Schrems II – Muutos joka koskettaa sinua

Schrems II – Muutos joka koskettaa sinua

Mikä on Schrems II?

  • Euroopan unionin tuomioistuin antoi 16. heinäkuuta 2020 tuomion, jonka mukaan EU:n ja Yhdysvaltojen välinen Data Privacy Shield -sopimus mitätöitiin. Monet yritykset luottivat tähän sopimukseen mm. siirtäessään tietojaan Yhdysvaltojen ja EU:n välillä.
  • Päätöksen seurauksena henkilötietojen siirrot Euroopan talousalueen ulkopuolelle edellyttävät aiempaa kattavampaa riskiarviointia ja mahdollisia lisätoimia. 
  • Henkilötietojen käsittelyllä EU alueen ulkopuolella tarkoitetaan tilannetta, jossa tiedot on tallennettu EU alueen ulkopuolelle ja lisäksi tilannetta, jossa EU alueen sisälle tallennettuun tietoon pääsee etäyhteydellä EU alueen ulkopuolelta. 
  • Tämä tuomio tuli myöhemmin tunnetuksi puhekielenä Schrems II, joka on nimetty Max Schremsin, aktivisti ja asianajajan mukaan, joka aloitti tämän juridisen taistelun Privacy Shield sopimusta vastaan.

Mitä nyt?

  • Päätöksestä on nyt kulunut lähes kaksi vuotta. Eurooppalaisten yritysten on suoritettava yksilölliset arvioinnit jokaisesta tiedonsiirrosta EU alueen ulkopuoliseen maahan varmistaakseen vaatimustenmukaisuuden. Käytännössä tämä tarkoittaa DPIA ja TIA tiedonsiirtoja koskevaa riskiarviointia.
  • Schrems II päätöksen huomiotta jättäminen voi aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.
  • Operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja, mutta yritysten pitää miettiä mitä työkaluja he voivat käyttää.

Suomalaiset yritykset saattavat siirtää valtavia määriä tietoa koko ajan kaukaisille palvelimille. Pilvipalveluiden avulla säilytetään esimerkiksi dokumentteja, valokuvia, videoita, kalenterimerkintöjä ja muita tiedostoja. Monet yritykset saattavat myös käyttää Yhdysvalloissa sijaitsevan yrityksen tarjoamaa työkalua vaikkapa sähköpostimarkkinointiin.

Pilvipalveluiden etuina ovat usein joustavuus ja nopeus. Käyttäjä pääsee lähes mistä tahansa kätevästi käsiksi tietoon, jota on helppo siirrellä ja tarvittaessa jakaa muille. Yritykset myös usein ajattelevat tekevänsä kustannussäästöjä, kun valitsevat esimerkiksi edullisen ja tunnetun työkalun joka toimii pilviteknologialla. Helppouden takana voi kuitenkin vaania vaara, jos palvelu sijaitsee Yhdysvalloissa ja ei oteta huomioon Schrems II päätöksen vaikutuksia. Schrems II päätöksen huomiotta jättäminen voikin aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.

Yhdysvaltain tietosuojalainsäädäntö ei vastaa Euroopan tasoa

Euroopan ja Yhdysvaltojen välillä oli aikaisemmin henkilösuojasopimus nimeltään Safe Harbor. Safe Harbor sopimuksen ollessa voimassa yritykset pystyivät helposti siirtämään tietojaan Eurooppalaisen tietosuojalain mukaisesti. Eurooppalaisten henkilötietoja voitiin käsitellä lain mukaisesti Yhdysvalloissa ja toisin päin. 

Safe Harbor sopimus kuitenkin mitätöitiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Data Privacy Shield. Kuitenkin jo heinäkuussa 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Itävaltalainen lakimies ja oikeusaktivisti nimeltä Maximilian Schrems haastoi Privacy Shield sopimuksen. Tuli ilmi, että Yhdysvaltain lainsäädäntö mahdollistaa viranomaisten pääsyn tarvittaessa Yhdysvalloissa sijaitsevaan henkilötieto dataan.

Tämän jälkeen tietosuojalainsäädännön osalta on todettu eri dokumenteissa, että Yhdysvaltain tietosuojalainsäädäntö ei ole riittävällä tasolla verrattuna Eurooppalaiseen GDPR:ään. Tästä johtuen henkilötietojen käsittely yhdysvaltalaisten toimijoiden osalta ei siis ole eurooppalaisen tietosuojalainsäädännön mukaista eikä sitä kautta hyväksyttävää.

Myös EU:n sisällä tietosuojalainsäädäntö ja tietosuojan taso on erilainen.

Euroopan sisällä nykytilannetta tulkitaan eri tavoin, koska eri maiden lainsäädännöt ovat erilaisia. Myös erilaisia päätöksiä on tehty pitkin Eurooppaa mm. Tukholman kaupunki teki muutaman kuukauden takaisen päätöksen, jossa he totesivat etteivät voi käyttää Microsoft 365 palvelua, Ranska totesi keväällä 2022, että Google Analyticsin käyttö rikkoo tietosuojalainsäädäntöä ja Saksassa Baijerin osavaltion tietosuojaviranomainen on todennut uutiskirjepalvelu Mailchimpin laittomaksi Schrems II -tuomion myötä.

Kolme toimintamallia

Privacy Shield ei ole ollut voimassa nyt lähes kahteen vuoteen. Mitä tämä käytännössä tarkoittaa ja miten tämä vaikuttaa yrityksen operatiivisiin toimintoihin? Tarkoittaako tämä sitä että, yhdysvaltalaisia pilvi- tai SaaS (Software-as-a-Service) palvelutoimittajia ei voi enää käyttää? Olemme listanneet alle kolme mahdollista toimintamallia:

  1. En tiedä, enkä aio tehdä asialle mitään:
    Miksi en voisi jatkaa tai ottaa palveluita käyttöön, koska kaikki muutkin niin tekevät? Naapurin Sepollakin tämä toimii vallan mainiosti, ainakin kaiman kummin mukaan. Jatkan entiseen malliin Schrems II sopimuksesta välittämättä. Otan siis riskin.

  2. Pienennän riskiä:
    Kartoitan riskini ja jatkan joidenkin yhdysvaltalaisten palvelujen tarjoajien käyttöä, mutta teen toimenpiteitä, jolla pienennän tietoturvariskiä. Teen mm. erilaisia teknisiä suojatoimenpiteitä suojellakseni dataani. Tarvittaessa lisään tai korvaan palveluita myös eurooppalaisilla ja suomalaisilla työkaluilla.

  3. Pelaan täysin varman päälle:
    Poistan kaikki yhdysvaltalaiset palvelujentarjoajat ja käytän pelkästään eurooppalaisia tai suomalaisia työkaluja. Luulo ei ole tiedon väärti.

Ei toimintojen kieltämistä vaan henkilötietojen suojaamista!

Itse operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja. Riskialtista on kuitenkin käyttää yhdysvaltalaista palvelujen tarjoajaa toimenpiteisiin, jossa liikkuu henkilötietoja, koska silloin rikotaan tietosuojalainsäädäntöä. Esimerkiksi myös yhdysvaltalainen laskentatyökalu voi olla täysin laillinen, jos sen alaisuudessa ei käsitellä henkilötietoja.

Kartoitetaan riskit yhdessä

Sinulle on tärkeää tunnistaa liiketoimintasi riskit ja varmistaa, että yrityksesi toimii tietosuojalain mukaisesti oikeilla työkaluilla. Varmista, ettet tee turhaa työtä valitsemalla tai kouluttamalla henkilökuntaa uusiin työkaluihin, jotka ovat tietosuoja lainvastaisia.

Riskejä, joita saatat kohdata:

  • Mainehaitta ja brändin arvon lasku
  • Tyytymättömät asiakkaat, jotka ovat huolissaan tietosuojasta
  • Tietovuoto ja tietosuojaloukkaus
  • Kaikki riskit voivat johtaa asiakkaiden menetykseen, sanktioihin tai sakkorangaistuksiin!

Mieti seuraavia kohtia:

  • Miten tieto yrityksessäsi kulkee?
  • Mitä palveluita ja työkaluja on käytössä, mikä on niiden rooli sekä mahdolliset riskit?
  • Mitä muita palveluita tai työkaluja voitaisiin käyttää?

Jos kaipaat apua kartoitukseen suosittelemme sinulle meidän Schrems II työpajaa, jossa vastaamme yllä oleviin kysymyksiin. Katsomme yhdessä yrityksesi tiedonkulun, käytetyt palvelut ja työkalut sekä kartoitamme riskit. Työpajasta syntyy käytännön suunnitelma, jota yrityksesi voi turvallisesti noudattaa.

Tilaa kevyt Schrems II työpaja tästä!

Eettinen ja arvoperäinen toiminta on nykypäivänä entistä tärkeämpää jokaisen yrityksen maineen kannalta. Muista suojella omaa sekä asiakkaidesi dataa. GDPR ei ole katoamassa tai menossa pois – tämä on vasta ensimmäinen kierros, joten mukaan kannattaa hypätä jo nyt!

Selviydytään yhdessä Schrems II:n aiheuttamista haasteista!


Takkatulikeskustelua Huttusen kanssa tietosuojasta ja -turvasta

Kansainvälistä tietosuojapäivää vietettiin 28.1. Ajankohtaisia aiheita käytiin viikolla ja lisäksi otimme haastatteluun yritysturvallisuuden parissa vuosia toimineen konsultti Hannu Huttusen HPH Consultingistä. GDPR Techiltä keskustelussa mukana oli konsultti Juha Sallinen, ja teemoina sopivasti tietosuoja sekä tiedonhallinta.

Järjestimme yhteistyössä Tutkimusvoiman kanssa viime vuoden lopulla kyselyn, jolla kartoitimme organisaatioissa toimivien ihmisten käsitystä GDPR:stä, EU:n tietosuoja-asetuksesta. Yllättävän moni piti asetuksen mukanaan tuomaa muutosta hyvänä: kyselyssä yli 70 % vastaajista koki luottamuksensa kasvaneen henkilötietojen käsittelyyn.

Juha: Tietosuojaan liittyy saumattomasti yritysturva. Olemme muun muassa projekteissamme huomanneet, että etenkin PK-yrityksistä puuttuu riskienhallinta – tai ainakaan riskejä ei ole tunnistettu. Usein projektien jälkeen huomataan, että GDPR-projekti on samalla parantanut yritysturvallisuutta, esim. toimitilojen suojauksien osalta. Tuntuu oudolta, että vielä 2020-luvulla tällaiset asiat eivät ole kunnossa.

Mitä mieltä Hannu olet, mistä tämä johtuu: otetaanko yrityksissä tarpeettomia riskejä?

Hannu: Kun mietitään nykyistä maailmankuvaa ja miten kansainvälinen yrityksiin kohdistuva rikollisuus on rantautunut myös Suomeen, ihan kotimaisinkin voimin, on outoa miten yritykset eivät suhtaudu asiaan vakavasti. Erityisesti siksi, että viranomaiset ovat viime vuosina varoittaneet aktiivisesti lisääntyvästä yritysrikollisuudesta, joten asia ei ole voinut mennä silmien ja korvien ohi.

Kyllä, tarpeettomia riskejä otetaan luvattoman paljon.

Kun olen kysellyt yrityksiltä, miksi riittävään riskienhallintaa ei nähdä tarpeen panostaa, edelleenkin useimmiten vastauksena on, ettei ennenkään ole sattunut mitään tai että yrityksen toiminta on niin pientä/huomaamatonta, ettei se kiinnosta ketään. Ristiriitaista tuosta tekee sen, että miten yritys edes kykenee huomaamaan niihin kohdistuneet rikokset, jos niiden havainnointiin ei ole mitään suunnitelmallisia keinoja ja varautumista.

Juha: Tietosuojalainsäädäntö on aika uutta ja ymmärrän siksi, että riskejä henkilötiedon suojalle ei osata oikein tunnistaa. Kyselyssä tuli esille kuitenkin sekin, että ihmiset ovat aika laajasti huolissaan omien henkilötietojensa käsittelystä, sillä yli 40 % oli huolissaan tietojen päätymisestä rikollisille. Vaikka Suomessa joka vuosi päätyy jopa potilastietoja roskiin ja kaatopaikalle, ajatellaan ”ei tämä varmaan juuri minulle satu”. Eräässä koulutuksessa tuli esiin yrittäjä, joka halusi pystyttää verkkokaupan mahdollisimman helposti ja halvalla kysyen ”mitkä ovat GDPR:n minimit”, joilla pääsee liikkeelle. Kun puhuin verkkorikollisuudesta sekä erilaisista automaateista, joissa kuka tahansa voi jäädä ”alle”, niin selkeästi puhuttiin eri kieltä. Nopeasti ja halvalla, laadusta ja riskeistä viis.

Osasyy näihin riskeihin, mitä me näemme mutta moni ei, on ehkä se, että puhumme eri kieltä eikä ehkä osata tuoda liiketoiminnalle hyötyjä uhkien sijaan. Mitä olet tästä mieltä?

Hannu: Tämä on mielenkiintoinen kysymys, enkä tiedä onko siihen selkeää vastausta? Varmasti yksi syy on eri kielen puhuminen, mutta varmasti myös ymmärtämättömyys siitä, miten luvattomasti hankittua tietoa voidaan hyödyntää tiedon luvallisen haltijan/omistajan haitaksi. Tieto on valtaa ja myös arvokkainta kauppatavaraa, vaikka se kuulostaakin kliseeltä.

Rikolliset ovat entistä kekseliäämpiä tiedon hyödyntäjiä. Tietoyhteiskunnassa tietoa voidaan käyttää materiaalisen omaisuuden hankintaan, jolloin esim. henkilötiedot ovat tavallaan valuutta, jolla tuota omaisuutta hankitaan. Näin yhdistetään vanhan ajan rikollisuus, jolloin omaisuutta hankittiin tekemällä murtoja, nykyaikaan hankkimalla omaisuutta hyödyntämällä tietoa, esim. henkilötietoja verkkorikollisuudessa, jolloin ei tarvitse lähteä kylmään yöhön murtokeikalle.

Juha: Kiitos Hannu keskustelutuokiosta. Yritysturvallisuuteen liittyvissä asioissa kannattaa hoitaa asiantuntijan kanssa: otapa yhteyttä Hannu Huttuseen.

Tietosuoja-asioissa niin me kuin verkostomme voimme auttaa!

Vuoden 2021 tietosuojavaikuttaja on Ari Andreasson

Wakarun ja GDPR Techin järjestämässä GDPR-päivässä on kuultu vuosien aikana monta erinomaista puhujaa. Vuonna 2021 neljättä kertaa pidetyssä GDPR-päivässä nostettiin ensimmäistä kertaa esiin vuoden tietosuojavaikuttaja. Hän on Tampereen kaupungin tietosuojavastaava, tietosuojakirjailija Ari Andreasson.

  • Tietosuoja-asetusta tulkitaan usein väärin ja liiankin kirjaimellisesti. Tästä syystä haluamme nostaa esiin valtakunnallisia toimijoita, jotka osaavat tulkita asetuksen vaatimuksia organisaatioiden todellisuus huomioiden. Ari Andreasson on tunnettu asiantuntevista, ajankohtaisista ja selkeistä esityksistä myös vaikeimmista tietosuoja-asetuksen soveltamisen osista. Tästä syystä on ilo valita hänet vuoden tietosuojavaikuttajaksi, sanoo GDPR Techin perustaja ja toimitusjohtaja Juha Sallinen.

Tampereen kaupungin tietosuojavastaavana toimiva Ari Andreasson tuo esille käytännön toimien tarpeellisuuden tietosuojatyön jalkauttamisen kautta. Hän osallistuu kansallisiin työryhmiin vaikuttaen tietosuoja-asiantuntijana myös valtakunnallisella tasolla. Sivutoiminen kirjoittaminen on tuottanut useita käytännön oppaita kokemuksista niin johdolle kuin tietosuojavastaaville. 

Ari on myös toinen OpiTietosuojaa.fi verkkosivuston perustajista. Sivusto toimii tietosuojavastaavien verkostoitumispaikkana, niin yksityisen kuin julkisen toiminnan linkkinä. Hän on tunnettu asiantuntevista, ajankohtaisista ja selkeistä esityksistä myös vaikeimmista tietosuoja-asetuksen soveltamisen osista.

Ari Andreassonissa asetus kohtaa käytännön toimet: onkin ilo onnitella vuoden 2021 Tietosuojavaikuttajaa. Ari on vastaanottanut asianmukaisen pokaalin Tampereella joulukuun alussa.

GDPR-päivä on kerran vuodessa pidettävä tietosuojaan keskittynyt seminaaripäivä. Puhujat valitaan tarkasti päivän teemaan sovittaen. 

Kuka pelkää DPIAa?

GDPR tech

Stanislav Jerzy Lec kirjoitti (vapaasti mukaellen), että pykälän merkki muistuttaa teloitusvälinettä.

Monelle meistä englanninkieliset lyhenteet synnyttävät saman mielikuvan. Yksi tällainen värisyttävä on DPIA (Data Protection Impact Assessment) eli vaikutustenarviointi. Värinä on tarpeetonta: DPIA on taipuisa työkalu, joka oikein käytettynä säästää päivätolkulla työaikaa monessa järjestelmäprojektissa ja toisaalla luo varmuutta uusien prosessien käyttöönottoon.

DPIA on oma miniprosessinsa. Työskentelyn pohjaksi valitaan yleensä joko organisaation oma tai netistä kalastettu excel-dokumentti, jossa on lista aika peruskysymyksiä työn alla olevasta järjestelmän kehittämisestä, sen käyttöönotosta loppuasiakkaalla tai uuden prosessin käyttöönotosta omassa organisaatiossa.

Ja siitä se ralli alkaa: parhaassa tapauksessa yhteinen pohdinta siitä, mitä henkilötietoja tähän järjestelmään kertyy ja ennen kaikkea: tarvitaanko niitä? Millä perusteella niitä kerätään? Mitä niillä tehdään ja miten niistä pidetään huolta.

Henkilötietojen suojan osalta voidaan kylmästi todeta, että näiden kysymysten kera ollaan perimmäisten asioiden äärellä. Vastausten pohdinnan jälkeen alkaa varsinainen sauna, kun aletaan miettiä mitä riskejä uudistus tuo mukanaan.

Se VOI olla epämiellyttävä sauna, mikäli mahtavasti visioidun järjestelmän tai kaiken uudistavan – jopa virtaviivaistavan! – prosessin alta paljastuu ominaisuuksia, jotka eivät kestä DPIA:n myllyttäessä tarkkoja kysymyksiään. Parhaimmassa tapauksessa muutos tai kehitystyö pitää pohtia uudestaan, ja etsiä vaihtoehtoisia, riskittömiä tapoja toteuttaa tavoitteet.

Tämä, jos mikä, on tehokasta. Järjestelmäprojekteissa se säästää työaikaa ja toteuttamisaikaa. Ja mikäli loppuasiakas tyrmää järjestelmän hyödyntämisen omassa DPIA:ssaan, huolellisesti laadittu DPIA pelastaa asiakkuuden ja maineen.

Tietosuojavaltuutetun toimiston verkkosivuilla (tietosuoja.fi) sanotaan näin: ”Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.”

Somasti sanottu. Ja vieläpä totta.

Jaanaliisa Kuoppa

Konsultti

Schrems II, evästehässäkkä ja sanktiot – kuka pysyy perässä?

Viime vuosien aikana on tietosuoja-asioissa tapahtunut paljon – ja jatkuvalla syötöllä lisää! 

EU GDPR vuonna 2016, Suomen tietosuojalaki sitä tukemaan tammikuussa 2019 ja lisäksi etenkin julkishallintoa koskevana tiedonhallintalaki tammikuussa 2020. UK:n Brexit, UK GDPR, eri maiden omat tietosuojalait kuten Etelä-Afrikan POPIA ja Kiinan PIPL (vedos) kasaavat organisaatioille paineita. 

Lisäksi pilvi- sekä SaaS-palveluiden käyttö kasvaa. Toisaalta vanha sopimus Yhdysvaltojen kanssa, Privacy Shield, kumottiin heinäkuussa 2020. Evästehässäkän osalta Helsingin hallinto-oikeus kumosi keväällä 2021 Liikenne- ja viestintäviraston (Traficom) tekemät päätökset koskien verkkosivujen evästekäytänteitä ja ristiriitaiset ohjeistukset ehkä saavat tänä vuonna selvyyttä.

Miten nämä vaikuttavat tietojen ja sovellusten käyttöön? Kuka pysyy perässä näissä muutoksissa, kun osa organisaatioista ei ole aloittanut edes GDPR:n minimitoimia? Etene osissa osoitusvelvollisuuden osalta. Alla muutama ajankohtainen huomio. Jos jää kysyttävää, ota yhteyttä!

Schrems II – loppuuko pilvipalveluiden käyttö?

Varsinainen soppa, jossa taustalla Itävaltalainen tietosuoja-aktivisti Max Schrems, joka pani ensin Facebookin polvilleen henkilötietojensa käsittelystä (Schrems I), ja seuraavaksi hän puuttui henkilötietojen siirtoon Yhdysvaltoihin ensin ”Safe Harbour” ja myöhemmin ns. ”Privacy Shild” -sopimuksen osalta. Kesällä 2020 tuli päätös, jossa mukana EU-tuomioistuin sekä Euroopan tietosuojaneuvosto (EDPB). Pitkä tarina lyhyenä ja lopputulos – Privacy Shield -sopimus kumottiin, mistä EDPB on todennut näin.

Tuomioistuin totesi Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyyttä koskevan päätöksen pätemättömäksi, koska tietojen siirtäminen kyseiseen kolmanteen maahan merkitsee puuttumista niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään.

Tämä päätös astui voimaan ilman siirtymäaikaa kesällä 2020. Niinpä Yhdysvaltoihin ”siirrettävä data on suojattava EU GDPR:n tasoisesti, muuten siirto on laiton”. Tähän taas liittyy käsite ”siirto”, josta keskustellaan, onko ”käsittely” siirtoa eli jos Yhdysvalloista on pääsy dataan, onko tämä siirtoa. Tiukasti tulkinnut Saksan tietosuojaviranomainen on esimerkiksi kieltänyt Mailchimp nimisen sähköpostimarkkinointiohjelman käytön. 

Tämä taas on joidenkin yritysten keskuudessa tulkittu Mailchimp ongelmaksi, joka se ei ole. Tiukimpien tulkintojen mukaan minkä tahansa palvelun, jossa henkilötietoon on pääsy Yhdysvalloista, käyttö tulisi joko lopettaa tai miettiä ”lisäsuojauksia” tai mahdollisesti uusien mallisopimuslausekkeiden käyttöä. Näissä taas ongelmana on se, että jos maan lainsäädäntö esimerkiksi edellyttää pääsyä dataan, se täytyisi antaa – riippumatta miten se on suojattu tai millainen sopimus on tehty. 

Miten tästä nyt selvitään? Ensimmäiseksi on tiedettävä, mitä sovelluksia on käytössä ja missä dataa käsitellään.

Mitä suosittelemme tehtäväksi?

Olennaista on muodostaa todellinen kuva tietojen käsittelystä. Moneen yllä mainittuun nimittäin liittyy tietojenkäsittelyn kuvauksien päivittäminen ajan tasalle (seloste käsittelytoimista, siis sisäinen dokumentaatio). Lisäksi vaikutustenarvioinnit (DPIA), tietojenkäsittelysopimukset (DPA, data processing agreement) ja mahdollisesti muut sopimukset kuten mallisopimuslausekkeet tai siirtoihin liittyvät vaikutustenarvioinnit (TIA) on saatettava kuntoon.

Etene siis vaiheittain

Käytännön toimien osalta suosituksemme on siis edetä vaiheittain. Sitä voisi kuvata esimerkiksi tällä tavalla:

  • Selvitä missä järjestelmä käsittelee tietoja (toimittaja, maa)
  • Jos dataa käsitellään tai siihen on pääsy EU:n ulkopuolelta, selvitä käsitelläänkö siinä EU GDPR:n alaisia tietoja
  • Selvitä, onko sinulla vaihtoehtoa siirtää palvelua EU:n sisälle – esimerkin Mailchimp tai ActiveCampaign löytyy kyllä vaihtoehtoja, jopa Suomesta
  • Seuraava järjestelmä – käy läpi kaikki järjestelmäsi – jos niitä on paljon, niin priorisoi tärkeimmät aluksi

Me teemme myös näitä selvityksiä, joten tarvittaessa ota yhteyttä, laitetaan Schrems II ja GDPR asiat kuntoon!

Evästeistä, Vastaamosta ja ylitulkinnoista: asiantuntijamme keskustelevat

GDPR Techin asiantuntijat vaihtoivat ajatuksia viime vuodesta ja myös nykyisestä. Kävimme keskustelua tiimin kanssa viime vuodesta, viestinnästä sekä tietosuojatyön nykytilasta. Mukana keskustelussa oli tiimistämme Jaanaliisa, Mervi ja Juha.

JUHA: Minulla on sellainen tunne, kun on viime aikoina puhuttu mm. evästeistä ja markkinoinnista ja markkinoinnin seurannasta, että se jakaa laajasti yrityksiä. Osa käsittelee tietoja vähän törkeästi ja osa edes yrittää miettiä, miten markkinoida lainmukaisesti. Pääosa ei edes tiedä mitään jostain ePrivacystä, mutta evästeisiin kuulemma pitää olla joku hyväksyntä. Kuulemma lain mukaan pitää myös sivulla olla joku rekisteriseloste.

Näitä on sitten nettisivut täynnä, mutta teknisesti evästebannereista noin 99 % ei toimi. Kysymys kuuluu, onko tehty riittäviä ”teknisiä ja organisatorisia toimia” laittamalla joku cookie-popup sivustolle. Sehän vain ärsyttää. ”Rekisteriseloste” ja sen pakollisuuskin on ymmärretty väärin – kysehän on informointivelvoitteesta, jossa verkkosivu on näppärä paikka. Nimenä voisi olla ”lupaus tietojen käsittelystä” tai ”Tietosuojalupaus”.

JAANALIISA: Traficomin lepsu ohjeistus antaa luvan painaa löysää kaasua. Tässä siis teille automiehille!

Mietin, tuleeko tänä vuonna asenteeseen jokin muutos: viime vuosi ainakin jätti kovan perinnön Vastaamo-keisin takia. Kaipa yritykset vain käpertyivät tilanteessa eivätkä halua lähteä penkomaan ja kyseenalaistamaan tekemiään ratkaisuja.

MERVI: Mieleen tulee lähinnä maturiteetin kasvun GDPR:n voimassaoloajan funktiona. Eli selkokielellä se, että alun yli- ja alilyönneistä (uhkakuvien maalailu, GDPR-ylitulkinnat ja misinterpretaatiot vs. se, että ollaan niin kuin GDPR:ää ei olisikaan) ollaan toivon mukaan päästy tasaisemmalle maaperälle. Uhkakuvat ja kiusanteonomaiset GDPR-tulkinnat eivät toteutuneetkaan, vaikka GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

JUHA: Tuo Traficom-ohjeistus on todella erikoinen. Nyt ollaan taas tilanteessa, jossa yritys toimiessaan Suomessa tai kansainvälisesti, ei ihan tiedä mitä ohjeita pitää noudattaa. Traficom-ohjeilla voi päätyä sanktioille esim. Belgiassa tai Espanjassa.

Mervin huomioon lisänä, että nyt on yritysten kauppojen yhteydessä alettu Due Diligence -prosessissa kiinnittää huomiota siihen, ovatko asiat kunnossa. Syksyn psykoterapiakeskuksen case näyttää alustavasti siltä, ettei ole. Tästä on noussut nostoja myös muuhun toimintaan liittyen.

JAANALIISA: Yrityksissä ja myös organisaatioissa ovat pohdinta- ja päätöksentekoprosessit usein hitaita. Tämä monelle tuttu kokemus tuli mieleeni Mervin maturiteetti-maininnasta. Haluan ajatella, että erityisesti Vastaamon tapauksen jälkeen muissakin kuin sote-yrityksissä on alettu epäillä oman organisaation tietojen tilaa ja siksi suunnitella tarpeellisia GDPR-aktiviteetteja.

Näin ajattelen, ja toivon myös.

JUHA: Niinpä – organisaation valmiuteen tai maturiteettiin liittyvää on myös GDPR-koulutus ja usein sen räikeä puute.

Jostain syystä edelleen GDPR nähdään pakkona, uhkana ja työnteon estäjänä. Sen sijaan pitäisi miettiä, miten suojataan ihan tavallisten ihmisten tietoja ja siinä samalla liiketoimintaa. Valitettavasti näyttää siltä, että Suomessa Vastaamosta yhtiönä tulee ensimmäinen GDPR:n ”uhri” vaikka todelliset uhrit ovat asiakkaat, joiden tietoja on julkisten tietojen mukaan käsitelty leväperäisesti.

Asia on sama, mistä on puhuttu aiemmin: joku yksittäinen paperidokumentti ei todellakaan riitä, vaan tämä on jatkuvaa työtä samaan tapaan kuin osakeyhtiön kirjanpito.

JAANALIISA, MERVI ja JUHA: Tietosuojatyö ei siis hävinnyt minnekään, GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.

Tietosuojatyössä on varmasti kaikilla kehitettävää, tärkeää on havaita ja aikatauluttaa tärkeimmät.

Pienenkin muutoksen jalkauttamiseen kannattaa panostaa

GDPRTech

Juha kirjoitti Marraskuun blogissaan suunnittelun ja valvonnan merkityksestä tietosuojan tason takaajina – tärkeitä asioita molemmat. Hyvin suunniteltu tarkoittaa, että palveluita ja järjestelmiä on myös helppo käyttää. Ylivoimaisesti suurin osa yritysten ja yhteisöjen työntekijöistä ei GDPR:stä juurikaan tiedä tai välitä: tämä on ihan normaalia eikö fanaattisinkaan tietoturvapiällikkö tai tietosuojavastaava voi enempää toivoa.

Juuri siksi suunnitteluvaiheessa on tärkeätä pohtia, miten GDPR:n vaatimukset organisaation sisäisesti kommunikoidaan, koulutetaan ja toteutetaan.

Kommunikointi olisi hyvä aloittaa jo hankkeen siinä vaiheessa, jossa tiedetään mitä ja minkälaista dataa säilötään ja käytetään, eli juuri kun datan tila ja tarve on kartoitettu. Valitettavan usein viestintä jää pariin sähköpostiin, joissa voivotellaan kiusaa, jonka lainsäätäjä on meille yksipuolisella ilmoituksella antanut ja jota nyt vaan on pakko noudattaa. Ohjeistuksessa kerrotaan sitten muutamalla ranskalaisella viivalla vain se mitä ei saa tehdä.

 Mielestäni tässä vaiheessa on riski tehdä ensimmäinen virhe, ja aika kallis sellainen. Pakko on huono motivaattori: jos henkilökunnalle edes pääpiirteittäin selitetään, mistä on kyse ja miten väärinkäytökset voivat vaikuttaa liiketoimintaan, ihmismielen on vaivattomampaa omaksua asia ja motivoitua tietosuojatyöhön. GDPR on hankalasti tulkittavaa lakitekstiä ilman suoranaisia ohjeita siitä, miten asiat pitää hoitaa. Silti siitä voidaan tunnistaa tarpeellisia käytännön toimia, jotka voidaan organisaatiossa myös suunnitella käytettävyydeltään vaivattomiksi.

Henkilökunnalle suunnattu koulutus pitäisi aina muokata asiakkaan tarpeita ja tilannetta vastaavaksi eikä oikoa mutkia ja kopioida suoraan mitä on aikaisemmin tehty. Tällöin otetaan huomioon perustelut tietosuojatyölle, jolloin henkilökunnan on helpompi ymmärtää ja hyväksyä sille asetetut vaatimukset. Tietosuoja on toki yrityksen vastuulla, mutta töppäily omassa työssä yleensä tekee hallaa urakehitykselle tai voi jopa olla sen loppu. Tietämättömyys ei ole enää käyttökelpoinen peruste.

Käytettävyys valitettavan usein jää kauniiden esitysten ja kaavioiden tasolle, joita laadittaessa henkilökunnan kokemuksia ja osaamista ei kuunnella. Kuka tietää paremmin kuin henkilökunta miten yrityksessä hoidetaan asiat? Palvelumuotoilun oma perisynti taas on testauksen puute jo suunnitteluvaiheessa; käytännössä prosessit usein kopioidaan eivätkä välttämättä sovi kyseisiin tarpeisiin.

Summa summarum: yhteistyössä asiantuntijan kanssa suunniteltu ja toteutettu GDPR- tai tiedonkartoitusprojekti onnistuu aina paremmin kuin googlettamalla kasattu lista toimenpiteistä, joiden tulkitseminen ja toteuttaminen loppukädessä jää suurelta osin henkilökunnan tehtäväksi. Pahimmassa tapauksessa, jäävät osittain tekemättä.

Meillä GDPR Tech:ssä on osaajia myös kommunikaation, koulutuksen ja palveluiden käytettävyyden suunnittelussa. Kohtuullinen lisäpanostus muutoksen jalkauttamiseen maksaa kyllä itsensä takaisin, kun projektin tuloksia arvioidaan jälkeenpäin.

Pelkkä päiväkäsky toimia niin tai näin jää todennäköisesti otsikkotason suoritukseksi eikä turvallista henkilötietojen käsittelyä saada osaksi yrityksen tai yhteisön toimintakulttuuria.

Kirjoittaja on yritystietoturvan moniottelija joka viimeaikoina on hurahtanut palvelumuotoilun koukeroihin ja kokenut valaistumisen käytettävyydestä olennaisena osana kokonaisuutta.

Vaikutustenarviointi eli Data Protection Impact Assessment – siis mikä?

Tietosuoja-asetuksen perusteisiin kuuluu henkilötietojen käsittelyn suunnittelu. Hyvä suunnitelma johtaa yleensä hyvään toteutukseen, mutta valitettavasti sekään ei riitä. Toteutusta pitää valvoa: on varmistettava, että toteutus todella vastaa suunniteltua.

Siispä – Plan – Do – Check – Act. Kuulostaa yksinkertaiselta, mutta kuten Suomessakin on nähty ensimmäisten GDPR-sanktioiden myötä, toteutus ei välttämättä vastaa suunniteltua.

Käynnistyvän projektin alussa on hyvä miettiä vaikutustenarvioinnin (DPIA) tarpeellisuutta.

Mikäli DPIA (eli Data Protection Impact Assessment) osoittaa, että henkilötietojen suojaan kohdistuu korkea riski, tietosuojavaltuutetun ennakkokuuleminen on pakollinen. Tämä voi olla haasteellista projektin aikataulutuksen osalta, sillä asetuksen mukaan (artikla 36 ) tietosuojavaltuutetun on annettava viimeistään kahdeksan viikon kuluessa ohjeet rekisterinpitäjälle. Määräaika voi kuitenkin venyä tästä vielä kuudella lisäviikolla. Tämä voi siis venyttää projektia yli kolmella kuukaudella.

Vaikutustenarviointi voidaankin kytkeä suunniteltuun projektiin näin:

Mitäs jos kylmästi jättää vaikutustenarvioinnin tekemättä?

Siinä on melkoinen riski. Esimerkkinä suomalainen yhtiö, joka otti käyttöön ääntä ja kuvaa tallentavan kameravalvontajärjestelmän eikä tehnyt vaikutustenarviointia. Toukokuussa 2020 tietosuojavaltuutettu määräsi yhtiölle kokonaisuutena hallinnollisen sakon, joka oli 0,8 prosenttia liikevaihdosta. Sakkoon vaikuttivat myös muut puutteet henkilötietojen käsittelyssä.

Milloin se kannattaa tehdä?

Otetaan esimerkiksi yhtiö, jolla on tehdasalueellaan vanhentunut kulunvalvonta, jonka uusiminen on tarpeen. Tässä vaiheessa aletaan miettiä, onko tarpeen tallentaa kävijöiden autojen rekisteritunnus, tallennetaanko tiedot pilveen vai palvelimessa toimivaan sovellukseen ja otetaanko käyttöön uusia palveluja, jotka voivat johtaa tietojen siirtoon Yhdysvaltoihin. Tärkeitä kysymyksiä – erityisesti tuo viimeinen, sillä Privacy Shield ei enää toimi mekanismina.

Tässä tilanteessa suosittelemme vaikutustenarvioinnin tekemistä. Siihen löytyy ohjeet Tietosuojavaltuutetun sivulta. Myös meiltä saat työskentelyä tukevan taulukon pyytämällä (juha@gdprtech.com). Taulukkomme on muokattu yrityskäyttöön Vantaan ja Helsingin kaupungin tekemien taulukoiden ja ohjeiden pohjalta.

Henkilötietoja suojattaessa riskien hallinta on pääroolissa.
Muistetaan siis ”Plan – Do – Check ja Act”: tuumasta toimeen, varmistetaan tekeminen – ja korjataan tarvittaessa.

Infra hallussa vai hujan hajan? Infran riskit saa hallintaan vain analytiikalla!

Ympäristöissä, joissa ylläpitovastuut ja toimittajat vaihtuvat jatkuvasti, on haastavaa muodostaa tilannekuva. Tiedon saatavuutta kaikissa tilanteissa – myös poikkeustilanteiden aikana – vaativat mm. liiketoiminta, NIS-D ja GDPR. Ja juuri saatavuuden kannalta infraratkaisu on ratkaisevassa asemassa.

Myös silloin, kun käytössä on eri infraympäristöjä kuten oma konesali, toimittajan ympäristö ja pilvipalvelut, voi kokonaisuus ja sen hallinta hämärtyä täysin. Tämä koskee yhtä lailla kustannuksia kuin toiminnan varmistamista. Onnellinen on se, jolla on vain yhden, kahden toimittajan infralaitteita. Kasvun myötä ympäristöillä on taipumus monimutkaistua, niin toimittaja- kuin ympäristömielessä.

  • Pilvipalvelua tuolta. Ulkoistettua kapasiteettia toisaalta. Omaa ympäristöä tehtailla. Kaikki vähän eri toimittajilta – Rubrik, Veeam, EMC Isilon, HP Data Protector, IBM TSM, VMware, Hyper-V, AWS, Windows, HP-UX, Red Hat, noin aluksi.

Kokonaistilanne? Käytetäänköhän tätä kaikkea enää? Mikä ohjelmistoversio on käytössä – onko päivitykset ajettu? Kaikki ympäristöt varmuuskopioitu? Onnistuisiko palautus ajassa, jonka liiketoiminnan jatkuminen vaatii? Onko ympäristöön tullut lisää virtuaalipalvelimia ja onkohan niistä varmuuskopiot pyörimässä?

Kysymysten pitäisi olla rutiinia, mutta kun seuraa medioita, näin ei ole: ”Kiristysohjelma pääsi verkkoon sisälle ja varmuuskopiot eivät toimineet”. Jos varmuuskopioita ei ole, ne eivät voi toimia.

Monessa maassa ja eri konesaleissa toimivassa organisaatiossa tilanne voikin näyttää tältä: kapasiteettia on eri alustoissa, joiden käyttö maksaa maltaita.

Säädösten ja vaatimusten mukaisuus (edelleen GDPR ja NIS-D) edellyttää, että varmuuskopioiden voidaan todentaa olevan toimivia. Tämä on toki normaali vaatimus jo liiketoiminnan jatkuvuudellekin.

Yhtenäinen näkymä kytkee yhteen eri ympäristöt. Se auttaa vastaamaan tuskaisiin kysymyksiin: onko jossain palvelimia ilman varmuuskopioita? Onko kapasiteetti hallinnassa? Mitkä ympäristöt ja järjestelmät ovat tiensä päässä tai jääneet käyttämättä?

Raportit näyttivät yhtenäisiltä, vaikka tietolähteet ovat eri valmistajien tuotteita. Ne on muodostettu työkalulla, joka kaivaa eri tietolähteistä tarpeelliset tiedot ilman agentteja ja tietoturvallisesti sekä koostaa tiedoista riippuvuuksien kautta eri syväluotaavia koosteita.

 Raporteista pääsee myös ajantasaisiin syväteknisiin näkymiin, jos niin tarvitaan.

Kyseinen työkalu on Veritas APTARE IT Analytics. Teemme APTARE:lla myös infrakartoituksia, joissa käydään läpi riittävä määrä ympäristön ydinkomponentteja. Näistä tiedoista koostetaan suositukset, joissa tunnistetaan riskit ja määritellään korjattavat kohdat. Kysy lisää tai pyydä demo.

Mitä järkevää tapahtui GDPR-vuonna 2019?

GDPR Tech täytti joulukuussa 2019 kolme vuotta. Nyt onkin hyvä hetki tarkastella, mitä on saatu aikaan. Aina jää jotakin tekemättä – niin myös meillä.

Meillä GDPR Techissä on kantavana teemana ”GDPR-asioissa järjen käyttö on sallittua”. Sillä tarkoitamme, että tietosuojatyö koostuu monesta elementistä, mutta olennaisin on se, että toimitaan järkevästi henkilötietojen suojaamisessa.

GDPR:ää pidetään monimutkaisena ja hankalana toteuttaa. Kyse on kuitenkin riskien hallinnasta ja elävien ihmisten tietojen käsittelystä. GDPR määrittää puitteita, mitä saa tehdä. Tarkoitus on yhtenäistää tietojen käsittelyyn liittyviä säännöksiä Euroopan alueella ja vähän ylikin – ei estää normaalia liiketoimintaa tai hankaloittaa arkipäivää.

Kaikkihan tietenkin toimivat lakien mukaan ja tiedoistamme pidetään huolta, miksi tätä sitten tarvitaan?

 Syy tähän on se, että viime vuosien aikana tietojamme käytetään laajemmin ja laajemmin eri tarkoituksiin – ja monet yhtiöt todella luulevat omistavansa juuri SINUN tietosi. Niin, uskoakseni ne sinunkin mielestäsi kuuluvat sinulle, eivät naamakirjalle tai kuukkelille.

Euroopassa GDPR on täyttä totta

Muutamia esimerkkejä Euroopasta: mitä mieltä olet, onko näissä järki ollut mukana?

  • Englantilainen lentoyhtiö jätti web-sivunsa teknisen ylläpidon tekemättä ja noin 500 000:n ihmisen tiedot kopioitiin vääriin käsiin. Olisiko sinusta mukava olla yksi näistä, joiden tiedot ovat jossain hyödynnettävissä väärinkäytöksille?
  • Norjalainen kunta ja sen koulu tallensivat oppilastietoja mukaan lukien käyttäjätunnus ja salasana paikkaan, josta opiskelijat pääsivät toistensa tietoihin käsiksi. Haluaisitko sinä, että lastesi opiskeluun liittyviä tietoja pääsee tutkimaan koko koulu?
  • Saksalainen sairaala ei pysynyt asiakkaiden osalta laskuissa mukana, vaan laskutti tehdyistä asioista vääriä henkilöitä. Olisiko sinusta mukavaa, että Saksassa vaihto-opiskelijana olevan lapsesi terveystietoja onkin annettu jollekulle Jörgenille?

Ei ollut näiden maiden tietosuojavaltuutetun toimistonkaan mielestä järkeä ja jokaisesta ylläolevasta on määrätty korjauskehotuksia, ja lopulta kun muu ei auttanut, myös sanktioita. Kymmenistä tuhansista satoihin miljooniin euroihin, riippuen tapauksesta.

Mitä sitten pitäisi tehdä, että toiminta täyttää GDPR:n vaatimukset vuonna 2020? Riittääkö kerran tehtävä harjoitus?

GDPR-työmme jakautuu neljään osaan, josta piirakkakaaviona oheinen:

  • Regulaatioon eli asetukseen ja säädöksiin perustuvat vastuut: tyypillisesti sopimukset ja vastuuasiat

Pelkillä lainopillisilla neuvoilla ei kuitenkaan pärjätä ja tarvitaankin kolmea muuta:

  • Ohjeistukset, koulutukset ja sovellukset
  • Tietoturva: tekninen ja hallinnollinen
  • Tiedonhallinta: rakenteellinen ja rakenteeton tieto

Kertaponnistus on hyvä alku. Tietosuojan tason pitäminen hyvänä edellyttää jatkuvaa työtä.

Hyvää alkanutta vuotta 2020! Tehdään tästäkin vuodesta turvallisempi kuin menneestä vuodesta.

Juha Sallinen