Andersilla on pitkä kokemus vaativien verkkopalveluiden rakentamisesta sekä palveluiden ylläpidosta, siksi meidän on helppo ymmärtää miksi tietosuojaan liittyvää lainsäädäntöä kiristetään. Miten asetus vaikuttaa IT-alaan?

Euroopan unionin uusi tietosuoja-asetus (GDPR) astuu voimaan 25. toukokuuta. Andersilla suhtaudutaan uuteen asetukseen asiaan kuuluvalla vakavuudella, mutta pyritään kuitenkin välttämään säädökseen ylireagointia. Uusi tietosuoja-asetus parantaa yksityisten henkilöiden tietosuojaa, sekä tietojen käsittelyn että hallinnoinnin tietoturvaa. Tietoturvalla tarkoitetaan sitä, että tietojen käsittely ja tallennus tapahtuu teknisesti niin, että niihin ei ole missään vaiheessa pääsyä ulkopuolisilla. Tieto esimerkiksi siirretään vain salattujen yhteyksien yli ja sensitiiviset tiedot kuten salasanat kryptataan.

Tietosuojalla tarkoitetaan puolestaan sitä, että yksityiset tiedot pysyvät yksityisinä, ja vain etukäteen määriteltyjen henkilöiden ulottuvilla. Anders ylläpitää esimerkiksi verkkokauppa-asiakkaiden tilaustietoja, mutta palvelun tietosuojaselosteeseen kirjataan erikseen kuka näitä tietoja saa nähdä ja käsitellä, ja missä tapauksessa. Uuden asetuksen myötä loppuasiakkaalla on oikeus pyytää itselleen sekä myös pyytää palveluntarjoajaa poistamaan kaikki itseään koskevat yksilöivät tiedot.

Henkilötietoja tallentuu yritykselle lähes kaikessa kaupankäynnissä. Verkkoliiketoiminnassa henkilötietoja käytetään esimerkiksi järjestelmien sisäänkirjautumisessa, verkkokauppatilausten tekemisessä ja postituslistoissa. Nämä tiedot muodostavat yritykselle henkilörekistereitä, joiden tallennuksesta ja käsittelystä tietosuoja-asetus määrää.

Tietosuoja-asetus vastaa siis lisääntyneiden henkilörekistereiden, kuten asiakas- ja työntekijärekisterien kasvuun, ja vaatii yrityksiä huolehtimaan paremmasta henkilötietorekisterien hallinnasta, niiden tietosuojasta sekä tietosuojaselosteista. Henkilötietorekisterien tulee olla laillisesti sekä perustellusti kerättyjä -- ennen ja jälkeen asetuksen. Koska asetus on Euroopan unionin asettama, ovat kaikki EU-maat velvoitettuja noudattamaan standardeja sääntöjä ja huolehtimaan paremmasta tietosuojasta. Asetuksen vaatimuksiin kannattaa suhtautua vakavasti, sillä uutta asetusta rikkovia yrityksiä uhkaa enimmillään jopa 20 miljoonan euron sakot.

HENKILÖTIETOJEN KÄSITTELIJÄN ROOLI JA VASTUU

GDPR-asetuksessa erotellaan henkilörekisterin käsittelijän ja rekisterinpitäjän roolit ja vastuut. Verkkoliiketoiminnassa rekisterinpitäjä on usein eri organisaatio kuin henkilötietojen käsittelijä. Rekisterinpitäjä on se yritys tai organisaatio, jonka toimintaa varten rekisteri on perustettu. Henkilötietojen käsittelijä voi toimia esimerkiksi rekisterinpitäjän teknisenä tukena, vaikka verkkokauppa-alustan tai muun järjestelmän haltijana tai ylläpitäjänä. Esimerkiksi Andersin tapauksessa asiakkaidemme kanssa tehtyihin ylläpitosopimuksiin lisätään rekisterinpitäjän (asiakkaan) valtuutus, jossa sovitaan kirjallisesti mitä oikeuksia ja velvollisuuksia Andersilla (eli käsittelijällä) on rekisteriin, ja mikä on käsittelyn kesto, luonne ja tarkoitus.

Tietosuoja-asetus vaatii tarkkuutta sekä henkilötietojen käsittelijöiltä että rekisterinpitäjiltä. Mikäli henkilötietojen käsittelijä rikkoo rekisterinpitäjän kanssa tehtyä sopimusta, voidaan joissain tapauksissa henkilötietojen käsittelijää pitää rekisterinpitäjänä. Rekisterinpitäjän tulee kuitenkin itse huolehtia henkilötietorekisterin asianmukaisesta hallinnasta, prosessien dokumentoinnista ja suojasta. Yrityksellä, joka pitää henkilötietorekisteriä, tulee olla rekisteriseloste, jossa kuvataan mitä henkilötietoja yrityksellä on hallussaan, mihin niitä käytetään ja miten tietosuoja on hoidettu. Rekisteriseloste tulee olla julkisesti saatavilla.

Anders on valmistautunut toukokuussa voimaan astuvaan asetukseen erillisen tietosuojatiimin kanssa selvittämällä omia henkilötietorekistereitään, niin ulkoisia kuin sisäisiä, päivittämällä sopimuksia ja dokumentoimalla rekisteröintiprosesseja. Oikeanlaisella dokumentaatiolla ja järjestelmäarkkitehtuurilla turvataan rekisterit ja henkilötietojen yksityisyys.

OHJELMISTOJEN TIETOSUOJAVAATIMUKSET KASVAVAT

Uuden GDPR-asetuksen myötä ohjelmistokehittäjiltä vaaditaan järjestelmän rakentamisen vaiheessa “Privacy by default” ja “Privacy by design” periaatteet toteuttavaa suunnittelua, mikä käytännössä tarkoittaa yksityisyyden suojaamisen oletusarvoa järjestelmän kehitysvaiheessa. Kaikkien tulevaisuuden järjestelmien tulee olla paremmin suojattuja ja teknologian pitää vastata uuden asetuksen kriteerejä.

Andersilla on jo pitkään tiedostettu tietoturvan tärkeys. Esimerkiksi tarjoamamme palvelinympäristö on suunniteltu vahvan tietoturvan näkökulmasta: tuotantoympäristöihin on pääsy vain erikseen nimetyillä henkilöillä ja kaikki palvelimella tehdyt toiminnot tallennetaan ulkoiseen auditointiympäristöön.

Tietoturva pitää huomioida myös kehitystyön aikana. Andersin kehittäjien työasemat ovat hyvin suojattuja ja jos luottamuksellisia tietoja joudutaan kehityksen aikana käsittelemään, tiedot anonymisoidaan. Kaikki tiedonsiirto tehdään vain salattuja yhteyksiä käyttäen.

TIETOMURROT JA -HYÖKKÄYKSET - NIIHIN REAGOINTI

Myös tietomurtoihin ja -hyökkäyksiin liittyvät viestintävaatimukset tiukkenevat uuden asetuksen astuessa voimaan. Yrityksen on jatkossa tiedotettava asiakkaitaan kolmen vuorokauden sisällä laskettuna tietomurron havaitsemisesta. On siis tärkeää, että asiaan liittyvät prosessit, sisäinen ja ulkoinen viestintä, sekä niihin liittyvät vastuut ovat etukäteen mietittynä, jotta yllättäviin tilanteisiin ei yli- tai alireagoida kriisitilanteessa.

ULKOISTAMINEN EI RATKAISE KAIKKEA

Uuteen asetukseen vaadittavien toimenpiteiden ulkoistaminen saattaa vaikuttaa helpolta ratkaisulta. Tietosuojan hallintaa voi ulkoistaa tiettyyn pisteeseen asti, esimerkiksi prosessien dokumentoinnin, tietoturvan kehittämisen teknologian keinoin. Yrityksen koko henkilökunnan tietoisuus tarvittavista muutoksista ja uusien asetusten integroituminen osaksi sisäisiä prosesseja ovat kuitenkin avainasemassa muutosten aikaansaamisessa. Ulkoistamisesta huolimatta yritys on kuitenkin itse vastuussa tietosuoja-asetuksen vaatimusten täyttämisestä.

Mikäli yrityksenne tarvitsee konsultaatiota tietosuoja-asetuksesta tai haluatte muutosten tueksi luotettavan tietoturvakumppanin, autamme mielellämme.