GDPR

Mitä järkevää tapahtui GDPR-vuonna 2019?

kirjoittaja

GDPR Tech täytti joulukuussa 2019 kolme vuotta. Nyt onkin hyvä hetki tarkastella, mitä on saatu aikaan. Aina jää jotakin tekemättä – niin myös meillä.

Meillä GDPR Techissä on kantavana teemana ”GDPR-asioissa järjen käyttö on sallittua”. Sillä tarkoitamme, että tietosuojatyö koostuu monesta elementistä, mutta olennaisin on se, että toimitaan järkevästi henkilötietojen suojaamisessa.

GDPR:ää pidetään monimutkaisena ja hankalana toteuttaa. Kyse on kuitenkin riskien hallinnasta ja elävien ihmisten tietojen käsittelystä. GDPR määrittää puitteita, mitä saa tehdä. Tarkoitus on yhtenäistää tietojen käsittelyyn liittyviä säännöksiä Euroopan alueella ja vähän ylikin – ei estää normaalia liiketoimintaa tai hankaloittaa arkipäivää.

Kaikkihan tietenkin toimivat lakien mukaan ja tiedoistamme pidetään huolta, miksi tätä sitten tarvitaan?

 Syy tähän on se, että viime vuosien aikana tietojamme käytetään laajemmin ja laajemmin eri tarkoituksiin – ja monet yhtiöt todella luulevat omistavansa juuri SINUN tietosi. Niin, uskoakseni ne sinunkin mielestäsi kuuluvat sinulle, eivät naamakirjalle tai kuukkelille.

Euroopassa GDPR on täyttä totta

Muutamia esimerkkejä Euroopasta: mitä mieltä olet, onko näissä järki ollut mukana?

  • Englantilainen lentoyhtiö jätti web-sivunsa teknisen ylläpidon tekemättä ja noin 500 000:n ihmisen tiedot kopioitiin vääriin käsiin. Olisiko sinusta mukava olla yksi näistä, joiden tiedot ovat jossain hyödynnettävissä väärinkäytöksille?
  • Norjalainen kunta ja sen koulu tallensivat oppilastietoja mukaan lukien käyttäjätunnus ja salasana paikkaan, josta opiskelijat pääsivät toistensa tietoihin käsiksi. Haluaisitko sinä, että lastesi opiskeluun liittyviä tietoja pääsee tutkimaan koko koulu?
  • Saksalainen sairaala ei pysynyt asiakkaiden osalta laskuissa mukana, vaan laskutti tehdyistä asioista vääriä henkilöitä. Olisiko sinusta mukavaa, että Saksassa vaihto-opiskelijana olevan lapsesi terveystietoja onkin annettu jollekulle Jörgenille?

Ei ollut näiden maiden tietosuojavaltuutetun toimistonkaan mielestä järkeä ja jokaisesta ylläolevasta on määrätty korjauskehotuksia, ja lopulta kun muu ei auttanut, myös sanktioita. Kymmenistä tuhansista satoihin miljooniin euroihin, riippuen tapauksesta.

Mitä sitten pitäisi tehdä, että toiminta täyttää GDPR:n vaatimukset vuonna 2020? Riittääkö kerran tehtävä harjoitus?

GDPR-työmme jakautuu neljään osaan, josta piirakkakaaviona oheinen:

  • Regulaatioon eli asetukseen ja säädöksiin perustuvat vastuut: tyypillisesti sopimukset ja vastuuasiat

Pelkillä lainopillisilla neuvoilla ei kuitenkaan pärjätä ja tarvitaankin kolmea muuta:

  • Ohjeistukset, koulutukset ja sovellukset
  • Tietoturva: tekninen ja hallinnollinen
  • Tiedonhallinta: rakenteellinen ja rakenteeton tieto

Kertaponnistus on hyvä alku. Tietosuojan tason pitäminen hyvänä edellyttää jatkuvaa työtä.

Hyvää alkanutta vuotta 2020! Tehdään tästäkin vuodesta turvallisempi kuin menneestä vuodesta.

Juha Sallinen

Tietopyyntö johti tietoturvaloukkaukseen!

kirjoittaja
tietopyynto_johti_tietoturvaloukkaukseen

Organisaatiolle tuli tietopyyntö erossa asuvalta lapsen isältä. Pyynnössä isä väitti olevansa lapsen huoltaja, ja siten oikeutettu saamaan lapsen terveystietoja. Isä sai tietopyynnössä puhelinyhteystiedot äidistä, lapsen vanhemmuuteen liittyvää tietoa, toisen lapsen tietoja, lastensuojelutietoja poliisiraporttina sekä myös sosiaalihenkilöiden tietoja.

Viranomainen määräsi organisaatiolle 40 000 punnan sanktiot, sillä tietovuoto oli vakava. Väärälle henkilölle ja ilman oikeutusta päästä tietoihin käsiksi toimitettiin arkaluonteista tietoa sekä alaikäisten tietoja.

Organisaatio kärsi maineriskistä, oikea huoltaja kärsi stressistä, ja tietosuojaa rikottiin. Tietoja pyytävän henkilön osalta ei varmistettu hänen oikeuttaan päästä tietoihin. Tarkemmassa läpikäynnissä todettiin, että tietopyyntöä ei oltu käsitelty prosessina eikä koulutusta tai valvontaa ollut.

Valitettavasti yllä oleva on todellinen tietopyyntö Englannista vuodelta 2016.

Monessa organisaatiossa ja sivuston ”tietosuojaselosteessa” on selviä virheellisiä ajatuksia siitä, miten tietopyyntö pitäisi toteuttaa, ettei samalla itse syyllistytä tietoturvaloukkaukseen. Esimerkkejä alla.

  • Henkilöä vaaditaan tulemaan paikan päälle. Tästä muodostuu kömpelö prosessi, eikä ainakaan asiakasmyönteinen kokemus.
  • Henkilölle ei anneta vaihtoehtoa saada tietoja sähköisesti. Tätä ei toteuteta, koska organisaatio ei ole valmistautunut tähän. Organisaation täytyy toimittaa tiedot sähköisessä muodossa, jos henkilö niitä sähköisesti pyytää.
  • Henkilöä ei todenneta riittävällä tavalla, ja luotetaan esim. sähköpostin lähettäjätietoon. Organisaation velvollisuus on todentaa henkilöllisyys riittävällä tavalla. Tässä täytyy myös suhteuttaa keskenään pyydetyt tiedot ja niihin liittyvä mahdollinen riski.
  • Henkilöä pyydetään todentamaan henkilöllisyytensä esim. pyytämällä skannattu kopio passista, ja pyydetään passikopio lähetettäväksi sähköpostin välityksellä. Organisaatiolla ei todennäköisesti ole mitään passissa olevia tietoja, joita se vertaisi pyydettyyn passiin.

Fakta – rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys riittävällä tavalla.

Haluaisitko Sinä, että tietosi annetaan jollekulle täysin tuntemattomalle ihmiselle, tai ne poistetaan väärän ihmisen toimesta? Niinpä, en minäkään haluaisi.

Helppo vaihtoehto tunnistamiseen - tee tästä prosessi

Valmistaudu tietopyyntöihin, ja luo sille askeleet tai työnkulku – siis prosessi. Ensimmäinen kohta on valmistautua tietopyyntöihin siten, että ne eivät kuormita organisaatiota eivätkä toisaalta myöskään johda tietoturvaloukkaukseen.

Alla olevassa kuvassa vaiheessa (1) henkilö tunnistetaan riittävällä tavalla. Tämä voidaan helposti toteuttaa esimerkiksi käyttäen Visma Sign -lomaketta, tai Visma Sign API-rajapintojen kautta liitettävyyttä muuhun toiminnallisuuteen. Kohdissa (4) ja (5) tarkistetaan henkilön oikeus saada tietoja käyttöönsä. Kohdassa (7) on mietitty valmiiksi sopiva esitysmuoto, esim. PDF-dokumentti, ja seuraavissa kohdissa on varmistettu turvallinen toimitus tiedoista pyytäjälle.

Vaikeaa? Ei. Kun käytössäsi on esimerkiksi Visma Sign, voit tehdä tietopyyntölomakkeen helposti – esimerkki tässä:

https://www.vismasignforms.com/form/000ec743-a6b1-4aea-ba68-37d20ed0aeb0

Ota sähköisen allekirjoituksen ja sähköiset lomakkeet sisältävä Visma Sign käyttöön itse, tai pyydä meiltä tukea. Jos tarvitset tietopyyntöprosessiin apua, autamme toki siinäkin.

Visma Sign -rekisteröinti helposti tästä:

https://sign.visma.net/register?affiliate=GDPRTECH

Henkilötietoja skannatuissa kuvissa ja kuvatiedostoissa – riski tietojenkäsittelyssä?

kirjoittaja

Kun käsittelette asiakkaan tai työntekijän tietoja, käytättekö esimerkiksi skannattuja tai kuvattuja tiedostoja, kuten kuvia ajokortista tai sähköpostitse lähetettyjä passikopioita? Esimerkiksi EU GDPR ei sinällään kiellä tällaista toimintatapaa, mutta onko kuvatiedostot tallennettu paikkoihin, joissa suojaukset ovat varmasti kunnossa? Miten varmennat tilanteen?

Olemme tehneet Dark Data Assessmentia eli tiedonkartoituksia vuodesta 2016 lähtien, ja silloin tällöin olemme tehneet huomioita myös tilanteista, joissa olisi ollut hyödyllistä tietää esimerkiksi kuvien mahdolliset riskit. Kartoitusvaiheessa useimmiten käyttämämme Veritas Technologies Data Insight 6.1:n viimeisin päivitys RP4 tuo nyt mukanaan ominaisuuden, jossa voidaan sisältöskannauksen yhteydessä lukea kuvien sisältö. Ominaisuus on jo aiemmin ollut olemassa muun muassa arkistointituotteissa, joten toiminto ei ole aivan uusi.

Otetaan esimerkki tapauksesta, jossa työsopimus on skannattu .tiff-muotoon ja tallennettu tiedostopalvelimeen. Skannaus suorittaa OCR:n kuvatiedostolle ja hakee siitä säännöstöjen mukaisia osumia. Tässä tapauksessa HR-säännöstö on löytänyt ”työsopimus”-sanoja kuvatiedostosta.

Mallikuvasta nähdään, että koska kuvalle tehdään optinen merkintunnistus, on kuvatiedoston laatu tärkeä huomioida. Vaikka kuvien laatu nouseekin tunnistusprosessissa pieneksi haasteeksi, saadaan tällä menetelmällä huomattavasti parempi lopputulos, kuin käymällä käsin läpi tuhansia tai miljoonia tiedostoja.

Miten mallikuva ajokortista sitten tunnistettiin? Varsin tehokkaasti! Alla esimerkki siitä, miten osumien luottamustaso voidaan varmentaa ennen kuin aloitetaan automatisoitu kartoitus. OCR on tunnistanut Meri Anna Auroran nimen kokonaan oikein ja tunnistanut samalla myös ajokortissa olevan henkilötunnuksen (alla keltaisella korostettuna). Kuvassa olevaa sanaa ”ajokortti” ei ole tässä esimerkissä haettu, mutta sekin on täysin mahdollista lisäsäännöstöjä käyttämällä.

Palveluihimme kuuluu vakioitu tiedonkartoituspalvelu Dark Data Assessment – DDA 4D. Kysy lisää siitä, miten voimme auttaa teitä vähentämään riskejä henkilötietojen käsittelyssä! Sen lisäksi, että DDA 4D auttaa tunnistamaan henkilötietojen käsittelyn riskit, se tarjoaa myös muita hyötyjä, kuten arvion rakenteettoman tiedon tallennuksen tilanteesta sekä ehdotuksia korjaavista toimenpiteistä.

Ota kuvatiedostojen tietosuojariskit hallintaan – tilaa DDA 4D -kartoitus nyt!

#DDA #DarkDataAssessment #GDPR

Vuosi vaihtui ja työt jatkuvat – mikä muuttui?

kirjoittaja

GDPR-vuosi 2018 on takana. Taakse jäi toukokuun viestitulva ja provosoivia GDPR:aan liitettyjä otsikoita saunavuorolistoista ja seurakuntavaaliehdokkaiden nimien julkaisemisesta lähtien. GDPR:aa täydentävä, tietosuojavaltuutetun toimivaltavajeen korjaava kansallinen tietosuojalaki astui voimaan 1.1.2019.

Merkittävä määrä yleistä toimintaympäristöä heikentävää epämääräisyyttä ja höpöpuhetta on siis takana päin. Nyt on hyvät mahdollisuudet keskittyä itse asiaan, kun lainsäädännöllinen tilanne on kunnossa ja oikeaa tietoa on saatavilla eikä kaistanleveyttä toivottavasti (enää) käytetä luulojen lietsontaan.

GDPR ei edelleenkään aseta mitään sellaisia vaatimuksia, joita ei henkilötietoja käsittelevässä organisaatiossa olisi hyvä laittaa kuntoon. Asiaan kunnianhimoisimmin suhtautuvat organisaatiot analysoivat tietovarantonsa, mallintavat tietovuonsa sekä selventävät näihin liittyvien ihmisten, prosessien ja sovellusten toiminnan. Vähemmälläkin pärjää, kunhan asioiden todellisen laidan ja sen, miten niiden luullaan olevan välillä ei ole liian suurta eroa. Tämä tarkoittaa mm. sitä, että muidenkin kuin organisaation avainhenkilöiden tulee olla kartalla.

Omalta osaltani Sarasen Data Security Pro – koulutusohjelma on nyt taputeltu. Koulutusohjelma sisälsi edustavan kattauksen tietosuojaan ja käytännön tietoturvaan liittyvää koulutusta ja toimi hyvänä virikkeenä varsinaiseen työntekoon GDPR Techissa. Koulutuksen teknisimmissä osuuksissa merkillepantavaa oli se, kuinka suuri osuus käsitteli verkkosivuihin liittyvää tietoturvaa. Toki on loogista, että näin on, kun suuri osa käyttäjien vuorovaikutuksesta tapahtuu verkkosivujen kautta ja käyttäjienhän tiedot ovat ne rahanarvoisimmat.

Erinomaisia kouluttajia ja heidän tiettyjä asioita koskevaa turhautuneisuuttakin kuunnellessa tuli mieleen, että nimenomaan verkkosivujen toteutuksessa ja toteutukseen liittyvissä työkaluissa olisi syytä siirtyä tietoturvan kannalta varmatoimisempaan ja standardoidumpaan suuntaan. Olen ihan varma, että asioita olisi resursseja säästävästi toteutettavissa ilman, että niistä tulee oikeaa tekemistä estävää, hankalaa pakkopullaa.

Varmaa on myös se, että vaikka tämä koulutusohjelma ja työskentely GDPR Techissa nyt osaltani tältä erää ovat ohitse, aihealueeseen liittyvä tiedonjano ei milloinkaan. Toisin sanoen haastava, mielenkiintoinen ja paljon uuden oppimista sisältävä vuosi aluillaan. Erinomaista ja paljon olennaiseen keskittymistä sisältävää sekä mahdollisimman tietoturvallista uutta vuotta kaikille!

 

Teksti: Mervi Hongisto

Mitäs tietoja täällä oikein säilötäänkään?

kirjoittaja
gdpr tech

Joulu on tulossa. Ja joulupukki jos kuka kerää henkilöihin liittyviä tietoja. No, mehän emme tiedä mihin joulupukki tallentaa tietonsa ja miten hän pääsee käsiksi laajoihin tietovarantoihinsa. Jokainen voi tietty kuvitella näitä hiljaa itsekseen. Toki joitain tietoja joulupukin harjoittamista tiedonkeruumetodeista sisältyy kansanperinteeseen.

EU:n yleiseen tietosuoja-asetukseen voidaan tulkita liittyvän samantyyppistä kaikkivoipaisuuden ajatusta kuin joulupukin toiminnassa. Mitä tietovarantoja organisaatiolla on ja missä niissä on henkilöön liittyvää tietoa?

Olisi ihan kätevää jos kaikki olisi tarkkaan järjestellyissä ja hallinnoiduissa tietokannoissa (kuten ehkä joulupukillakin). Käytäntö kuitenkin osoittaa ettei näin ole. Ja sattumia, poikkeustilanteita, monimutkaisia tapahtumaketjuja ja muutoksia sisältävän tosielämän tuntemus kertoo, ettei näin voikaan ainakaan kaiken aikaa olla.

No, ei tietosuojavaltuutetun toimistolla kaiketi ole resursseja mennä tonkimaan yksittäisen firman tietovarantoja. Toisaalta yleisen hygienian, firman resurssien- sekä riskinhallinnan kannalta voisi olla hyvä tietää mitä kaikkea tietovarannot pitävät sisällään.

Entä sitten se työkalupuoli? Veritas, Varonis ja Micro Focus ovat kukin kehittäneet tähän omat ratkaisunsa. Näistä meillä on eniten kokemusta Veritaksen Data Insightista.

Ennen kesää 2017 Data Insightissa ei ollut sisältöskannausta eli varsinaista “tietosuojavaltuutetun ystävä”- ominaisuutta. Kesästä 2017 lähtien olemme käyneet läpi paljon tiedostoja, joista pukki ei kyllä olisi iloinen – voisi jäädä lahjat saamatta.

Data Insightissa on monia muitakin riskienhallintamielessä käyttökelpoisia ominaisuuksia kuten:

  • Sisällön luokittelun kautta riskien helpompi tunnistaminen – mistä korjataan ensin
  • tiedon omistajan tunnistaminen – eli kuka hyväksyy tiedon poiston
  • tieto siitä kuka on nähnyt datan / “data leak investigation”
  • epätarkoituksenmukaisten / liian lepsujen pääsyoikeuksien tunnistaminen
  • passiivisen datan hallinta
  • tiedon käytön ja yhteiskäytön sekä käyttöaktiivisuuden analyysi / mallintaminen.

Kokemuksemme rakenteettoman tiedon kartoituksesta kertoo, että aina tai lähes aina löytyy mm. seuraavia huomiota herättäviä asioita:

  • tiedostoja väärissä paikoissa, tätä kautta liikaa pääsyoikeuksia
  • suuria määriä poistuneiden/poistettujen käyttäjien tiedostoja
  • yksittäisille käyttäjille myönnetyt käyttöoikeudet (käyttöoikeuksien tulisi aina olla käyttäjäryhmäkohtaisia)

Rakenteettoman tiedon tietovarannossa on kokemuksemme mukaan yleensä aina noin 30% tietoa, mikä voitaisiin helposti siivota tarpeettomana (pois levyltä ja varmuuskopioista). Lisäksi yleensä noin 5-10% on kyseenalaisia tiedostoja, jotka pitäisi riskienhallintamielessä tutkia. Esim. 1M tiedoston varannossa tämä tarkoittaisi 50 000 – 100 000 tiedostoa. Ei kovin motivoiva työtehtävä ja tulkittavissa ehkä jopa simputukseksi jos näitä käsin aletaan tutkimaan.

Rakenteettoman tiedon kartoitus (tiedostopalvelin, SharePoint ja O365 -ympäristöt) on mahdollista toteuttaa kertaskannauksena tai jatkuvana palveluna. Mitä “vilkkaampi” ympäristö, mitä enemmän käyttäjiä ja tapahtumia, mitä arkaluonteisempaa tietoa, sitä riskialttiimpaa ja sitä tiukemmin ote rakenteettoman(kin) tiedon hallinnasta pitäisi ottaa.

Joulu tulee tänäkin vuonna. Valmistaudu ajoissa. Hyvää joulunodotusta kaikille!

Terveisin Mervi ja GDPR Techin tontut

Muista: Kansallinen tietosuojalaki hyväksyttiin eduskunnassa 13.11.2018. Laki tulee voimaan presidentin esittelyn jälkeen.

 

 

 

                                                                                       

 

About Rigacomm, people & robots

kirjoittaja

About Rigacomm, people & robots


Off we went with Juha to Rigacomm, the biggest business and IT technology fair in Baltics arranged this year on Oct 11 to 12. Our stand was strategically located between coffee area demonstrating InOut cloud-based queueing system and Diatom stand occupied by interactive robot, near digital marketing stage. So we received our fair share of visitors which was nice.

In quite a few conversations I ended up explaining the significance of GDPR legitimate interest and balancing test. There is no legal requirement to ask for marketing consent from customer on customer list when certain (broadly set) conditions are met. Of course regular explicit opt-our is still mandatory.

There were also many questions about what our technical solutions for GDPR are and do we develop those ourselves (answer being yes, but no for software). So, more discussions about dark data assessment in different environments (fileserver, SharePoint, O365, other cloud-based environments). There is no single patent solution for all cases. We are offering solutions based on Veritas, Varonis and Micro Focus software.

As there were vivid discussions on our SMB start package content and implementation and the effort and commitment it takes from customer organization as well (we go deep inside to verify), there was not as much time for discussions about data flow modeling ”beef” as I would have liked.

As contrast for GDPR discussions in our booth, there were two generally available robots around in the fair. I overheard someone asking the lobby robot: ”Do you like Robocop?” That confused the robot more or less (and amused me). I wonder if the robots were set to collect and store questions made by people this time. That could be really interesting machine learning data as I assume human imagination in the end is still supreme to what any machine could possibly produce.

I also had a really nice discussion with a lady who was tired of all that information available and GDPR in particular. It’s no surprise GDPR doesn’t have a good echo as so many misunderstandings and even disinformation about it around. She was open about her frustration and then we ended up talking about chocolate and ice cream. That’s what we humans are like and I appreciate it.

GDPRtech ricacomm

GDPR: Olettaminen ei ole todentamista

kirjoittaja

GDPR: Olettaminen ei ole todentamista

Sivustomme gdprtech.com aukeaa sanoilla ”GDPR Tech – Tukenasi EU:n tietosuoja-asetuksessa”.

Konkreettista ja käytännönläheistä apua ja tukea meiltä on saatavissa karkeasti luokitellen tasoille Tee-se-itse -> Vähän apua -> Paljon apua. Tee-se-itse -tasolla avuntarvitsija saa tyypillisesti käyttöönsä SaaS-ratkaisun / dokumenttipohjat joita hyödyntämällä on mahdollista dokumentoida asioita hallitusti ja pitkäjänteisesti.

Toki on hyvä muistaa etteivät dokumentit ota kantaa siihen onko niissä kuvattu esim. toivetila vai yleinen, johdonmukainen ja todennettu tapa tehdä asioita organisaatiossa.

Osastossa ”Vähän apua” apu ja tuki on konsultointia, koulutusta tai ohjelmistoja, joita asiakas itse täsmäkäyttää ja johtaa.

Tarjoamamme PK-sektorin GDPR ratkaisupaketti asettuu kategoriaan ”Paljon apua”. Siis paljon apua GDPR Tech:in johdolla pienelle tai keskisuurelle yritykselle/organisaatiolle työpajoineen, teknisen toimintaympäristön arviointeineen ja koulutuksineen ratkaisupakettina.

Edelleen, GDPR ei sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä.  Tämän takia on huolestuttavaa seurata uutisointia ylireagoinneista ja muista väärinkäsityksistä (esim. tivi 15.9.18: Yritykset painavat liian herkästi gdpr-liipaisinta: paljon turhia raportteja). Aikaa ja energiaa kuluu vääriin asioihin.

Meillä on asiakkaita hyvin erilaisilta toimialoilta ja toimintaympäristöistä. Kun asetettuna tavoitteena on todentaa miten asiat oikeasti ovat, sen lisäksi että on itsessään mielekästä kuunnella oman alansa osaavia ja tekeviä ihmisiä, kuuntelu ja kuullun ymmärtäminen ovat myös palvelun toimittamisen kannalta olennaisen tärkeitä.

Yksi lempilausahduksistani etenkin teknisten ympäristöjen ollessa kyseessä on brutaaliudestaan huolimatta ”ota silmä käteen ja katso”. Todennamme keskeisimmät asiat. Olettaminen ei ole todentamista.

Teksti: Mervi Hongisto

Rakenteettoman tiedon hallinta – Dark Data?

kirjoittaja

Rakenteettoman tiedon hallinta – Dark Data?

Unstructured data – ne kaikki tuhannet excelit ja muut dokumentit, jotka ovat jossain. Ne tuhannet sähköpostien varmuuskopiot ja muut tiedostot, joita silloin tällöin tarvitaan. Tai tarvitaanko?

EU GDPR:n osalta olisi syytä luokitella tietoa: mitä tarvitaan, mikä sisältää henkilötietoa, mikä on turhaa, kuka omistaa tiedon. Ongelma on siinä, että käyttäjät ovat vuosikausia luoneet dokumentteja, tallentaneet, muuttaneet ja kopioineet eri paikkoihin. Laitteet ovat vaihtuneet ja kopioita on luotu varalta lisää. Käyttäjät ovat vaihtuneet, siirtyneet, poistuneet. Miljoonia tai kymmeniä miljoonia tiedostoja. Osa on itsellä, osa voi olla pilvessä, osa siellä täällä.

Tarvitsetko niitä kaikkia. Et. Ei kukaan tarvitse niitä vanhoja tiedostoja, joissa on vanhoja nimilistoja tai henkilöhakemuksia. Ja joita kukaan ei ole tarvinnut vuosikausiin. Uskallatko poistaa niitä – ja millä perusteella?

Kokemuksemme mukaan organisaatioissa on teratavuittain tietoa. Tämä tarkoittaa miljoonia tiedostoja, joita tallennetaan ja suojataan joka päivä. Pääosin turhaan. Joidenkin arvioiden mukaan yli 60% käyttäjistä pääsee sellaiseen tietoon käsiksi, johon ei pitäisi. Osa näistä käyttäjistä omaa liika käyttöoikeuksia ja lisäksi ei ole vaihtanut salasanaa vuoteen. Tai koskaan. Pääosin turhia tietosuojaloukkausriskejä.

 

Tietosuojan osalta olisi järkevää kartoittaa mitä tietoa on, kuka pääsee niihin ja onko tiedoissa EU GDPR:ään liittyvää henkilötietoa. Yleensä ottaen noin 5-10 prosenttia tiedostoista sisältää sellaista tietoa, josta pitäisi olla huolissaan. Helppo juttu. Pyydät käyttäjiä käymään tiedostot läpi ja merkitsemään mikä on mitäkin tietoa. Samalla on hyvä tarkistaa, onko käyttäjää edes olemassa enää – milloin se Pertti lähtikään ja onko Erkin tiedot enää tarpeellisia?

Tai me voimme tehdä sen automaattisesti. Sisältö luokitellaan ja luodaan raportit. Olemme vähän tehokkaampia, sellainen keskimäärin muutama sata tiedostoa minuutissa, mutta tarvittaessa huomattavasti nopeamminkin. Aika nopea kaveri pitää olla, jotta pysyy meidän vauhdissa. Kysy lisää ja tilaa Dark Data Assessment, näitä on tehty vuodesta 2016. Metsäyhtiöstä ja teleoperaattorista putkiyhtiöön. 

Lisätietoja tästä tai tilaa tästä.

#DDA #Dark Data Assessment #GDPR #Rakenteettoman tiedon kartoitus

Oikein- ja väärinkäsityksiä re: GDPR

kirjoittaja

Oikein- ja väärinkäsityksiä re: GDPR

”Tieto on tämän ajan uusi öljy.” Kun tiedetään mitä kaikkea öljyyn on aikojen saatossa liittynyt (mm. sotia, taloudellista kukoistusta sekä ympäristökatastrofeja), on paikallaan että sääntelyä kehitetään mieluummin etupainotteisesti. Sääntelyn toteuttaminen ja valvominen saattaa toki olla hankalaa, väärinkäsityksiä aiheuttavaa ja jopa turhauttavaa. 

GDPR ei kuitenkaan sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä. Sääntelyn muututtua (/ muuttuessa re: kansallinen tietosuojalaki vielä vaiheessa) osaksi pakottavaa lainsäädäntöä asiat toki saattavat muuttua eri aikataululla ja eri järjestyksessä tärkeysjärjestyksen mukaan. 

Kysymys ei ole suurempaa mystiikkaa sisältävistä toimista. GDPR on henkilötietojen käsittelyn perälauta joka jättää organisaatiolle harkintavallan vaatimusten toteutustavoista. On myös huomioitava että GDPR:n lisäksi on olemassa muutakin henkilötietoihin liittyvää lainsäädäntöä. 

Omaa oikein- ja väärinkäsitysteni sekä oppimiskäyräni tasoa määrittelee – kaiken muun lisäksi – tällä hetkellä Sarasen Data Security Pro -ohjelman koulutuspäivät. 

Viime viikolla opin mm. että web-sovellusten tietoturvassa top10 -uhat eivät ole merkittävästi muuttuneet vuodesta 2013 vuoteen 2017. (Kouluttaja: ”Eikö mitään ole opittu?”) Lisäksi web-sovelluskehityksessä käytetään paljon ulkopuolisia hyvin erilaisista yhteyksissä haalittuja kirjastoja joissa saattaa olla tietosuojaan liittyviä ”ylläreitä”. Joissain tilanteissa testauksessa saatetaan edelleen käyttää juridisiin henkilöihin liittyvää materiaalia. (Realistisen testin ajamiseksi ei olisi pakko: http://www.iri.com/solutions/test-data).

Työ jatkuu ja sitä on paljon. Oma toivomus on että GDPR:aan liittyviä shokkiotsikoita sekä vastakkainasettelua olisi mahdollisimman vähän ja näiden sijaan keskityttäisiin pitkäjänteiseen perustyöhön sekä realistisiin ja käytännönläheisiin toteutuksiin mitä GDPR-yhteensopivuuden toteuttaminen ja ylläpito oikeasti on. Ja loppujen lopuksihan GDPR:ssa kyse on ihmis- eli meidän kaikkien oikeuksista kuten Human Rights Watch uutisoi

Pysytään linjoilla ja kyllä tämä tästä.

Teksti: Mervi Hongisto

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

kirjoittaja

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

Minä, pitkän linjan it-puurtaja, halusin tässä kohtaa työuraani oppia uutta uudesta tulokulmasta. Hain ja pääsin Sarasen Data Security Pro -koulutusohjelmaan ja sitä kautta hommiin GDPR Techiin kesäkuun lopulla.

Koulutukset alkoivat kesäkuussa ja jatkuivat heinäkuussa juristin vetämällä yhteensä kolmen koulutuspäivän mittaisella tymäkällä ja paljon hyvää keskustelua sisältäneellä GDPR-lakiosuudella. Lupaava alku siis.

GDPR on 88 sivua tulkintoja vaativaa lakitekstiä täynnä terminologiaa kuten ”riittävät organisatoriset ja tekniset toimenpiteet”, ”rekisterinpitäjä”, ”käsittelijä”, ”sisäänrakennettu ja oletusarvoinen tietosuoja”, ”osoitusvelvollisuus” ja ”seuraamukset”. Tulkintoja vaativaa kuten lakiteksti yleensäkin ja sinänsä kauhistelu on turhaa.

Haaste: mitä teksti tarkoittaa käytäntöön sovellettuna? Miten asetusta tulee tulkita toimintaympäristö huomioon ottaen?

Tai miten saavuttaa GDPR-yhteensopivuus? Tai pikemminkin miten osoittaa että prosessi/toimenpiteet GDPR-yhteensopivuuden saavuttamiseksi ovat käynnissä?

Ei himmeleitä. Suhteellisuudentajuinen resursointi, käytännönläheisyys, tehokas toteutus, varautuminen ja seuranta.

Ensimmäiset asiakastapaamiset, GDPR Techiin ja GDPR Techin palveluihin tutustuminen, Sarasen intensiivinen 3 päivän GDPR-lakikoulutus sekä yleinen aloitusrutistus todistetusti mahtuvat vajaaseen kahteen viikkoon. Kerron lisää tulevina viikkoina, pysy linjalla.

Teksti: Mervi Hongisto

Tilaa uutiskirjeemme!

Saat GDPR vinkit, tiedotteet ja tapahtumat suoraan sähköpostiisi!

Ota yhteyttä

+358 40 5666 900
[email protected]

Arkisin klo 8–17
Puolikkotie 8, 5.krs, 02230 Espoo

Facebook Twitter Linkedin

Palvelut

Lisätietoja

Tietosuojalupaus

© 2022 GDPR Tech