Kuka pelkää DPIAa?

GDPR tech

Stanislav Jerzy Lec kirjoitti (vapaasti mukaellen), että pykälän merkki muistuttaa teloitusvälinettä.

Monelle meistä englanninkieliset lyhenteet synnyttävät saman mielikuvan. Yksi tällainen värisyttävä on DPIA (Data Protection Impact Assessment) eli vaikutustenarviointi. Värinä on tarpeetonta: DPIA on taipuisa työkalu, joka oikein käytettynä säästää päivätolkulla työaikaa monessa järjestelmäprojektissa ja toisaalla luo varmuutta uusien prosessien käyttöönottoon.

DPIA on oma miniprosessinsa. Työskentelyn pohjaksi valitaan yleensä joko organisaation oma tai netistä kalastettu excel-dokumentti, jossa on lista aika peruskysymyksiä työn alla olevasta järjestelmän kehittämisestä, sen käyttöönotosta loppuasiakkaalla tai uuden prosessin käyttöönotosta omassa organisaatiossa.

Ja siitä se ralli alkaa: parhaassa tapauksessa yhteinen pohdinta siitä, mitä henkilötietoja tähän järjestelmään kertyy ja ennen kaikkea: tarvitaanko niitä? Millä perusteella niitä kerätään? Mitä niillä tehdään ja miten niistä pidetään huolta.

Henkilötietojen suojan osalta voidaan kylmästi todeta, että näiden kysymysten kera ollaan perimmäisten asioiden äärellä. Vastausten pohdinnan jälkeen alkaa varsinainen sauna, kun aletaan miettiä mitä riskejä uudistus tuo mukanaan.

Se VOI olla epämiellyttävä sauna, mikäli mahtavasti visioidun järjestelmän tai kaiken uudistavan – jopa virtaviivaistavan! – prosessin alta paljastuu ominaisuuksia, jotka eivät kestä DPIA:n myllyttäessä tarkkoja kysymyksiään. Parhaimmassa tapauksessa muutos tai kehitystyö pitää pohtia uudestaan, ja etsiä vaihtoehtoisia, riskittömiä tapoja toteuttaa tavoitteet.

Tämä, jos mikä, on tehokasta. Järjestelmäprojekteissa se säästää työaikaa ja toteuttamisaikaa. Ja mikäli loppuasiakas tyrmää järjestelmän hyödyntämisen omassa DPIA:ssaan, huolellisesti laadittu DPIA pelastaa asiakkuuden ja maineen.

Tietosuojavaltuutetun toimiston verkkosivuilla (tietosuoja.fi) sanotaan näin: ”Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.”

Somasti sanottu. Ja vieläpä totta.

Jaanaliisa Kuoppa

Konsultti

Schrems II, evästehässäkkä ja sanktiot – kuka pysyy perässä?

Viime vuosien aikana on tietosuoja-asioissa tapahtunut paljon – ja jatkuvalla syötöllä lisää! 

EU GDPR vuonna 2016, Suomen tietosuojalaki sitä tukemaan tammikuussa 2019 ja lisäksi etenkin julkishallintoa koskevana tiedonhallintalaki tammikuussa 2020. UK:n Brexit, UK GDPR, eri maiden omat tietosuojalait kuten Etelä-Afrikan POPIA ja Kiinan PIPL (vedos) kasaavat organisaatioille paineita. 

Lisäksi pilvi- sekä SaaS-palveluiden käyttö kasvaa. Toisaalta vanha sopimus Yhdysvaltojen kanssa, Privacy Shield, kumottiin heinäkuussa 2020. Evästehässäkän osalta Helsingin hallinto-oikeus kumosi keväällä 2021 Liikenne- ja viestintäviraston (Traficom) tekemät päätökset koskien verkkosivujen evästekäytänteitä ja ristiriitaiset ohjeistukset ehkä saavat tänä vuonna selvyyttä.

Miten nämä vaikuttavat tietojen ja sovellusten käyttöön? Kuka pysyy perässä näissä muutoksissa, kun osa organisaatioista ei ole aloittanut edes GDPR:n minimitoimia? Etene osissa osoitusvelvollisuuden osalta. Alla muutama ajankohtainen huomio. Jos jää kysyttävää, ota yhteyttä!

Schrems II – loppuuko pilvipalveluiden käyttö?

Varsinainen soppa, jossa taustalla Itävaltalainen tietosuoja-aktivisti Max Schrems, joka pani ensin Facebookin polvilleen henkilötietojensa käsittelystä (Schrems I), ja seuraavaksi hän puuttui henkilötietojen siirtoon Yhdysvaltoihin ensin ”Safe Harbour” ja myöhemmin ns. ”Privacy Shild” -sopimuksen osalta. Kesällä 2020 tuli päätös, jossa mukana EU-tuomioistuin sekä Euroopan tietosuojaneuvosto (EDPB). Pitkä tarina lyhyenä ja lopputulos – Privacy Shield -sopimus kumottiin, mistä EDPB on todennut näin.

Tuomioistuin totesi Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyyttä koskevan päätöksen pätemättömäksi, koska tietojen siirtäminen kyseiseen kolmanteen maahan merkitsee puuttumista niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään.

Tämä päätös astui voimaan ilman siirtymäaikaa kesällä 2020. Niinpä Yhdysvaltoihin ”siirrettävä data on suojattava EU GDPR:n tasoisesti, muuten siirto on laiton”. Tähän taas liittyy käsite ”siirto”, josta keskustellaan, onko ”käsittely” siirtoa eli jos Yhdysvalloista on pääsy dataan, onko tämä siirtoa. Tiukasti tulkinnut Saksan tietosuojaviranomainen on esimerkiksi kieltänyt Mailchimp nimisen sähköpostimarkkinointiohjelman käytön. 

Tämä taas on joidenkin yritysten keskuudessa tulkittu Mailchimp ongelmaksi, joka se ei ole. Tiukimpien tulkintojen mukaan minkä tahansa palvelun, jossa henkilötietoon on pääsy Yhdysvalloista, käyttö tulisi joko lopettaa tai miettiä ”lisäsuojauksia” tai mahdollisesti uusien mallisopimuslausekkeiden käyttöä. Näissä taas ongelmana on se, että jos maan lainsäädäntö esimerkiksi edellyttää pääsyä dataan, se täytyisi antaa – riippumatta miten se on suojattu tai millainen sopimus on tehty. 

Miten tästä nyt selvitään? Ensimmäiseksi on tiedettävä, mitä sovelluksia on käytössä ja missä dataa käsitellään.

Mitä suosittelemme tehtäväksi?

Olennaista on muodostaa todellinen kuva tietojen käsittelystä. Moneen yllä mainittuun nimittäin liittyy tietojenkäsittelyn kuvauksien päivittäminen ajan tasalle (seloste käsittelytoimista, siis sisäinen dokumentaatio). Lisäksi vaikutustenarvioinnit (DPIA), tietojenkäsittelysopimukset (DPA, data processing agreement) ja mahdollisesti muut sopimukset kuten mallisopimuslausekkeet tai siirtoihin liittyvät vaikutustenarvioinnit (TIA) on saatettava kuntoon.

Etene siis vaiheittain

Käytännön toimien osalta suosituksemme on siis edetä vaiheittain. Sitä voisi kuvata esimerkiksi tällä tavalla:

  • Selvitä missä järjestelmä käsittelee tietoja (toimittaja, maa)
  • Jos dataa käsitellään tai siihen on pääsy EU:n ulkopuolelta, selvitä käsitelläänkö siinä EU GDPR:n alaisia tietoja
  • Selvitä, onko sinulla vaihtoehtoa siirtää palvelua EU:n sisälle – esimerkin Mailchimp tai ActiveCampaign löytyy kyllä vaihtoehtoja, jopa Suomesta
  • Seuraava järjestelmä – käy läpi kaikki järjestelmäsi – jos niitä on paljon, niin priorisoi tärkeimmät aluksi

Me teemme myös näitä selvityksiä, joten tarvittaessa ota yhteyttä, laitetaan Schrems II ja GDPR asiat kuntoon!

Evästeistä, Vastaamosta ja ylitulkinnoista: asiantuntijamme keskustelevat

GDPR Techin asiantuntijat vaihtoivat ajatuksia viime vuodesta ja myös nykyisestä. Kävimme keskustelua tiimin kanssa viime vuodesta, viestinnästä sekä tietosuojatyön nykytilasta. Mukana keskustelussa oli tiimistämme Jaanaliisa, Mervi ja Juha.

JUHA: Minulla on sellainen tunne, kun on viime aikoina puhuttu mm. evästeistä ja markkinoinnista ja markkinoinnin seurannasta, että se jakaa laajasti yrityksiä. Osa käsittelee tietoja vähän törkeästi ja osa edes yrittää miettiä, miten markkinoida lainmukaisesti. Pääosa ei edes tiedä mitään jostain ePrivacystä, mutta evästeisiin kuulemma pitää olla joku hyväksyntä. Kuulemma lain mukaan pitää myös sivulla olla joku rekisteriseloste.

Näitä on sitten nettisivut täynnä, mutta teknisesti evästebannereista noin 99 % ei toimi. Kysymys kuuluu, onko tehty riittäviä ”teknisiä ja organisatorisia toimia” laittamalla joku cookie-popup sivustolle. Sehän vain ärsyttää. ”Rekisteriseloste” ja sen pakollisuuskin on ymmärretty väärin – kysehän on informointivelvoitteesta, jossa verkkosivu on näppärä paikka. Nimenä voisi olla ”lupaus tietojen käsittelystä” tai ”Tietosuojalupaus”.

JAANALIISA: Traficomin lepsu ohjeistus antaa luvan painaa löysää kaasua. Tässä siis teille automiehille!

Mietin, tuleeko tänä vuonna asenteeseen jokin muutos: viime vuosi ainakin jätti kovan perinnön Vastaamo-keisin takia. Kaipa yritykset vain käpertyivät tilanteessa eivätkä halua lähteä penkomaan ja kyseenalaistamaan tekemiään ratkaisuja.

MERVI: Mieleen tulee lähinnä maturiteetin kasvun GDPR:n voimassaoloajan funktiona. Eli selkokielellä se, että alun yli- ja alilyönneistä (uhkakuvien maalailu, GDPR-ylitulkinnat ja misinterpretaatiot vs. se, että ollaan niin kuin GDPR:ää ei olisikaan) ollaan toivon mukaan päästy tasaisemmalle maaperälle. Uhkakuvat ja kiusanteonomaiset GDPR-tulkinnat eivät toteutuneetkaan, vaikka GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

JUHA: Tuo Traficom-ohjeistus on todella erikoinen. Nyt ollaan taas tilanteessa, jossa yritys toimiessaan Suomessa tai kansainvälisesti, ei ihan tiedä mitä ohjeita pitää noudattaa. Traficom-ohjeilla voi päätyä sanktioille esim. Belgiassa tai Espanjassa.

Mervin huomioon lisänä, että nyt on yritysten kauppojen yhteydessä alettu Due Diligence -prosessissa kiinnittää huomiota siihen, ovatko asiat kunnossa. Syksyn psykoterapiakeskuksen case näyttää alustavasti siltä, ettei ole. Tästä on noussut nostoja myös muuhun toimintaan liittyen.

JAANALIISA: Yrityksissä ja myös organisaatioissa ovat pohdinta- ja päätöksentekoprosessit usein hitaita. Tämä monelle tuttu kokemus tuli mieleeni Mervin maturiteetti-maininnasta. Haluan ajatella, että erityisesti Vastaamon tapauksen jälkeen muissakin kuin sote-yrityksissä on alettu epäillä oman organisaation tietojen tilaa ja siksi suunnitella tarpeellisia GDPR-aktiviteetteja.

Näin ajattelen, ja toivon myös.

JUHA: Niinpä – organisaation valmiuteen tai maturiteettiin liittyvää on myös GDPR-koulutus ja usein sen räikeä puute.

Jostain syystä edelleen GDPR nähdään pakkona, uhkana ja työnteon estäjänä. Sen sijaan pitäisi miettiä, miten suojataan ihan tavallisten ihmisten tietoja ja siinä samalla liiketoimintaa. Valitettavasti näyttää siltä, että Suomessa Vastaamosta yhtiönä tulee ensimmäinen GDPR:n ”uhri” vaikka todelliset uhrit ovat asiakkaat, joiden tietoja on julkisten tietojen mukaan käsitelty leväperäisesti.

Asia on sama, mistä on puhuttu aiemmin: joku yksittäinen paperidokumentti ei todellakaan riitä, vaan tämä on jatkuvaa työtä samaan tapaan kuin osakeyhtiön kirjanpito.

JAANALIISA, MERVI ja JUHA: Tietosuojatyö ei siis hävinnyt minnekään, GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

Tietosuojatyössä on varmasti kaikilla kehitettävää, tärkeää on havaita ja aikatauluttaa tärkeimmät.

Pienenkin muutoksen jalkauttamiseen kannattaa panostaa

GDPRTech

Juha kirjoitti Marraskuun blogissaan suunnittelun ja valvonnan merkityksestä tietosuojan tason takaajina – tärkeitä asioita molemmat. Hyvin suunniteltu tarkoittaa, että palveluita ja järjestelmiä on myös helppo käyttää. Ylivoimaisesti suurin osa yritysten ja yhteisöjen työntekijöistä ei GDPR:stä juurikaan tiedä tai välitä: tämä on ihan normaalia eikö fanaattisinkaan tietoturvapiällikkö tai tietosuojavastaava voi enempää toivoa.

Juuri siksi suunnitteluvaiheessa on tärkeätä pohtia, miten GDPR:n vaatimukset organisaation sisäisesti kommunikoidaan, koulutetaan ja toteutetaan.

Kommunikointi olisi hyvä aloittaa jo hankkeen siinä vaiheessa, jossa tiedetään mitä ja minkälaista dataa säilötään ja käytetään, eli juuri kun datan tila ja tarve on kartoitettu. Valitettavan usein viestintä jää pariin sähköpostiin, joissa voivotellaan kiusaa, jonka lainsäätäjä on meille yksipuolisella ilmoituksella antanut ja jota nyt vaan on pakko noudattaa. Ohjeistuksessa kerrotaan sitten muutamalla ranskalaisella viivalla vain se mitä ei saa tehdä.

 Mielestäni tässä vaiheessa on riski tehdä ensimmäinen virhe, ja aika kallis sellainen. Pakko on huono motivaattori: jos henkilökunnalle edes pääpiirteittäin selitetään, mistä on kyse ja miten väärinkäytökset voivat vaikuttaa liiketoimintaan, ihmismielen on vaivattomampaa omaksua asia ja motivoitua tietosuojatyöhön. GDPR on hankalasti tulkittavaa lakitekstiä ilman suoranaisia ohjeita siitä, miten asiat pitää hoitaa. Silti siitä voidaan tunnistaa tarpeellisia käytännön toimia, jotka voidaan organisaatiossa myös suunnitella käytettävyydeltään vaivattomiksi.

Henkilökunnalle suunnattu koulutus pitäisi aina muokata asiakkaan tarpeita ja tilannetta vastaavaksi eikä oikoa mutkia ja kopioida suoraan mitä on aikaisemmin tehty. Tällöin otetaan huomioon perustelut tietosuojatyölle, jolloin henkilökunnan on helpompi ymmärtää ja hyväksyä sille asetetut vaatimukset. Tietosuoja on toki yrityksen vastuulla, mutta töppäily omassa työssä yleensä tekee hallaa urakehitykselle tai voi jopa olla sen loppu. Tietämättömyys ei ole enää käyttökelpoinen peruste.

Käytettävyys valitettavan usein jää kauniiden esitysten ja kaavioiden tasolle, joita laadittaessa henkilökunnan kokemuksia ja osaamista ei kuunnella. Kuka tietää paremmin kuin henkilökunta miten yrityksessä hoidetaan asiat? Palvelumuotoilun oma perisynti taas on testauksen puute jo suunnitteluvaiheessa; käytännössä prosessit usein kopioidaan eivätkä välttämättä sovi kyseisiin tarpeisiin.

Summa summarum: yhteistyössä asiantuntijan kanssa suunniteltu ja toteutettu GDPR- tai tiedonkartoitusprojekti onnistuu aina paremmin kuin googlettamalla kasattu lista toimenpiteistä, joiden tulkitseminen ja toteuttaminen loppukädessä jää suurelta osin henkilökunnan tehtäväksi. Pahimmassa tapauksessa, jäävät osittain tekemättä.

Meillä GDPR Tech:ssä on osaajia myös kommunikaation, koulutuksen ja palveluiden käytettävyyden suunnittelussa. Kohtuullinen lisäpanostus muutoksen jalkauttamiseen maksaa kyllä itsensä takaisin, kun projektin tuloksia arvioidaan jälkeenpäin.

Pelkkä päiväkäsky toimia niin tai näin jää todennäköisesti otsikkotason suoritukseksi eikä turvallista henkilötietojen käsittelyä saada osaksi yrityksen tai yhteisön toimintakulttuuria.

Kirjoittaja on yritystietoturvan moniottelija joka viimeaikoina on hurahtanut palvelumuotoilun koukeroihin ja kokenut valaistumisen käytettävyydestä olennaisena osana kokonaisuutta.

Vaikutustenarviointi eli Data Protection Impact Assessment – siis mikä?

Tietosuoja-asetuksen perusteisiin kuuluu henkilötietojen käsittelyn suunnittelu. Hyvä suunnitelma johtaa yleensä hyvään toteutukseen, mutta valitettavasti sekään ei riitä. Toteutusta pitää valvoa: on varmistettava, että toteutus todella vastaa suunniteltua.

Siispä – Plan – Do – Check – Act. Kuulostaa yksinkertaiselta, mutta kuten Suomessakin on nähty ensimmäisten GDPR-sanktioiden myötä, toteutus ei välttämättä vastaa suunniteltua.

Käynnistyvän projektin alussa on hyvä miettiä vaikutustenarvioinnin (DPIA) tarpeellisuutta.

Mikäli DPIA (eli Data Protection Impact Assessment) osoittaa, että henkilötietojen suojaan kohdistuu korkea riski, tietosuojavaltuutetun ennakkokuuleminen on pakollinen. Tämä voi olla haasteellista projektin aikataulutuksen osalta, sillä asetuksen mukaan (artikla 36 ) tietosuojavaltuutetun on annettava viimeistään kahdeksan viikon kuluessa ohjeet rekisterinpitäjälle. Määräaika voi kuitenkin venyä tästä vielä kuudella lisäviikolla. Tämä voi siis venyttää projektia yli kolmella kuukaudella.

Vaikutustenarviointi voidaankin kytkeä suunniteltuun projektiin näin:

Mitäs jos kylmästi jättää vaikutustenarvioinnin tekemättä?

Siinä on melkoinen riski. Esimerkkinä suomalainen yhtiö, joka otti käyttöön ääntä ja kuvaa tallentavan kameravalvontajärjestelmän eikä tehnyt vaikutustenarviointia. Toukokuussa 2020 tietosuojavaltuutettu määräsi yhtiölle kokonaisuutena hallinnollisen sakon, joka oli 0,8 prosenttia liikevaihdosta. Sakkoon vaikuttivat myös muut puutteet henkilötietojen käsittelyssä.

Milloin se kannattaa tehdä?

Otetaan esimerkiksi yhtiö, jolla on tehdasalueellaan vanhentunut kulunvalvonta, jonka uusiminen on tarpeen. Tässä vaiheessa aletaan miettiä, onko tarpeen tallentaa kävijöiden autojen rekisteritunnus, tallennetaanko tiedot pilveen vai palvelimessa toimivaan sovellukseen ja otetaanko käyttöön uusia palveluja, jotka voivat johtaa tietojen siirtoon Yhdysvaltoihin. Tärkeitä kysymyksiä – erityisesti tuo viimeinen, sillä Privacy Shield ei enää toimi mekanismina.

Tässä tilanteessa suosittelemme vaikutustenarvioinnin tekemistä. Siihen löytyy ohjeet Tietosuojavaltuutetun sivulta. Myös meiltä saat työskentelyä tukevan taulukon pyytämällä (juha@gdprtech.com). Taulukkomme on muokattu yrityskäyttöön Vantaan ja Helsingin kaupungin tekemien taulukoiden ja ohjeiden pohjalta.

Henkilötietoja suojattaessa riskien hallinta on pääroolissa.
Muistetaan siis ”Plan – Do – Check ja Act”: tuumasta toimeen, varmistetaan tekeminen – ja korjataan tarvittaessa.

Infra hallussa vai hujan hajan? Infran riskit saa hallintaan vain analytiikalla!

Ympäristöissä, joissa ylläpitovastuut ja toimittajat vaihtuvat jatkuvasti, on haastavaa muodostaa tilannekuva. Tiedon saatavuutta kaikissa tilanteissa – myös poikkeustilanteiden aikana – vaativat mm. liiketoiminta, NIS-D ja GDPR. Ja juuri saatavuuden kannalta infraratkaisu on ratkaisevassa asemassa.

Myös silloin, kun käytössä on eri infraympäristöjä kuten oma konesali, toimittajan ympäristö ja pilvipalvelut, voi kokonaisuus ja sen hallinta hämärtyä täysin. Tämä koskee yhtä lailla kustannuksia kuin toiminnan varmistamista. Onnellinen on se, jolla on vain yhden, kahden toimittajan infralaitteita. Kasvun myötä ympäristöillä on taipumus monimutkaistua, niin toimittaja- kuin ympäristömielessä.

  • Pilvipalvelua tuolta. Ulkoistettua kapasiteettia toisaalta. Omaa ympäristöä tehtailla. Kaikki vähän eri toimittajilta – Rubrik, Veeam, EMC Isilon, HP Data Protector, IBM TSM, VMware, Hyper-V, AWS, Windows, HP-UX, Red Hat, noin aluksi.

Kokonaistilanne? Käytetäänköhän tätä kaikkea enää? Mikä ohjelmistoversio on käytössä – onko päivitykset ajettu? Kaikki ympäristöt varmuuskopioitu? Onnistuisiko palautus ajassa, jonka liiketoiminnan jatkuminen vaatii? Onko ympäristöön tullut lisää virtuaalipalvelimia ja onkohan niistä varmuuskopiot pyörimässä?

Kysymysten pitäisi olla rutiinia, mutta kun seuraa medioita, näin ei ole: ”Kiristysohjelma pääsi verkkoon sisälle ja varmuuskopiot eivät toimineet”. Jos varmuuskopioita ei ole, ne eivät voi toimia.

Monessa maassa ja eri konesaleissa toimivassa organisaatiossa tilanne voikin näyttää tältä: kapasiteettia on eri alustoissa, joiden käyttö maksaa maltaita.

Säädösten ja vaatimusten mukaisuus (edelleen GDPR ja NIS-D) edellyttää, että varmuuskopioiden voidaan todentaa olevan toimivia. Tämä on toki normaali vaatimus jo liiketoiminnan jatkuvuudellekin.

Yhtenäinen näkymä kytkee yhteen eri ympäristöt. Se auttaa vastaamaan tuskaisiin kysymyksiin: onko jossain palvelimia ilman varmuuskopioita? Onko kapasiteetti hallinnassa? Mitkä ympäristöt ja järjestelmät ovat tiensä päässä tai jääneet käyttämättä?

Raportit näyttivät yhtenäisiltä, vaikka tietolähteet ovat eri valmistajien tuotteita. Ne on muodostettu työkalulla, joka kaivaa eri tietolähteistä tarpeelliset tiedot ilman agentteja ja tietoturvallisesti sekä koostaa tiedoista riippuvuuksien kautta eri syväluotaavia koosteita.

 Raporteista pääsee myös ajantasaisiin syväteknisiin näkymiin, jos niin tarvitaan.

Kyseinen työkalu on Veritas APTARE IT Analytics. Teemme APTARE:lla myös infrakartoituksia, joissa käydään läpi riittävä määrä ympäristön ydinkomponentteja. Näistä tiedoista koostetaan suositukset, joissa tunnistetaan riskit ja määritellään korjattavat kohdat. Kysy lisää tai pyydä demo.

Mitä järkevää tapahtui GDPR-vuonna 2019?

GDPR Tech täytti joulukuussa 2019 kolme vuotta. Nyt onkin hyvä hetki tarkastella, mitä on saatu aikaan. Aina jää jotakin tekemättä – niin myös meillä.

Meillä GDPR Techissä on kantavana teemana ”GDPR-asioissa järjen käyttö on sallittua”. Sillä tarkoitamme, että tietosuojatyö koostuu monesta elementistä, mutta olennaisin on se, että toimitaan järkevästi henkilötietojen suojaamisessa.

GDPR:ää pidetään monimutkaisena ja hankalana toteuttaa. Kyse on kuitenkin riskien hallinnasta ja elävien ihmisten tietojen käsittelystä. GDPR määrittää puitteita, mitä saa tehdä. Tarkoitus on yhtenäistää tietojen käsittelyyn liittyviä säännöksiä Euroopan alueella ja vähän ylikin – ei estää normaalia liiketoimintaa tai hankaloittaa arkipäivää.

Kaikkihan tietenkin toimivat lakien mukaan ja tiedoistamme pidetään huolta, miksi tätä sitten tarvitaan?

 Syy tähän on se, että viime vuosien aikana tietojamme käytetään laajemmin ja laajemmin eri tarkoituksiin – ja monet yhtiöt todella luulevat omistavansa juuri SINUN tietosi. Niin, uskoakseni ne sinunkin mielestäsi kuuluvat sinulle, eivät naamakirjalle tai kuukkelille.

Euroopassa GDPR on täyttä totta

Muutamia esimerkkejä Euroopasta: mitä mieltä olet, onko näissä järki ollut mukana?

  • Englantilainen lentoyhtiö jätti web-sivunsa teknisen ylläpidon tekemättä ja noin 500 000:n ihmisen tiedot kopioitiin vääriin käsiin. Olisiko sinusta mukava olla yksi näistä, joiden tiedot ovat jossain hyödynnettävissä väärinkäytöksille?
  • Norjalainen kunta ja sen koulu tallensivat oppilastietoja mukaan lukien käyttäjätunnus ja salasana paikkaan, josta opiskelijat pääsivät toistensa tietoihin käsiksi. Haluaisitko sinä, että lastesi opiskeluun liittyviä tietoja pääsee tutkimaan koko koulu?
  • Saksalainen sairaala ei pysynyt asiakkaiden osalta laskuissa mukana, vaan laskutti tehdyistä asioista vääriä henkilöitä. Olisiko sinusta mukavaa, että Saksassa vaihto-opiskelijana olevan lapsesi terveystietoja onkin annettu jollekulle Jörgenille?

Ei ollut näiden maiden tietosuojavaltuutetun toimistonkaan mielestä järkeä ja jokaisesta ylläolevasta on määrätty korjauskehotuksia, ja lopulta kun muu ei auttanut, myös sanktioita. Kymmenistä tuhansista satoihin miljooniin euroihin, riippuen tapauksesta.

Mitä sitten pitäisi tehdä, että toiminta täyttää GDPR:n vaatimukset vuonna 2020? Riittääkö kerran tehtävä harjoitus?

GDPR-työmme jakautuu neljään osaan, josta piirakkakaaviona oheinen:

  • Regulaatioon eli asetukseen ja säädöksiin perustuvat vastuut: tyypillisesti sopimukset ja vastuuasiat

Pelkillä lainopillisilla neuvoilla ei kuitenkaan pärjätä ja tarvitaankin kolmea muuta:

  • Ohjeistukset, koulutukset ja sovellukset
  • Tietoturva: tekninen ja hallinnollinen
  • Tiedonhallinta: rakenteellinen ja rakenteeton tieto

Kertaponnistus on hyvä alku. Tietosuojan tason pitäminen hyvänä edellyttää jatkuvaa työtä.

Hyvää alkanutta vuotta 2020! Tehdään tästäkin vuodesta turvallisempi kuin menneestä vuodesta.

Juha Sallinen

Tietopyyntö johti tietoturvaloukkaukseen!

tietopyynto_johti_tietoturvaloukkaukseen

Organisaatiolle tuli tietopyyntö erossa asuvalta lapsen isältä. Pyynnössä isä väitti olevansa lapsen huoltaja, ja siten oikeutettu saamaan lapsen terveystietoja. Isä sai tietopyynnössä puhelinyhteystiedot äidistä, lapsen vanhemmuuteen liittyvää tietoa, toisen lapsen tietoja, lastensuojelutietoja poliisiraporttina sekä myös sosiaalihenkilöiden tietoja.

Viranomainen määräsi organisaatiolle 40 000 punnan sanktiot, sillä tietovuoto oli vakava. Väärälle henkilölle ja ilman oikeutusta päästä tietoihin käsiksi toimitettiin arkaluonteista tietoa sekä alaikäisten tietoja.

Organisaatio kärsi maineriskistä, oikea huoltaja kärsi stressistä, ja tietosuojaa rikottiin. Tietoja pyytävän henkilön osalta ei varmistettu hänen oikeuttaan päästä tietoihin. Tarkemmassa läpikäynnissä todettiin, että tietopyyntöä ei oltu käsitelty prosessina eikä koulutusta tai valvontaa ollut.

Valitettavasti yllä oleva on todellinen tietopyyntö Englannista vuodelta 2016.

Monessa organisaatiossa ja sivuston ”tietosuojaselosteessa” on selviä virheellisiä ajatuksia siitä, miten tietopyyntö pitäisi toteuttaa, ettei samalla itse syyllistytä tietoturvaloukkaukseen. Esimerkkejä alla.

  • Henkilöä vaaditaan tulemaan paikan päälle. Tästä muodostuu kömpelö prosessi, eikä ainakaan asiakasmyönteinen kokemus.
  • Henkilölle ei anneta vaihtoehtoa saada tietoja sähköisesti. Tätä ei toteuteta, koska organisaatio ei ole valmistautunut tähän. Organisaation täytyy toimittaa tiedot sähköisessä muodossa, jos henkilö niitä sähköisesti pyytää.
  • Henkilöä ei todenneta riittävällä tavalla, ja luotetaan esim. sähköpostin lähettäjätietoon. Organisaation velvollisuus on todentaa henkilöllisyys riittävällä tavalla. Tässä täytyy myös suhteuttaa keskenään pyydetyt tiedot ja niihin liittyvä mahdollinen riski.
  • Henkilöä pyydetään todentamaan henkilöllisyytensä esim. pyytämällä skannattu kopio passista, ja pyydetään passikopio lähetettäväksi sähköpostin välityksellä. Organisaatiolla ei todennäköisesti ole mitään passissa olevia tietoja, joita se vertaisi pyydettyyn passiin.

Fakta – rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys riittävällä tavalla.

Haluaisitko Sinä, että tietosi annetaan jollekulle täysin tuntemattomalle ihmiselle, tai ne poistetaan väärän ihmisen toimesta? Niinpä, en minäkään haluaisi.

Helppo vaihtoehto tunnistamiseen - tee tästä prosessi

Valmistaudu tietopyyntöihin, ja luo sille askeleet tai työnkulku – siis prosessi. Ensimmäinen kohta on valmistautua tietopyyntöihin siten, että ne eivät kuormita organisaatiota eivätkä toisaalta myöskään johda tietoturvaloukkaukseen.

Alla olevassa kuvassa vaiheessa (1) henkilö tunnistetaan riittävällä tavalla. Tämä voidaan helposti toteuttaa esimerkiksi käyttäen Visma Sign -lomaketta, tai Visma Sign API-rajapintojen kautta liitettävyyttä muuhun toiminnallisuuteen. Kohdissa (4) ja (5) tarkistetaan henkilön oikeus saada tietoja käyttöönsä. Kohdassa (7) on mietitty valmiiksi sopiva esitysmuoto, esim. PDF-dokumentti, ja seuraavissa kohdissa on varmistettu turvallinen toimitus tiedoista pyytäjälle.

Vaikeaa? Ei. Kun käytössäsi on esimerkiksi Visma Sign, voit tehdä tietopyyntölomakkeen helposti – esimerkki tässä:

https://www.vismasignforms.com/form/000ec743-a6b1-4aea-ba68-37d20ed0aeb0

Ota sähköisen allekirjoituksen ja sähköiset lomakkeet sisältävä Visma Sign käyttöön itse, tai pyydä meiltä tukea. Jos tarvitset tietopyyntöprosessiin apua, autamme toki siinäkin.

Visma Sign -rekisteröinti helposti tästä:

https://sign.visma.net/register?affiliate=GDPRTECH

Henkilötietoja skannatuissa kuvissa ja kuvatiedostoissa – riski tietojenkäsittelyssä?

Kun käsittelette asiakkaan tai työntekijän tietoja, käytättekö esimerkiksi skannattuja tai kuvattuja tiedostoja, kuten kuvia ajokortista tai sähköpostitse lähetettyjä passikopioita? Esimerkiksi EU GDPR ei sinällään kiellä tällaista toimintatapaa, mutta onko kuvatiedostot tallennettu paikkoihin, joissa suojaukset ovat varmasti kunnossa? Miten varmennat tilanteen?

Olemme tehneet Dark Data Assessmentia eli tiedonkartoituksia vuodesta 2016 lähtien, ja silloin tällöin olemme tehneet huomioita myös tilanteista, joissa olisi ollut hyödyllistä tietää esimerkiksi kuvien mahdolliset riskit. Kartoitusvaiheessa useimmiten käyttämämme Veritas Technologies Data Insight 6.1:n viimeisin päivitys RP4 tuo nyt mukanaan ominaisuuden, jossa voidaan sisältöskannauksen yhteydessä lukea kuvien sisältö. Ominaisuus on jo aiemmin ollut olemassa muun muassa arkistointituotteissa, joten toiminto ei ole aivan uusi.

Otetaan esimerkki tapauksesta, jossa työsopimus on skannattu .tiff-muotoon ja tallennettu tiedostopalvelimeen. Skannaus suorittaa OCR:n kuvatiedostolle ja hakee siitä säännöstöjen mukaisia osumia. Tässä tapauksessa HR-säännöstö on löytänyt ”työsopimus”-sanoja kuvatiedostosta.

Mallikuvasta nähdään, että koska kuvalle tehdään optinen merkintunnistus, on kuvatiedoston laatu tärkeä huomioida. Vaikka kuvien laatu nouseekin tunnistusprosessissa pieneksi haasteeksi, saadaan tällä menetelmällä huomattavasti parempi lopputulos, kuin käymällä käsin läpi tuhansia tai miljoonia tiedostoja.

Miten mallikuva ajokortista sitten tunnistettiin? Varsin tehokkaasti! Alla esimerkki siitä, miten osumien luottamustaso voidaan varmentaa ennen kuin aloitetaan automatisoitu kartoitus. OCR on tunnistanut Meri Anna Auroran nimen kokonaan oikein ja tunnistanut samalla myös ajokortissa olevan henkilötunnuksen (alla keltaisella korostettuna). Kuvassa olevaa sanaa ”ajokortti” ei ole tässä esimerkissä haettu, mutta sekin on täysin mahdollista lisäsäännöstöjä käyttämällä.

Palveluihimme kuuluu vakioitu tiedonkartoituspalvelu Dark Data Assessment – DDA 4D. Kysy lisää siitä, miten voimme auttaa teitä vähentämään riskejä henkilötietojen käsittelyssä! Sen lisäksi, että DDA 4D auttaa tunnistamaan henkilötietojen käsittelyn riskit, se tarjoaa myös muita hyötyjä, kuten arvion rakenteettoman tiedon tallennuksen tilanteesta sekä ehdotuksia korjaavista toimenpiteistä.

Ota kuvatiedostojen tietosuojariskit hallintaan – tilaa DDA 4D -kartoitus nyt!

#DDA #DarkDataAssessment #GDPR

Vuosi vaihtui ja työt jatkuvat – mikä muuttui?

GDPR-vuosi 2018 on takana. Taakse jäi toukokuun viestitulva ja provosoivia GDPR:aan liitettyjä otsikoita saunavuorolistoista ja seurakuntavaaliehdokkaiden nimien julkaisemisesta lähtien. GDPR:aa täydentävä, tietosuojavaltuutetun toimivaltavajeen korjaava kansallinen tietosuojalaki astui voimaan 1.1.2019.

Merkittävä määrä yleistä toimintaympäristöä heikentävää epämääräisyyttä ja höpöpuhetta on siis takana päin. Nyt on hyvät mahdollisuudet keskittyä itse asiaan, kun lainsäädännöllinen tilanne on kunnossa ja oikeaa tietoa on saatavilla eikä kaistanleveyttä toivottavasti (enää) käytetä luulojen lietsontaan.

GDPR ei edelleenkään aseta mitään sellaisia vaatimuksia, joita ei henkilötietoja käsittelevässä organisaatiossa olisi hyvä laittaa kuntoon. Asiaan kunnianhimoisimmin suhtautuvat organisaatiot analysoivat tietovarantonsa, mallintavat tietovuonsa sekä selventävät näihin liittyvien ihmisten, prosessien ja sovellusten toiminnan. Vähemmälläkin pärjää, kunhan asioiden todellisen laidan ja sen, miten niiden luullaan olevan välillä ei ole liian suurta eroa. Tämä tarkoittaa mm. sitä, että muidenkin kuin organisaation avainhenkilöiden tulee olla kartalla.

Omalta osaltani Sarasen Data Security Pro – koulutusohjelma on nyt taputeltu. Koulutusohjelma sisälsi edustavan kattauksen tietosuojaan ja käytännön tietoturvaan liittyvää koulutusta ja toimi hyvänä virikkeenä varsinaiseen työntekoon GDPR Techissa. Koulutuksen teknisimmissä osuuksissa merkillepantavaa oli se, kuinka suuri osuus käsitteli verkkosivuihin liittyvää tietoturvaa. Toki on loogista, että näin on, kun suuri osa käyttäjien vuorovaikutuksesta tapahtuu verkkosivujen kautta ja käyttäjienhän tiedot ovat ne rahanarvoisimmat.

Erinomaisia kouluttajia ja heidän tiettyjä asioita koskevaa turhautuneisuuttakin kuunnellessa tuli mieleen, että nimenomaan verkkosivujen toteutuksessa ja toteutukseen liittyvissä työkaluissa olisi syytä siirtyä tietoturvan kannalta varmatoimisempaan ja standardoidumpaan suuntaan. Olen ihan varma, että asioita olisi resursseja säästävästi toteutettavissa ilman, että niistä tulee oikeaa tekemistä estävää, hankalaa pakkopullaa.

Varmaa on myös se, että vaikka tämä koulutusohjelma ja työskentely GDPR Techissa nyt osaltani tältä erää ovat ohitse, aihealueeseen liittyvä tiedonjano ei milloinkaan. Toisin sanoen haastava, mielenkiintoinen ja paljon uuden oppimista sisältävä vuosi aluillaan. Erinomaista ja paljon olennaiseen keskittymistä sisältävää sekä mahdollisimman tietoturvallista uutta vuotta kaikille!

 

Teksti: Mervi Hongisto