KAUPALLINEN YHTEISTYÖ | Printcom

Tietosuoja-asetus muuttuu pian – lue vinkit, kuinka yrityksen pitää valmistautua siihen

3.10.2017 11:54

EU:n uutta tietosuoja-asetusta aletaan soveltaa käytännössä ensi keväänä. Lue asiantuntijoiden ohjeet, kuinka yritysten kannattaa uudistukseen valmistautua. Lataa myös ilmainen opas!

Suomalaisilla yrityksillä on enää reilu puoli vuotta aikaa reivata yrityksen tietoturva EU:n uuden tietosuoja-asetuksen (GDPR) mukaiseksi.

Tietosuoja-asetus astui voimaan viime vuonna, ja sitä aletaan soveltaa käytännössä toukokuussa 2018. Asetus koskettaa kaikenkokoisia yrityksiä ja yhteisöjä.

Asetus tuo mielenrauhaa ja lisäoikeuksia etenkin tavalliselle kuluttajalle, sillä yritysten on huolehdittava entistä tarkemmin ja avoimemmin keräämistään henkilötiedoista. Yritysten näkökulmasta uusi asetus tuo mukanaan uusia velvoitteita, mutta toisaalta esimerkiksi palvelujen tarjoaminen koko EU:n alueella helpottuu, kun tietoturvakäytännöt yhdenmukaistuvat.

Selvitä ensiksi nykytilanne

Jyri Paasonen arvioi, että monet kotimaiset yritykset ovat jo valmistautuneet hyvin uuden tietosuoja-asetuksen vaatimiin muutoksiin ja käynnistäneet erilaisia kehittämisprojekteja. Paljon on kuitenkin vielä tehtävää.

Paasonen neuvoo yrityksiä selvittämään ensimmäisenä, millä tolalla yrityksen nykyinen tietosuoja ja tietoturva ovat: miten ne vastaavat uuden tietosuoja-asetuksen vaatimuksia ja mikä on hallinnollisen ja teknisen tietoturvan tila?
- Tietosuojaa ja tietoturvaa kannattaa tarkastella samalla kertaa kokonaisuutena, koska asetuksen vaatimuksissa ne kytkeytyvät tiivisti yhteen. Arvioinnin perusteella huomataan tärkeimmät puutteet ja kehityskohteet. Niiden pohjalta voidaan päättää jatkotoimenpiteistä, Paasonen toteaa.

Paasosen mukaan asetuksen lähtökohtana on riskilähtöisyys. Siksi nykytilan analysoinnissa pitää ottaa huomioon myös koko organisaation riskienhallintaprosessi. Tietosuoja-asetuksen mukaan rekisterinpitäjä ja henkilötietojen käsittelijä ovat velvollisia arvioimaan, mitä riskejä tietojen käsittelyyn liittyy ja valitsemaan arvion pohjalta tarvittavat hallintatoimenpiteet.
- Näin on luonnollista, että tietosuojariskien hallinta otetaan osaksi koko organisaation riskienhallintaprosessia, Paasonen huomauttaa.

Huolehdi järjestelmien ja laitteiden turvallisuudesta

Käyttöjärjestelmien, sovelluksien sekä laitteiden haavoittuvuuksien hallinnalla on tärkeä rooli tietosuoja-asetuksen noudattamisessa, sanoo F-Securen senior sales engineer Tuomas Miettinen.

Maailmalla havaitaan vuosittain noin 8000 uutta haavoittuvuutta, joista Miettisen mukaan 50–300 on kriittisiä ja hyväksikäytettyjä. Kyse on jatkuvasta taistelusta aikaa ja rikollisia vastaan: tunnistetun haavoittuvuuden päivittäminen eli korjaaminen vie keskimäärin jopa yli sata päivää, mutta rikolliset hyödyntävät haavoittuvuuksia keskimäärin vain noin kahden viikon kuluessa niiden tulosta julkisuuteen.

Miettinen neuvookin yrityksiä kartoittamaan ja raportoimaan haavoittuvuuksista jatkuvasti. Tarkkailuun kannattaa ottaa kaikki mahdollinen eli käytössä olevat palvelut, sovellukset, verkot ja laitteet.

Yrityksen tietoturvassa kerroksellisuus on tärkeää.
- Suojaa kaikki työasemat, palvelimet, mobiililaitteet, sähköposti, verkkopalvelut, pilvipalvelut. Salaa sähköpostiliikenne, joka sisältää tietosuojalain mukaista tietoa ja muista suojata myös salasanat, Miettinen luettelee.

Yrityksissä tietoturvakysymykset eivät ole ainakaan vähenemässä, sillä yhä useampi laite on tavalla tai toisella verkossa kiinni. Miettisen mukaan verkkoon kytkettyjen IoT-laitteiden määrä on jo ylittänyt perinteisten tietokoneiden ja puhelimien määrän.

Yritysten näkökulmasta ongelma on, että näiden laitteiden päivitysten hallinta on haastavampaa kuin perinteisten laitteiden.
- Kaikki laitteet eivät edes saa päivityksiä. Kuten F-Securen Mikko Hyppönen on sanonut: aina kun laitetta kuvataan älykkääksi, se on myös haavoittuva, Miettinen huomauttaa.

Tieto on myös kilpailuetu

Oikein käsiteltynä tieto on myös yrityksen kilpailuetu. Tiedon hyödyntäminen on monissa organisaatioissa kuitenkin vasta alkutekijöissään, toteaa business unit director Pekka Pulkkinen Canonilta.

Pulkkisen mielestä tietoon pitäisi suhtautua tuotannontekijänä. Hän vertaa tilannetta perinteiseen teollisuuteen, jossa raaka-aineiden hankinta- ja jalostusprosessien tekijä ja omistaja on usein yksiselitteinen.
- Jos kysytäänkin, kuka omistaa tiedon hankinta- tai jalostusprosessin, voi vastausta olla hankalampi saada.

Pulkkisen mukaan tiedonhallinta perustuu yhä monissa organisaatioissa ulkoisten vaatimusten ja säädösten noudattamiseen. Tiedonhallinnan pitäisi kuitenkin olla entistä suunnitelmallisempaa, sillä tiedon määrä kasvaa ja toisaalta järjestelmät ja ymmärrys tiedosta paranevat koko ajan.
- Ulkoiset säädökset pitää tietenkin ottaa huomioon, mutta lähtökohtana ei saa olla pelkkä riskienhallinta, Pulkkinen sanoo.

Tieto ja sen tehokas hyödyntäminen näkyvät monella eri tasolla yrityksessä: etätyöntekijän sujuvana työskentelynä, prosessien automatisointina tai kokonaan uusina, jo olemassa olevaa tietoa hyödyntävinä palveluina. Pulkkinen huomauttaa, että data, informaatio tai tieto eivät itsessään luo lisäarvoa liiketoiminnalle, vaan tietoa on osattava hyödyntää.
- Tieto auttaa myös tulevaisuuden suunnittelussa, jolloin se perustuu faktaan eikä arvauksiin. Tiedon analytiikka ja raportointi helpottavat muun muassa asiakasprosessin poikkeamien hallintaa ja pullonkaulojen tunnistamista toiminnassa, Pulkkinen huomauttaa.

 

Lataa tästä asiantuntijoiden oppaat, kuinka yritysten kannattaa uudistukseen valmistautua.