Tietosuoja-asetuksen vaikutus IT-alaan
Andersilla on pitkä kokemus vaativien verkkopalveluiden rakentamisesta sekä palveluiden ylläpidosta, siksi meidän on helppo ymmärtää miksi tietosuojaan liittyvää lainsäädäntöä kiristetään. Miten asetus vaikuttaa IT-alaan?
Euroopan unionin uusi tietosuoja-asetus (GDPR) astuu voimaan 25. toukokuuta. Andersilla suhtaudutaan uuteen asetukseen asiaan kuuluvalla vakavuudella, mutta pyritään kuitenkin välttämään säädökseen ylireagointia. Uusi tietosuoja-asetus parantaa yksityisten henkilöiden tietosuojaa, sekä tietojen käsittelyn että hallinnoinnin tietoturvaa. Tietoturvalla tarkoitetaan sitä, että tietojen käsittely ja tallennus tapahtuu teknisesti niin, että niihin ei ole missään vaiheessa pääsyä ulkopuolisilla. Tieto esimerkiksi siirretään vain salattujen yhteyksien yli ja sensitiiviset tiedot kuten salasanat kryptataan.
Tietosuojalla tarkoitetaan puolestaan sitä, että yksityiset tiedot pysyvät yksityisinä, ja vain etukäteen määriteltyjen henkilöiden ulottuvilla. Anders ylläpitää esimerkiksi verkkokauppa-asiakkaiden tilaustietoja, mutta palvelun tietosuojaselosteeseen kirjataan erikseen kuka näitä tietoja saa nähdä ja käsitellä, ja missä tapauksessa. Uuden asetuksen myötä loppuasiakkaalla on oikeus pyytää itselleen sekä myös pyytää palveluntarjoajaa poistamaan kaikki itseään koskevat yksilöivät tiedot.
Henkilötietoja tallentuu yritykselle lähes kaikessa kaupankäynnissä. Verkkoliiketoiminnassa henkilötietoja käytetään esimerkiksi järjestelmien sisäänkirjautumisessa, verkkokauppatilausten tekemisessä ja postituslistoissa. Nämä tiedot muodostavat yritykselle henkilörekistereitä, joiden tallennuksesta ja käsittelystä tietosuoja-asetus määrää.
Tietosuoja-asetus vastaa siis lisääntyneiden henkilörekistereiden, kuten asiakas- ja työntekijärekisterien kasvuun, ja vaatii yrityksiä huolehtimaan paremmasta henkilötietorekisterien hallinnasta, niiden tietosuojasta sekä tietosuojaselosteista. Henkilötietorekisterien tulee olla laillisesti sekä perustellusti kerättyjä -- ennen ja jälkeen asetuksen. Koska asetus on Euroopan unionin asettama, ovat kaikki EU-maat velvoitettuja noudattamaan standardeja sääntöjä ja huolehtimaan paremmasta tietosuojasta. Asetuksen vaatimuksiin kannattaa suhtautua vakavasti, sillä uutta asetusta rikkovia yrityksiä uhkaa enimmillään jopa 20 miljoonan euron sakot.
HENKILÖTIETOJEN KÄSITTELIJÄN ROOLI JA VASTUU
GDPR-asetuksessa erotellaan henkilörekisterin käsittelijän ja rekisterinpitäjän roolit ja vastuut. Verkkoliiketoiminnassa rekisterinpitäjä on usein eri organisaatio kuin henkilötietojen käsittelijä. Rekisterinpitäjä on se yritys tai organisaatio, jonka toimintaa varten rekisteri on perustettu. Henkilötietojen käsittelijä voi toimia esimerkiksi rekisterinpitäjän teknisenä tukena, vaikka verkkokauppa-alustan tai muun järjestelmän haltijana tai ylläpitäjänä. Esimerkiksi Andersin tapauksessa asiakkaidemme kanssa tehtyihin ylläpitosopimuksiin lisätään rekisterinpitäjän (asiakkaan) valtuutus, jossa sovitaan kirjallisesti mitä oikeuksia ja velvollisuuksia Andersilla (eli käsittelijällä) on rekisteriin, ja mikä on käsittelyn kesto, luonne ja tarkoitus.
Tietosuoja-asetus vaatii tarkkuutta sekä henkilötietojen käsittelijöiltä että rekisterinpitäjiltä. Mikäli henkilötietojen käsittelijä rikkoo rekisterinpitäjän kanssa tehtyä sopimusta, voidaan joissain tapauksissa henkilötietojen käsittelijää pitää rekisterinpitäjänä. Rekisterinpitäjän tulee kuitenkin itse huolehtia henkilötietorekisterin asianmukaisesta hallinnasta, prosessien dokumentoinnista ja suojasta. Yrityksellä, joka pitää henkilötietorekisteriä, tulee olla rekisteriseloste, jossa kuvataan mitä henkilötietoja yrityksellä on hallussaan, mihin niitä käytetään ja miten tietosuoja on hoidettu. Rekisteriseloste tulee olla julkisesti saatavilla.
Anders on valmistautunut toukokuussa voimaan astuvaan asetukseen erillisen tietosuojatiimin kanssa selvittämällä omia henkilötietorekistereitään, niin ulkoisia kuin sisäisiä, päivittämällä sopimuksia ja dokumentoimalla rekisteröintiprosesseja. Oikeanlaisella dokumentaatiolla ja järjestelmäarkkitehtuurilla turvataan rekisterit ja henkilötietojen yksityisyys.
OHJELMISTOJEN TIETOSUOJAVAATIMUKSET KASVAVAT
Uuden GDPR-asetuksen myötä ohjelmistokehittäjiltä vaaditaan järjestelmän rakentamisen vaiheessa “Privacy by default” ja “Privacy by design” periaatteet toteuttavaa suunnittelua, mikä käytännössä tarkoittaa yksityisyyden suojaamisen oletusarvoa järjestelmän kehitysvaiheessa. Kaikkien tulevaisuuden järjestelmien tulee olla paremmin suojattuja ja teknologian pitää vastata uuden asetuksen kriteerejä.
Andersilla on jo pitkään tiedostettu tietoturvan tärkeys. Esimerkiksi tarjoamamme palvelinympäristö on suunniteltu vahvan tietoturvan näkökulmasta: tuotantoympäristöihin on pääsy vain erikseen nimetyillä henkilöillä ja kaikki palvelimella tehdyt toiminnot tallennetaan ulkoiseen auditointiympäristöön.
Tietoturva pitää huomioida myös kehitystyön aikana. Andersin kehittäjien työasemat ovat hyvin suojattuja ja jos luottamuksellisia tietoja joudutaan kehityksen aikana käsittelemään, tiedot anonymisoidaan. Kaikki tiedonsiirto tehdään vain salattuja yhteyksiä käyttäen.
TIETOMURROT JA -HYÖKKÄYKSET - NIIHIN REAGOINTI
Myös tietomurtoihin ja -hyökkäyksiin liittyvät viestintävaatimukset tiukkenevat uuden asetuksen astuessa voimaan. Yrityksen on jatkossa tiedotettava asiakkaitaan kolmen vuorokauden sisällä laskettuna tietomurron havaitsemisesta. On siis tärkeää, että asiaan liittyvät prosessit, sisäinen ja ulkoinen viestintä, sekä niihin liittyvät vastuut ovat etukäteen mietittynä, jotta yllättäviin tilanteisiin ei yli- tai alireagoida kriisitilanteessa.
ULKOISTAMINEN EI RATKAISE KAIKKEA
Uuteen asetukseen vaadittavien toimenpiteiden ulkoistaminen saattaa vaikuttaa helpolta ratkaisulta. Tietosuojan hallintaa voi ulkoistaa tiettyyn pisteeseen asti, esimerkiksi prosessien dokumentoinnin, tietoturvan kehittämisen teknologian keinoin. Yrityksen koko henkilökunnan tietoisuus tarvittavista muutoksista ja uusien asetusten integroituminen osaksi sisäisiä prosesseja ovat kuitenkin avainasemassa muutosten aikaansaamisessa. Ulkoistamisesta huolimatta yritys on kuitenkin itse vastuussa tietosuoja-asetuksen vaatimusten täyttämisestä.
Mikäli yrityksenne tarvitsee konsultaatiota tietosuoja-asetuksesta tai haluatte muutosten tueksi luotettavan tietoturvakumppanin, autamme mielellämme.
Lisätietoja
Tagit
Liiketoimintaprosessi
Laatu, turvallisuus ja ympäristö | |
Tietohallinto | |
Viestintä |
Erikoisosaaminen
Tietoturva | |
Webkehitys |
Toimialakokemus
IT |
Tarjonnan tyyppi
Konsultointi |
Anders Innovations - Asiantuntijat ja yhteyshenkilöt
Anders Innovations - Muita referenssejä
Anders Innovations - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Ohjelmistokehittäjä
- Nordea - Senior Manual Test Engineer, Nordea Payments
- Nordea - Senior Test Automation Engineer with Python, Nordea Payments
- Nordea - Senior IT Analyst in SWIFT area
- Laura - C++ kehittäjä
- Nordea - Senior Backend Developer, Nordea Finance
- Laura - Palveluvastaava, tietohallinto
Premium-asiakkaiden viimeisimmät referenssit
- e21 Solutions Oy - Pakkausalan Benchmark-palvelu Mercamerilta
- Into-Digital Oy - S-Ryhmän rengasliiketoiminnan digitaalinen kauppapaikka
- Into-Digital Oy - Burger Kingin Whopperit, ravintolat, aukioloajat ja kampanjat verkossa
- Into-Digital Oy - Uusi Worldvision.fi viemään järjestön varainhankinta uudelle tasolle
- Netum Group Oyj - Radio- ja tv-museo Mastolassa opastaa kohta tekoälypohjainen asiakaspalvelija
- Netum Group Oyj - Peppi-järjestelmän ylläpito turvaa opiskelijoiden ja opettajien arjen sujuvuuden Lapin korkeakouluissa
- Into-Digital Oy - Suomalaisen työn uusi verkkopalvelu edistämään jäsenpalvelua ja -hankintaa
Tapahtumat & webinaarit
- 29.01.2025 - Modern toolchain and AI breakfast seminar with Eficode, AWS and HashiCorp
- 30.01.2025 - 30.1.2025 | Webinaari: Tehokkaampaa tuotantoa teollisuusyritykselle Fellowmindin Manufacturing Template -ratkaisulla
- 30.01.2025 - Suuri Rahoitusilta
- 30.01.2025 - Open Future
- 29.01.2025 - SecD-Day event
- 05.02.2025 - Smart Commerce Nordic 2025
- 05.02.2025 - AIX Forum - Medical Device Regulation and AI: Success Stories
Premium-asiakkaiden viimeisimmät bloggaukset
- Ready Solutions Oy - Mitä on Data Science tai datatiede?
- Ready Solutions Oy - Mikä on datatuote?
- Into-Digital Oy - Onnistunut verkkopalvelu – millainen se on ja miten niitä tehdään?
- Into-Digital Oy - Miksi verkkosivusto kannattaa uudistaa nyt, eikä sitten joskus?
- Netum Group Oyj - ”Jatkuva release-show ei tunnu kovin upealta” – tietojärjestelmäprojektin julkaisuprosessin kehittäminen
- Netum Group Oyj - Jälkitunnelmia ja -ajatuksia Kuntamarkkinoilta
- Into-Digital Oy - Oletko tekemässä B2B-verkkosivua? Huomioi ainakin nämä asiat
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |