Tietosuoja-asetuksen vaikutus IT-alaan
Andersilla on pitkä kokemus vaativien verkkopalveluiden rakentamisesta sekä palveluiden ylläpidosta, siksi meidän on helppo ymmärtää miksi tietosuojaan liittyvää lainsäädäntöä kiristetään. Miten asetus vaikuttaa IT-alaan?
Euroopan unionin uusi tietosuoja-asetus (GDPR) astuu voimaan 25. toukokuuta. Andersilla suhtaudutaan uuteen asetukseen asiaan kuuluvalla vakavuudella, mutta pyritään kuitenkin välttämään säädökseen ylireagointia. Uusi tietosuoja-asetus parantaa yksityisten henkilöiden tietosuojaa, sekä tietojen käsittelyn että hallinnoinnin tietoturvaa. Tietoturvalla tarkoitetaan sitä, että tietojen käsittely ja tallennus tapahtuu teknisesti niin, että niihin ei ole missään vaiheessa pääsyä ulkopuolisilla. Tieto esimerkiksi siirretään vain salattujen yhteyksien yli ja sensitiiviset tiedot kuten salasanat kryptataan.
Tietosuojalla tarkoitetaan puolestaan sitä, että yksityiset tiedot pysyvät yksityisinä, ja vain etukäteen määriteltyjen henkilöiden ulottuvilla. Anders ylläpitää esimerkiksi verkkokauppa-asiakkaiden tilaustietoja, mutta palvelun tietosuojaselosteeseen kirjataan erikseen kuka näitä tietoja saa nähdä ja käsitellä, ja missä tapauksessa. Uuden asetuksen myötä loppuasiakkaalla on oikeus pyytää itselleen sekä myös pyytää palveluntarjoajaa poistamaan kaikki itseään koskevat yksilöivät tiedot.
Henkilötietoja tallentuu yritykselle lähes kaikessa kaupankäynnissä. Verkkoliiketoiminnassa henkilötietoja käytetään esimerkiksi järjestelmien sisäänkirjautumisessa, verkkokauppatilausten tekemisessä ja postituslistoissa. Nämä tiedot muodostavat yritykselle henkilörekistereitä, joiden tallennuksesta ja käsittelystä tietosuoja-asetus määrää.
Tietosuoja-asetus vastaa siis lisääntyneiden henkilörekistereiden, kuten asiakas- ja työntekijärekisterien kasvuun, ja vaatii yrityksiä huolehtimaan paremmasta henkilötietorekisterien hallinnasta, niiden tietosuojasta sekä tietosuojaselosteista. Henkilötietorekisterien tulee olla laillisesti sekä perustellusti kerättyjä -- ennen ja jälkeen asetuksen. Koska asetus on Euroopan unionin asettama, ovat kaikki EU-maat velvoitettuja noudattamaan standardeja sääntöjä ja huolehtimaan paremmasta tietosuojasta. Asetuksen vaatimuksiin kannattaa suhtautua vakavasti, sillä uutta asetusta rikkovia yrityksiä uhkaa enimmillään jopa 20 miljoonan euron sakot.
HENKILÖTIETOJEN KÄSITTELIJÄN ROOLI JA VASTUU
GDPR-asetuksessa erotellaan henkilörekisterin käsittelijän ja rekisterinpitäjän roolit ja vastuut. Verkkoliiketoiminnassa rekisterinpitäjä on usein eri organisaatio kuin henkilötietojen käsittelijä. Rekisterinpitäjä on se yritys tai organisaatio, jonka toimintaa varten rekisteri on perustettu. Henkilötietojen käsittelijä voi toimia esimerkiksi rekisterinpitäjän teknisenä tukena, vaikka verkkokauppa-alustan tai muun järjestelmän haltijana tai ylläpitäjänä. Esimerkiksi Andersin tapauksessa asiakkaidemme kanssa tehtyihin ylläpitosopimuksiin lisätään rekisterinpitäjän (asiakkaan) valtuutus, jossa sovitaan kirjallisesti mitä oikeuksia ja velvollisuuksia Andersilla (eli käsittelijällä) on rekisteriin, ja mikä on käsittelyn kesto, luonne ja tarkoitus.
Tietosuoja-asetus vaatii tarkkuutta sekä henkilötietojen käsittelijöiltä että rekisterinpitäjiltä. Mikäli henkilötietojen käsittelijä rikkoo rekisterinpitäjän kanssa tehtyä sopimusta, voidaan joissain tapauksissa henkilötietojen käsittelijää pitää rekisterinpitäjänä. Rekisterinpitäjän tulee kuitenkin itse huolehtia henkilötietorekisterin asianmukaisesta hallinnasta, prosessien dokumentoinnista ja suojasta. Yrityksellä, joka pitää henkilötietorekisteriä, tulee olla rekisteriseloste, jossa kuvataan mitä henkilötietoja yrityksellä on hallussaan, mihin niitä käytetään ja miten tietosuoja on hoidettu. Rekisteriseloste tulee olla julkisesti saatavilla.
Anders on valmistautunut toukokuussa voimaan astuvaan asetukseen erillisen tietosuojatiimin kanssa selvittämällä omia henkilötietorekistereitään, niin ulkoisia kuin sisäisiä, päivittämällä sopimuksia ja dokumentoimalla rekisteröintiprosesseja. Oikeanlaisella dokumentaatiolla ja järjestelmäarkkitehtuurilla turvataan rekisterit ja henkilötietojen yksityisyys.
OHJELMISTOJEN TIETOSUOJAVAATIMUKSET KASVAVAT
Uuden GDPR-asetuksen myötä ohjelmistokehittäjiltä vaaditaan järjestelmän rakentamisen vaiheessa “Privacy by default” ja “Privacy by design” periaatteet toteuttavaa suunnittelua, mikä käytännössä tarkoittaa yksityisyyden suojaamisen oletusarvoa järjestelmän kehitysvaiheessa. Kaikkien tulevaisuuden järjestelmien tulee olla paremmin suojattuja ja teknologian pitää vastata uuden asetuksen kriteerejä.
Andersilla on jo pitkään tiedostettu tietoturvan tärkeys. Esimerkiksi tarjoamamme palvelinympäristö on suunniteltu vahvan tietoturvan näkökulmasta: tuotantoympäristöihin on pääsy vain erikseen nimetyillä henkilöillä ja kaikki palvelimella tehdyt toiminnot tallennetaan ulkoiseen auditointiympäristöön.
Tietoturva pitää huomioida myös kehitystyön aikana. Andersin kehittäjien työasemat ovat hyvin suojattuja ja jos luottamuksellisia tietoja joudutaan kehityksen aikana käsittelemään, tiedot anonymisoidaan. Kaikki tiedonsiirto tehdään vain salattuja yhteyksiä käyttäen.
TIETOMURROT JA -HYÖKKÄYKSET - NIIHIN REAGOINTI
Myös tietomurtoihin ja -hyökkäyksiin liittyvät viestintävaatimukset tiukkenevat uuden asetuksen astuessa voimaan. Yrityksen on jatkossa tiedotettava asiakkaitaan kolmen vuorokauden sisällä laskettuna tietomurron havaitsemisesta. On siis tärkeää, että asiaan liittyvät prosessit, sisäinen ja ulkoinen viestintä, sekä niihin liittyvät vastuut ovat etukäteen mietittynä, jotta yllättäviin tilanteisiin ei yli- tai alireagoida kriisitilanteessa.
ULKOISTAMINEN EI RATKAISE KAIKKEA
Uuteen asetukseen vaadittavien toimenpiteiden ulkoistaminen saattaa vaikuttaa helpolta ratkaisulta. Tietosuojan hallintaa voi ulkoistaa tiettyyn pisteeseen asti, esimerkiksi prosessien dokumentoinnin, tietoturvan kehittämisen teknologian keinoin. Yrityksen koko henkilökunnan tietoisuus tarvittavista muutoksista ja uusien asetusten integroituminen osaksi sisäisiä prosesseja ovat kuitenkin avainasemassa muutosten aikaansaamisessa. Ulkoistamisesta huolimatta yritys on kuitenkin itse vastuussa tietosuoja-asetuksen vaatimusten täyttämisestä.
Mikäli yrityksenne tarvitsee konsultaatiota tietosuoja-asetuksesta tai haluatte muutosten tueksi luotettavan tietoturvakumppanin, autamme mielellämme.
Lisätietoja
Tagit
Liiketoimintaprosessi
Laatu, turvallisuus ja ympäristö | |
Tietohallinto | |
Viestintä |
Erikoisosaaminen
Tietoturva | |
Webkehitys |
Toimialakokemus
IT |
Tarjonnan tyyppi
Konsultointi |
Anders Innovations - Asiantuntijat ja yhteyshenkilöt
Anders Innovations - Muita referenssejä
Anders Innovations - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Senior Developer (Retail Devices & Solutions)
- Frends iPaaS - Finance Manager
- Laura - Talotekniikan asiantuntija
- Laura - Development Manager, Partner Platforms
- Laura - Software Engineer (C++/Qt)
- Laura - IT asiantuntija
- Laura - Software Engineer
Premium-asiakkaiden viimeisimmät referenssit
- Ampersand Design Oy - Uusi kesäfestari sai sähäkän ilmeen
- Ampersand Design Oy - Palvelubrändiä kehitettiin houkuttelemaan sijoittajia
- Ampersand Design Oy - Aluebrändin kehittäminen toi vetovoimaa Lahden seudulle
- Ampersand Design Oy - Verkkokaupan perustaminen laajensi asiakaskunnan kuluttajiin
- Ampersand Design Oy - Ravirata brändättiin monipuoliseksi tapahtuma-areenaksi
- Ampersand Design Oy - Nimi- ja brändiuudistus piristi ja yhtenäisti valtakunnallista työpajayhdistystä
- Ampersand Design Oy - Pitkäjänteinen kumppanuus on nostanut keittiöliikkeen Suomen nopeimmin kasvavaksi
Tapahtumat & webinaarit
- 14.05.2024 - Rakettiwebinaari: Koodista kassavirtaan
- 14.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Mitä versionvaihdosta tulisi tietää?
- 15.05.2024 - Ilmainen ERP-webinaari: Mitä tulee ottaa huomioon ERP:n ja CRM:n projektien käyttöönotossa, eli onnistuneen projektin A ja O.
- 16.05.2024 - Five Years Out Helsinki
- 21.05.2024 - The path to productization
- 21.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Business Centralin mahdollisuudet versionvaihdon jälkeen
- 29.05.2024 - Efistream-webinaari: Näin rakennat modernin taloushallinnon, joka tukee tiedolla johtamista
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - ControlByWeb ohjelmoitavat logiikat (PLC) ovat saatavilla nyt myös WLAN-yhteyksillä
- SprintIT Oy - SprintIT säilyttää arvostetun Odoo Gold Partner -statuksen
- Efima Oyj - Älykäs ohjelmistorobotti – tekoäly palauttaa aiemmin kannattamattomaksi kuopatut RPA-automaatioideat takaisin kehityslistalle
- Nordea - Nordean työ taloustaitojen edistämiseksi palkittiin vuoden yhteiskunnallisena sponsorointitekona
- M-Files Oy - M-Files: A Global Leader in Information Management
- M-Files Oy - Unlocking the value of Knowledge Work Automation
- Timeless Technology - ControlByWeb ohjelmoitavat I/O kontrollerit ja ohjaimet prosessien ohjaamiseen sekä monitorointiin.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |