Oikein- ja väärinkäsityksiä re: GDPR

Oikein- ja väärinkäsityksiä re: GDPR

”Tieto on tämän ajan uusi öljy.” Kun tiedetään mitä kaikkea öljyyn on aikojen saatossa liittynyt (mm. sotia, taloudellista kukoistusta sekä ympäristökatastrofeja), on paikallaan että sääntelyä kehitetään mieluummin etupainotteisesti. Sääntelyn toteuttaminen ja valvominen saattaa toki olla hankalaa, väärinkäsityksiä aiheuttavaa ja jopa turhauttavaa. 

GDPR ei kuitenkaan sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä. Sääntelyn muututtua (/ muuttuessa re: kansallinen tietosuojalaki vielä vaiheessa) osaksi pakottavaa lainsäädäntöä asiat toki saattavat muuttua eri aikataululla ja eri järjestyksessä tärkeysjärjestyksen mukaan. 

Kysymys ei ole suurempaa mystiikkaa sisältävistä toimista. GDPR on henkilötietojen käsittelyn perälauta joka jättää organisaatiolle harkintavallan vaatimusten toteutustavoista. On myös huomioitava että GDPR:n lisäksi on olemassa muutakin henkilötietoihin liittyvää lainsäädäntöä. 

Omaa oikein- ja väärinkäsitysteni sekä oppimiskäyräni tasoa määrittelee – kaiken muun lisäksi – tällä hetkellä Sarasen Data Security Pro -ohjelman koulutuspäivät. 

Viime viikolla opin mm. että web-sovellusten tietoturvassa top10 -uhat eivät ole merkittävästi muuttuneet vuodesta 2013 vuoteen 2017. (Kouluttaja: ”Eikö mitään ole opittu?”) Lisäksi web-sovelluskehityksessä käytetään paljon ulkopuolisia hyvin erilaisista yhteyksissä haalittuja kirjastoja joissa saattaa olla tietosuojaan liittyviä ”ylläreitä”. Joissain tilanteissa testauksessa saatetaan edelleen käyttää juridisiin henkilöihin liittyvää materiaalia. (Realistisen testin ajamiseksi ei olisi pakko: http://www.iri.com/solutions/test-data).

Työ jatkuu ja sitä on paljon. Oma toivomus on että GDPR:aan liittyviä shokkiotsikoita sekä vastakkainasettelua olisi mahdollisimman vähän ja näiden sijaan keskityttäisiin pitkäjänteiseen perustyöhön sekä realistisiin ja käytännönläheisiin toteutuksiin mitä GDPR-yhteensopivuuden toteuttaminen ja ylläpito oikeasti on. Ja loppujen lopuksihan GDPR:ssa kyse on ihmis- eli meidän kaikkien oikeuksista kuten Human Rights Watch uutisoi

Pysytään linjoilla ja kyllä tämä tästä.

Teksti: Mervi Hongisto

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

Minä, pitkän linjan it-puurtaja, halusin tässä kohtaa työuraani oppia uutta uudesta tulokulmasta. Hain ja pääsin Sarasen Data Security Pro -koulutusohjelmaan ja sitä kautta hommiin GDPR Techiin kesäkuun lopulla.

Koulutukset alkoivat kesäkuussa ja jatkuivat heinäkuussa juristin vetämällä yhteensä kolmen koulutuspäivän mittaisella tymäkällä ja paljon hyvää keskustelua sisältäneellä GDPR-lakiosuudella. Lupaava alku siis.

GDPR on 88 sivua tulkintoja vaativaa lakitekstiä täynnä terminologiaa kuten ”riittävät organisatoriset ja tekniset toimenpiteet”, ”rekisterinpitäjä”, ”käsittelijä”, ”sisäänrakennettu ja oletusarvoinen tietosuoja”, ”osoitusvelvollisuus” ja ”seuraamukset”. Tulkintoja vaativaa kuten lakiteksti yleensäkin ja sinänsä kauhistelu on turhaa.

Haaste: mitä teksti tarkoittaa käytäntöön sovellettuna? Miten asetusta tulee tulkita toimintaympäristö huomioon ottaen?

Tai miten saavuttaa GDPR-yhteensopivuus? Tai pikemminkin miten osoittaa että prosessi/toimenpiteet GDPR-yhteensopivuuden saavuttamiseksi ovat käynnissä?

Ei himmeleitä. Suhteellisuudentajuinen resursointi, käytännönläheisyys, tehokas toteutus, varautuminen ja seuranta.

Ensimmäiset asiakastapaamiset, GDPR Techiin ja GDPR Techin palveluihin tutustuminen, Sarasen intensiivinen 3 päivän GDPR-lakikoulutus sekä yleinen aloitusrutistus todistetusti mahtuvat vajaaseen kahteen viikkoon. Kerron lisää tulevina viikkoina, pysy linjalla.

Teksti: Mervi Hongisto

GDPR ja asiakaspalvelu?

GDPR ja asiakaspalvelu?

Kuinka GDPR tulee ottaa huomioon asiakaspalvelussa? Katso video, jossa toimitusjohtajamme Juha Sallinen kertoo tietosuoja-asetuksesta asiakaspalvelun kannalta!

Autamme yrityksiä samaan myös asiakaspalvelunsa GDPR:n mukaiseksi. Meiltä löytyvät monipuoliset palvelut konsultoinnista koulutukseen. Autamme myös videolla mainittujen tietopyyntöjen ja tietojen poiston kanssa. Ota meihin yhteyttä ja kerro kuinka voimme auttaa!

GDPR tulee – Tässä tarkistuslista

GDPR tulee - Tässä tarkistuslista

GDPR astuu voimaan tällä viikolla. Kaksi vuotta valmistautumisaikaa käytetty. Yleinen tietosuoja-asetus, eli GDPR, määrittelee tietojenkäsittelyä tarkemmin kuin aiemmin. Mitä kaikkea nyt olisikaan pitänyt tehdä? Tietosuojavaltuutetun toimisto ohjeistaa tekemään ainakin nämä:

▪ Käsitteletkö suuria määriä henkilötietoja – varmista ja nimitä organisaatioosi tietosuojavastaava.

▪ Kuvaa ja dokumentoi miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne.

▪ Varmenna millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste. Huomaa, että käsittelyn edellytyksen ei kaikissa tapauksissa tarvitse olla suora lupa henkilöltä.

▪ Millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi? Selvitä miten riskejä voitaisiin minimoida (tai poistaa joissain tapauksissa kokonaan).

▪ Valmistaudu rekisteröityjen pyyntöihin. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi. Onko yrityksesi jo kyvykäs löytämään tietyn henkilön tiedot pyydettäessä?

▪ Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

▪ Tarkista toimittajiesi ja kumppaniesi sopimukset vastaamaan asetuksen puitteita, myös mahdollisten korvausvastuiden osalta.

▪ Määrittele organisaation johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

▪ Jos käsittelet ala-ikäisten tietoja, selvitä, miten organisaatiosi on huomioitava lasten erityisasema.

GDPR Techin PK-paketti vastaa kokonaisuutena pääosaan yllämainituista. Se on kiihdytyskaista asetuksenmukaiseen toimintaan todennettuna ja dokumentoituna. Tilaa nyt, varsinkin jos GDPR-projektisi on vielä aloittamatta!

GDPR-huolia – vaivaavatko nämä myös sinua?

GDPR-huolia – vaivaavatko nämä myös sinua?

Olemme kevään aikana osallistuneet useisiin GDPR-aiheisiin tapahtumiin. Useissa keskustelussa esimerkiksi GDPR-päivillä ja Tallinnan Nordic -Baltic Security Summitissa nousi vahvasti esille varsinkin nämä GDPR-huolet:

GDPR-projektit koetaan kokonaisuudessaan haasteellisena. Useasti projekti on aloitettu rekisterien läpikäynnillä. Tämä on hyvä alku, mutta ei vielä opasta käytännön toimiin tai korjauksiin. GDPR Techin PK-paketti tarjoaa kokonaisratkaisun kiinteällä hinnalla ja tehokkaalla aikataululla pienille ja keskisuurille yrityksille.

Sovelluksia testataan huonosti ennen tuotantoon vientiä tai tuotannon tiedoilla. Tämä voi johtaa pahoihin tietovuotoihin. IRI Cosortin valikoimasta löytyy niin tiedon peitto kuin synteettisen testitiedon luontityökalut. Lisätietoa valmistajalta ja pyydä meiltä esittelyä!

Ohjeita ei noudateta käytännössä. Organisaatioissa on kyllä ohjeita, koulutuksiakin on pidetty, mutta kun testataan esimerkiksi ”kalasteluviestillä”, kolmasosa testatuista klikkaa sitä linkkiä, mitä ei pitänyt. Oletko varma, että yrityksessänne asia on kunnossa? Meiltä voit tilata testauksen juuri teille.

Päätelaitteiden suojaus on huonosti hoidettu tai edes omaisuuden hallintaa ei ole. Tiedätkö sinä, missä käyttäjien päätelaitteet ovat, ovatko ne tietoturvallisia ja jos laite häviää, aiheutuuko siitä tietosuojaloukkaus? Kysy lisää, tämä on helposti kuntoon laitettava kohta, esim. McAfeen tai Sophoksen työkaluilla.

Autamme sinua myös muissa GDPR-huolissasi, joten ota meihin reilusti yhteyttä!

PK-yritys, kaipaatko apua GDPR:n kanssa? PK-pakettimme auttaa!

PK-yritys, kaipaatko apua GDPR:n kanssa? PK-pakettimme auttaa!

GDPR:n, eli EU:n tietosuoja-asetus, astuu pian kovennettuna voimaan. Onko yrityksessäsi tietosuoja-asiat jo työn alla? Tiedämme, että GDPR-projektin aloittaminen saattaa tuntua vaivalloiselta. Siksi olemmekin helpottaneet arkeasi PK-paketillamme, joka auttaa sinut nopeasti vauhtiin GDPR:ään valmistautumisessa!

Tietosuoja-asetuksen piirissähän ovat kaikki organisaatiot ja yritykset, jotka käsittelevät EU:n kansalaisten henkilötietoja tai henkilötietoja EU:n alueella. Tämä tarkoittaa siis jokaista yritystä, jolla on asiakkaita tai työntekijöitä – erittäin todennäköisesti myös siis sinun yritystäsi.

PK-paketissamme käydään läpi yrityksesi nykytila, luodaan toimenpidekartta sekä tehdään tiedon kartoitus. GDPR koskee myös olemassa olevan tiedon käsittelyä sekä tallennusta, ei siis pelkästään uutta digitaalista aineistoa. Siksi onkin erityisen tärkeää pitää huolta myös vanhasta datasta.

Pakettiimme kuuluu myös henkilöstön koulutusta sekä viestintäsuunnitelma ongelmatilanteiden varalta.

Paketin tarkempi esite löytyy täältä!

Sujuuko jo GDPR:n teoria – mutta toteutus uupuu?

Sujuuko jo GDPR:n teoria – mutta toteutus uupuu?

Siirtymäaika GDPR:ään, eli EU:n tietosuoja-asetukseen, on loppumaisillaan. Monissa organisaatioissa valmistautuminen onkin jo kovassa vauhdissa. Samaan aikaan keskustelu GDPR:n ympärillä on alkuvuoden aikana vain kiihtynyt ja tietoa asetuksen vaatimuksista on jo eri kielilläkin runsaasti saatavilla. Usein GDPR:ää käsittelevät artikkelit kuitenkin kuvaavat vain vaatimukset – käytännön toteutus jää uupumaan. Montaa mielipidettä ja konsulttia löytyy eri viesteillä; odotellaan valmiita ratkaisuja, päivitetään vain rekisteriselosteet eikä muuta tarvita jne. Kumpikin näistä väitteistä on riittämätön eikä ratkaise GDPR:n kokonaisuutta.

Onko sinun yrityksessäsi törmätty tähän ongelmaan? Tietoa on, mutta on vaikea edes hahmottaa mistä aloittaa tai mitkä olisivat tärkeimmät toimenpiteet. Olemme huomanneet monien organisaatioiden tuskailevan tämän ongelman kanssa. Siksi päätimmekin järjestää Wakarun kanssa GDPR-projektien toteuttamiseen keskittyneen GDPR-päivän!

Tapahtuma esittelee GDPR:ää eri näkökulmista ja ohjelma on painottunut käytännön esimerkkeihin; miten muut organisaatiot ovat valmistautuneet ja miksi. Kokemuksia saadaan niin kotimaasta kuin ulkomailta sekä suuryrityksiltä että julkishallinnon puolelta.

Tapahtumassa on esillä myös useita näytteilleasettajia, jotka esittelevät GDPR-palveluita ja -ratkaisujaan. Taukojen aikana on mahdollisuus myös verkostoitua ja vaihtaa kokemuksia muiden GDPR:n parissa työskentelevien kanssa.

Muuten – huomaathan, etteivät työt ja valmistautuminen lopu 25.5. IDC:n kypsyystila-arvion mukaan GDPR-valmius voidaan jakaa viiteen tasoon. Todella moni yritys on vielä vaiheessa yksi – missä kohdassa organisaatiosi on?

Lähde: IDC ja Symantec / go.symantec.com/gdpr

GDPR-päivästä on tulossa tiivis paketti ratkaisuja sekä kokemuksia GDPR:n parista. Tervetuloa mukaan kuulemaan kiinnostavat puheenvuorot ja tutustumaan GDPR-ratkaisuihin GDPR-päivään 20.3.2018!