Peltola. Hän listasi viisi tärkeintä vinkkiä asiakastiedon suojaamiseen.

Peltola nosti esiin yhden suuren haasteen: yritykset eivät tällä hetkellä kovin hyvin tiedä, mitä kaikkea tietoa niiltä löytyy, missä ja miten sitä säilytetään, käsitellään ja ylläpidetään tai kuka siitä vastaa.

Esimerkiksi markkinointiosastoilta löytyy runsaasti villiä dataa, jonka laadusta tai säilytyskäytännöistä ei voida sanoa mitään varmaa. Toinen tähän liittyvä haaste ovat erilaset myynnin ja markkinoinnin käyttämät järjestelmät, joissa asiakastietoja käsitellään, mahdollisesti yhteistyökumppaneiden avustuksella. Kenellä on oikeus käsitellä dataa? Missä data ja sen kopiot säilytetään?

Lisäksi Peltola muistutti erilaisten mobiililaitteiden ja -applikaatioiden olevan tietosuojan kannalta merkittävä tekijä. Suurin osa tietosuojaloukkauksista tapahtuu edelleen käyttäjien huolimattomuuden, välinpitämättömyyden tai inhimillisten virheiden seurauksena.


Miten pilvipalveluiden ostaminen muuttuu?



DataCenter Finlandin tietoturvapäällikkö Carita Gummerus käsitteli omassa puheenvuorossaan pilvipalveluiden ostamisen lainalaisuuksia uudistuvan tietosuojalainsäädännön valossa. Gummerus tiivisti sanomansa kolmeen pääkohtaan:



Tiedosta muutokset. Miten tuleva asetus vaikuttaa yrityksesi toimintaan ja palveluihin?

Suunnittele toimenpiteet. Miten valmistaudut siihen, että olet siirtymäajan päättyessä kuivilla - jopa askeleen edellä?

Valitse kumppanit. Kaksi vuotta on lyhyt aika, ja siksi työ pitää aloittaa nyt varmistamalla, että on liikkeellä oikeiden kumppaneiden kanssa.



Julkaisemme myöhemmin Caritan esityksen pohjalta kirjoittaman blogitekstin - löydät sen lähiaikoina blogistamme.



Potilastietojen tietoturva monitoimijaympäristössä



Viimeisenä kuultiin esimerkki elävästä elämästä, kun Vitec Softwaren teknisen ympäristön päällikkö Marko Hämäläinen avasi potilastietojen tietoturva-asioita.

Hämäläinen korosti, että monitoimijaympäristössä, kuten suurissa potilastietojärjestelmissä, erilaiset integraatiot lukuisiin ulkopuolisiin järjestelmiin muodostavat merkittävän haasteen tietosuojalle. Vaikka pääjärjestelmän tietosuoja olisi kunnossa ja sen sertifioinnit, auditoinnit sekä dokumentaatio ajan tasalla, miten voidaan varmistua siitä, että kolmannen osapuolen sovellukset ovat samalla tasolla? Haaste on merkittävä erityisesti siksi, että kyseessä on arkaluontoinen henkilöä ja hänen terveyttään koskeva potilasdata.

Lopuksi Hämäläinen komppasi aikaisempia puhujia muistuttamalla, että siirtymäajasta huolimatta toimeen pitää ryhtyä heti - ja se aiheuttaa aikataulupaineita alan palveluntarjoajien suuntaan. Konkreettisena esimerkkinä hän mainitsi nyt tehtävän järjestelmähankinnan, jossa sopimuskausi on esimerkiksi viisi vuotta. Miten palveluntarjoajat voivat vakuuttaa asiakkaansa jo nyt siitä, että toukokuussa 2018 järjestelmät ja prosessit ovat varmasti tietosuoja-asetuksen mukaisia?



Lataa koko tilaisuuden esitysmateriaalit täältä:



Lämmin kiitos mielenkiinnosta kaikille paikalla olleille - jatketaan keskustelua!
Aino von Bonin, DataCenter Finland

Pinterest

Muita julkaisuja DataCenter Finland Oy:lta