EU:n tietosuoja-asetuksen ympärillä käytyä keskustelua on viime kuukausina leimannut vahvasti miljoonasakoilla ja lukuisilla vaatimuksilla pelottelu. Blogosfäärissä kukoistavat tärkeimpien toimenpiteiden TOP10 -muistilistat.

Riskienhallintaan erikoistuneen Graniten Teppo Kattilakoski pitää keskustelua tarpeellisena, mutta hänen omalla listallaan on vain yksi kohta: Tee PIA (Privacy Impact Assessment) eli tietosuojan vaikutusarviointi yrityksesi tärkeimmästä järjestelmästä.

– On ihan järkevää tehdä taustaselvityksiä, esimerkiksi missä kaikissa yrityksen järjestelmissä henkilötietoja käsitellään, se on selvää. Meidän näkökulmastamme GDPR on kuitenkin osa riskienhallintaa, jonka lähtökohtana on priorisointi. Ennen kuin teet mitään muuta asetukseen liittyvää, suosittelen tekemään vaikutusarvioinnin ainakin siitä tärkeimmästä järjestelmästä.

– Näin olemme myös itse lähestyneet aihetta. Graniten kohdalla arviointi on aloitettu tuottamastamme riskienhallinnan pilvialustasta, sillä se on liiketoimintamme kannalta kriittisin järjestelmä.

”Ennen kuin teet mitään muuta GDPR:ään liittyvää, tee vaikutusarviointi ainakin yrityksen tärkeimmästä järjestelmästä.”

 

Mistä lähteä liikkeelle?

Kattilakoski kehottaa tarkastelemaan rauhassa yrityksen käytössä olevia järjestelmiä, sillä prioriteetit riippuvat toimintamalleista: Toisille tärkein järjestelmä voi olla oma tuote, toisille taas taustajärjestelmä, jossa on paljon henkilötietoja tai jonka käyttäjien tai integraatioiden määrä on erittäin suuri.

Jos toiminta perustuu tietyn järjestelmän tai pilvipalvelun myyntiin ja kehittämiseen, kannattaa lähteä liikkeelle sen tarkastelusta. Juuri näiden järjestelmien tilanteen perään myös asiakkaat tulevat kyselemään.

– Ei asiakkaita välttämättä kiinnosta, kuinka yrityksen omat henkilötiedot on suojattu, vaan ensimmäisenä on mielessä asiakastiedon käsittely. Kannattaa katsoa sitä, mistä yhtiön pääasiallinen tulovirta muodostuu, Kattilakoski summaa.

”Harvalla kaikki GDPR:n vaatimukset toteutuvat täydellisesti, joten jokaiselle yritykselle on varmasti luvassa toimenpiteitä.”

Arvioinnin perusajatuksena on mitata kuinka hyvin järjestelmä toteuttaa GDPR:n asettamia vaatimuksia. Prosessin aikana tunnistetaan myös tietosuojariskejä ja määritellään niille sopivat toimenpiteet. Tietosuoja-asetukseen sisältyvä osoitusvelvollisuus edellyttää, että yritysten on kyettävä todistamaan mitä konkreettisia toimenpiteitä henkilötietojen suojaamiseksi on tehty.

– Harvalla kaikki vaatimukset toteutuvat täydellisesti, joten jokaiselle yritykselle on varmasti luvassa toimenpiteitä. Onneksi ne ovat varsin selviä ja johdettavissa suoraan vaatimuksista, Kattilakoski kertoo.

Yksi tapa arviointiin on käydä tietosuoja-asetus läpi kohta kohdalta ja arvioida sen perusteella, kuinka hyvin oma järjestelmä toteuttaa vaatimukset. Moni kaihtaa ajatusta artiklojen kahlaamisesta, mutta Kattilakoski rauhoittelee:

– GDPR on ihmisten kirjoittamaa, suhteellisen selkeää lakitekstiä, eli periaatteessa kenen tahansa meistä perehdyttävissä. Kun olennaiset puutteet on sen pohjalta tunnistettu, tehdään niihin liittyvä riskiarvio eli ennakoidaan mitä muita riskejä puutteista voi aiheutua kuin lainsäädäntöä vastaan toimiminen.

– Vaikutusarvioinnin kautta kehittyy myös kokonaiskuva siitä, millainen GDPR oikeastaan on, sillä PIA:n kautta asetus tulee käytyä tarkkaan läpi.

Lopulta muodostuu käsitys siitä, kuinka valittu järjestelmä suhtautuu asetukseen. Samalla saadaan ymmärrystä siitä, miten vaatimukset mahdollisesti toteutuvat yrityksen muissa järjestelmissä.

– Ongelma artiklojen kahlaamisessa on siihen kuluva työaika. Onneksi apua on saatavilla asiantuntijoilta ja valmiita työkalujakin PIA:n tekemiseksi löytyy. Parhaimmillaan PIA on tehty muutamassa tunnissa.

”GDPR:n vuoksi ei kannata menettää yöuniaan kuukausiksi, jos asiat on hoidettu suurin piirtein järkevästi.”

– Lopputulos voi olla joko tuska tai helpotus, mutta kun ongelmakohdat on tunnistettu, niihin voidaan miettiä sopivat toimenpiteet, resurssit ja aikataulu. PIA on työkalu nimenomaan riskien priorisointiin ja sen avulla voidaan osoittaa, että asia on otettu vakavasti, riskialttiit henkilötiedot tunnistettu ja tarvittavat toimenpiteet suunniteltu ja osin toteutettu niiden suojaamiseksi.

– GDPR:n vuoksi ei kannata menettää yöuniaan kuukausiksi, jos asiat on hoidettu suurin piirtein järkevästi. Yhdeksi, kahdeksi yöksi riittää, lisää Kattilakoski pilke silmäkulmassa.

 

Teppo Kattilakoski on riskienhallintaan erikoistuneen Graniten toimitusjohtaja.

 

PIA:n eli tietosuojan vaikutusarvioinnin päärakenne:

  1. Henkilötietojen käsittelyn tarkoitus: Mitä tietoja käsitellään, miksi ja missä.
  2. Läpinäkyvyys ja henkilön oikeudet: Käyttäjille kerrotaan henkilötietojen käsittelystä avoimesti esimerkiksi tietosuojaselosteen avulla.
  3. Tietojen elinkaari: Miten ja milloin kerätyt tiedot hävitetään.
  4. Tietoturvaperiaatteet: Varmuuskopiot, pääsynhallinta ja lokitietojen käsittely.
  5. Tietojen siirrot: Mihin muihin järjestelmiin tietoja siirretään, mitä tietoja siirretään ja siirretäänkö EU:n ulkopuolelle ja millaisia sopimuksia kumppanien kanssa on.
  6. Näyttövelvollisuus: Omien toimien osoittaminen mm. ennakkovarautumisen, vastuutuksen, riskienarviointien sekä henkilöstön koulutuksen osalta.

 

Graniten ite wiki -profiili
Graniten kotisivut

 

Lue myös: EU:n tietosuoja-asetus GDPR uhkaa miljoonasanktioilla – tässä 8 tärkeintä vaatimusta