Oikein- ja väärinkäsityksiä re: GDPR
”Tieto on tämän ajan uusi öljy.” Kun tiedetään mitä kaikkea öljyyn on aikojen saatossa liittynyt (mm. sotia, taloudellista kukoistusta sekä ympäristökatastrofeja), on paikallaan että sääntelyä kehitetään mieluummin etupainotteisesti. Sääntelyn toteuttaminen ja valvominen saattaa toki olla hankalaa, väärinkäsityksiä aiheuttavaa ja jopa turhauttavaa.
GDPR ei kuitenkaan sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä. Sääntelyn muututtua (/ muuttuessa re: kansallinen tietosuojalaki vielä vaiheessa) osaksi pakottavaa lainsäädäntöä asiat toki saattavat muuttua eri aikataululla ja eri järjestyksessä tärkeysjärjestyksen mukaan.
Kysymys ei ole suurempaa mystiikkaa sisältävistä toimista. GDPR on henkilötietojen käsittelyn perälauta joka jättää organisaatiolle harkintavallan vaatimusten toteutustavoista. On myös huomioitava että GDPR:n lisäksi on olemassa muutakin henkilötietoihin liittyvää lainsäädäntöä.
Omaa oikein- ja väärinkäsitysteni sekä oppimiskäyräni tasoa määrittelee – kaiken muun lisäksi – tällä hetkellä Sarasen Data Security Pro -ohjelman koulutuspäivät.
Viime viikolla opin mm. että web-sovellusten tietoturvassa top10 -uhat eivät ole merkittävästi muuttuneet vuodesta 2013 vuoteen 2017. (Kouluttaja: ”Eikö mitään ole opittu?”) Lisäksi web-sovelluskehityksessä käytetään paljon ulkopuolisia hyvin erilaisista yhteyksissä haalittuja kirjastoja joissa saattaa olla tietosuojaan liittyviä ”ylläreitä”. Joissain tilanteissa testauksessa saatetaan edelleen käyttää juridisiin henkilöihin liittyvää materiaalia. (Realistisen testin ajamiseksi ei olisi pakko: http://www.iri.com/solutions/test-data).
Työ jatkuu ja sitä on paljon. Oma toivomus on että GDPR:aan liittyviä shokkiotsikoita sekä vastakkainasettelua olisi mahdollisimman vähän ja näiden sijaan keskityttäisiin pitkäjänteiseen perustyöhön sekä realistisiin ja käytännönläheisiin toteutuksiin mitä GDPR-yhteensopivuuden toteuttaminen ja ylläpito oikeasti on. Ja loppujen lopuksihan GDPR:ssa kyse on ihmis- eli meidän kaikkien oikeuksista kuten Human Rights Watch uutisoi.
Pysytään linjoilla ja kyllä tämä tästä.
Teksti: Mervi Hongisto