EU-asetus muuttaa yritysten ja yhteisöjen tietosuojakäytäntöjä

Euroopan parlamentti on parhaillaan viimeistelemässä tietosuoja-asetusta ja se astunee voimaan vielä vuoden 2015 aikana. Asetus tiukentaa radikaalisti yritysten ja yhteisöjen tietosuojavelvoitteita. Toisaalta se harmonisoi eri maiden kirjavat tietosuojalainsäädännöt poistaen näin omalta osaltaan kaupanesteitä.
20.5.2015

Jari Hyppönen, tietoturvan ja -johtamisen asiantuntija, Fordione Oy

Kuva iStock

EU:n tietosuoja-asetus astuu voimaan heti komission sen hyväksyttyä ja muuttuu pakolliseksi kahden vuoden siirtymäajan umpeuduttua. Voimaan astuessaan se asettaa tietosuojaan tiukentuneita vaatimuksia, ja pahimmillaan sanktiot tietosuoja-asetusten määräysten rikkomisesta ja noudattamatta jättämisestä tulevat olemaan tuntuvia.

Jatkossa ei esimerkiksi enää riitä, että noudatetaan lakia, vaan yritysten ja yhteisöjen on kyettävä osoittamaan, että säännökset on huomioitu toiminnan suunnittelussa. Lisäksi asetus vaatii entistäkin tarkemmin huolehtimaan henkilötiedoista ja dokumentoimaan tiedon elinkaarta. Se säätelee myös henkilötietojen yleistä käyttöä esimerkiksi yrityksissä ja julkkishallinnossa. Uudistuksen myötä jokainen voi halutessaan vaatia henkilökohtaiset tietonsa poistettavaksi itseään koskevasta rekisteristä, mikäli sille ei ole laillista estettä. 

Yrityksen toimintamallien läpikäynti ja sopeuttaminen asetuksen vaatimuksia vastaaviksi on iso ja aikaa vievä prosessi, johon asetukselle määritelty kahden vuoden siirtymäkausi ei välttämättä riitä. Organisaatioiden onkin hyvä miettiä, miten ne tulevat jatkossa tietosuojaa toteuttamaan, sillä asetuksen voimaantulon jälkeen sen tärkeys korostuu entisestään. Koska kyseessä on poikkeuksellisesti asetus eikä direktiivi, on sen säädöksiä sovellettava sellaisinaan kaikkialla EU:ssa. 

Yritysten on syytä varautua hallinnollisen työn lisääntymiseen, sillä rekisterien pitäjiltä ja tietojen käsittelijöiltä vaaditaan jatkossa erilaisia tietosuojakysymyksiin liittyviä dokumentteja ja prosessikuvauksia. 

 

Vaatii kokonaisvaltaista näkemystä tietoturvallisuudesta

Tietoturvallisuus voidaan jakaa tietosuojaan ja tietoturvaan. Näistä EU:n asetus kohdistuu tietosuojaan, mutta se olettaa, että myös tietoturva on riittävällä tasolla. Siksi asiaa onkin hyvä lähestyä kokonaisvaltaisesti tietoturvallisuuden näkökulmasta.

Tietoturvallisuuden liiketoiminnallisia kytköksiä voidaan tarkastellaan seuraavista näkökulmista:

  • Mitä tietoja yritys tarvitsee toiminnassaan?
  • Mitkä tiedoista ovat tärkeämpiä kuin muut?
  • Mitä tapahtuu, jos tärkeät tiedot eivät ole käytettävissä?
  • Miten toimintaan liittyvät riskit on kartoitettu ja priorisoitu?
  • Onko jatkuvuussuunnitelmat toteutettu ja testattu?

Tietoturvallisuuden tarkoituksena on varmistaa yrityksen häiriötön toiminta normaali- ja poikkeustilanteissa. Tietoturvallisuusriskin toteutuminen vaikuttaa suoraan yrityskuvaan, tuotteiden ja palveluiden saatavuuteen, niiden laatuun sekä asiakastietojen luottamuksellisuuteen.

 

Tietosuoja ja tuleva EU:n asetus

Asetus edellyttää, että henkilö- ja muita tietosuojanalaisia tietoja koskeva tiedonhallinta järjestetään tulevan lainsäädännön mukaisesti. Tämä vaatii kannanottoja seuraaviin kysymyksiin: 

  • käsiteltävät ja säilytettävät tiedot 
  • tiedon käsittelytavat sen kaikissa 
  • voimassaolon vaiheissa  
  • tiedon käsittelyn tasot 
  • tiedon arvo 
  • tiedon salassapito.

Tutkimusten mukaan työntekijät harvoin ymmärtävät, mitkä tiedot ovat yritykselle tärkeitä ja mitä tapahtuu, jos ne eivät ole käytettävissä tai mitä seuraa niiden vuotamisesta kilpailijalle. Onkin hyvä tiedostaa, että mikäli tietoturvallisuus mielletään pelkästään tekniikaksi, jää iso osa tietoturvallisuusriskeistä huomioimatta. 

 

Organisaation pitää olla tiedostaa riskit

Yritykset ovat varautuneet huonosti vakaviin uhkiin. Esimerkiksi tietoturva-aukon avaa usein varomaton työntekijä.

Kyberrikolliset ujuttavat haittaohjelmia yrityksiin muun muassa liitetiedostojen ja sähköpostilinkkien avulla. Kohde saattaa saada sähköpostin työkaveriltaan tai muulta luotettavalta henkilöltä. Siinä vastaanottajaa kehotetaan avaamaan liitetiedosto tai vierailemaan linkin kautta jollakin verkkosivustolla. Viesti on kuitenkin väärennetty lähettäjätietoja myöten, ja liitetiedosto tai verkkosivusto lataa koneelle haittaohjelman.

Hyökkääjä voi myös murtautua sivustolle, josta yritys hakee ohjelmistopäivityksiä. Kohdeyrityksen IT-henkilöstö voi näin tietämättään itse ladata ja asentaa vakoiluohjelman. 

 

Tietoturvallisuuden kehittäminen pysyvästi johdon agendalle

Tietoturvallisuutta voidaan usein parantaa yksinkertaisilla keinoilla: omasta työhuoneestaan poistuttaessa käännetään paperit väärin päin ja laitetaan näppäinlukko päälle. Arkaluontoista tietoa ei kuljeteta pois työpaikalta muistitikulla tai printattuna, eikä työsähköpostia lähetetä henkilökohtaiseen sähköpostiin. Jos mahdollista, työpaikalta lähdettäessä työhuoneen ovi lukitaan. Työhön liittyvistä kysymyksistä keskustelua tulee myös aina välttää yleisillä paikoilla. 

Organisaatioiden onkin tärkeää ymmärtää, mistä heidän tietoturvallisuutensa syntyy ja miten siihen liittyvät riskit saadaan minimoitua. Olennaisinta on, että tietoturvallisuus on jatkuvasti ylimmän johdon agendalla ja että siihen kiinnitetään riittävästi huomiota. Tietoturvallisuus on enemmän hallinnollinen kuin tekninen asia, ja siksi sen tasoa tuleekin seurata säännöllisesti ja koko henkilöstön kattavasti. Seuranta on muutenkin hyödyllistä, sillä sen avulla saadaan selville myös erilaisia riskejä ja muuta arvokasta tietoa. 

 

Tietomurroista tulee jatkossa ilmoittaa

Monet merkittävät tietomurrot ovat syntyneet varsin harmittomalta tuntuneen välinpitämättömyyden seurauksena. Usein yritykset eivät ole edes ymmärtäneet joutuneensa urkinnan uhriksi.

Hyökkäys ei välttämättä kohdistu suoraan siihen yritykseen, johon se tuntuu olevan suunnattu. Murroissa saatetaan hyödyntää taitavasti yrityksen ja lopullisen kohteen välistä luottamusta. Eli murtaudutaan vaikkapa alihankkijan verkkoon, jota kautta päästään käsiksi varsinaisen kohdeyrityksen tietoihin. Rikollisten haltuun päätyy niin arkaluontoisia liikesalaisuuksia kuin yksityishenkilöidenkin tietoja. Vahingot voivat olla suuria ja peruuttamattomia.

Uuden asetuksen mukaan tietomurrosta on ilmoitettava 72 tunnin sisällä niin valvovalle viranomaiselle kuin myös tahoille, joita koskevat tiedot ovat päätyneet vääriin käsiin. Mikäli yritys ei pysty todistettavasti osoittamaan noudattaneensa asetuksen vaatimuksia, saattaa tapahtuma laukaista rahalliset sanktiot, jotka pahimmillaan voivat olla jopa 100 miljoonaa euroa tai 5 prosenttia globaalista liikevaihdosta.

 

Asetus tähtää hyötyihin 

Tällä hetkellä EU:ssa on yhtä monta henkilötietodirektiivin noudattamismallia kuin on jäsenmaitakin. Tulevan asetuksen ollessa velvoittavaa lainsäädäntöä suurin hyöty saavutetaankin sääntöjen ja velvoitteiden yhdenmukaistuessa.

Samat säännöt koskevat jatkossa myös EU:n ulkopuolisia toimijoita. Useassa maassa toimiva yritys voi asioida vain yhden maan viranomaistahon kanssa. Tämä vähentää byrokratiaa.

Merkittävä hyötyä saavutetaan myös eri jäsenmaiden tietosuojaviranomaisten lisätessä keskinäistä yhteistyötään. Asetuksen perimmäinen tarkoitus onkin helpottaa ja tehostaa EU:n sisäistä kaupankäyntiä luomalla kaikille yhteiset pelisäännöt. 

 

Tietotilinpäätös osaksi yrityskulttuuria

Tietotilinpäätös on tietosuojavaltuutetun toimiston lanseeraama vapaamuotoinen dokumentti, jonka avulla yrityksen tai yhteisön tietohallinnon nykytila nähdään kokonaisuutena. Tällöin se antaa myös yhtenäisen näkymän organisaation tietosuojan ja -turvan tasoon sekä niiden mahdollisiin kehityskohteisiin.

Tietotilinpäätös toimii viestinä tietosuojan, tietoturvan ja yksityisyyden suojan merkityksestä yritykselle niin sisäisesti kuin ulkoisesti. Se toimii indikaattorina yrityksen luotettavuudesta sekä markkinoinnin tukena ja kumppani­verkostojen vahvistajana ja ennen kaikkea hyvin toteutettuna se täyttää EU:n tietosuoja-asetuksen todistusvelvoitteen minimoiden näin mahdolliset sanktiot. Ja tästä syystä onkin enemmän kuin perusteltua liittää tietotilinpäätös osaksi varsinaista tilinpäätöstä.