Tekoälyn, GPT:n ja Copilotin rooli tietosuojassa ja organisaatioiden tiedonhallinnassa

kirjoittaja

Tekoäly, tunnetaan myös nimellä AI tai tukiäly, on ollut olennainen osa monien arkipäiväistä elämää vuosien ajan, mutta ei kovin näkyvänä osana. Erilaiset tekoälyn sovellukset, kuten OCR (optical character recognition, joka muuntaa kuvat tekstiksi, ovat olleet käytössä jo pitkään. Kuitenkin varsinaisen tekoälybuumin aloitti helposti ohjattava ChatGPT (Generative Pre-trained Transformer), joka toimii kehotteiden avulla. Sen yksinkertaistettu perusidea perustuu laajaan kielimalliin (Large Language Model, LLM), joka kerää valtavan määrän tekstiaineistoa ja oppii sen perusteella tunnistamaan tekstissä esiintyviä riippuvuuksia. Kun käyttäjä antaa kehotteen, esimerkiksi ”Voisitko tiivistää Suomen vuodenajat?”, kielimalli hakee tekstistä avainsanoja ja ymmärtää aiheen. Sisällön ymmärtäminen on yksi osa vastauksen tuottamista ja perustuu ennustukseen siitä, mitkä sanat ovat todennäköisimpiä seuraaviin sanoihin tai lauseisiin liittyen. Esimerkiksi alussa mainittu OCR, kuvasta tekstiksi tunnistaminen, toimii paljon rajatummalla toiminta-alueella ja on toiminnekohtainen sovellus.

Tekoälyn käytön turvallisuus ja tietoturvahaasteet

Julkisesti saatavilla olevat tekoälyt, kuten Google Bard, OpenAI:n ChatGPT ja monet muut, oppivat jatkuvasti käyttäjiensä syötteiden perusteella. Tämä tarkoittaa, että jos syötät tällaisiin palveluihin esimerkiksi taloudellisia tietojasi, on mahdollista, että ne tallentuvat järjestelmään ja voivat olla saatavilla muillekin. Tällaisia tietoturvahaasteita on esiintynyt useita kertoja, kuten Samsungin insinöörien tapaus, kun he pyysivät ChatGPT:tä analysoimaan ohjelmiston lähdekoodia. OpenAI, ChatGPT:n kehittäjäorganisaatio, muistuttaa käyttäjiä siitä, että arkaluonteista tai luottamuksellista tietoa ei tule jakaa ChatGPT:n kanssa. Käytön helppous ja esimerkiksi ChatGPT:n mahdollisuudet ohittivat Samsunginkin tapauksessa ohjeistukset ja tietoturvallisen käytön.

Tekoälyn avulla kuitenkin voidaan tehostaa rutiininomaisia töitä, suorittaa erilaisia testauksia ja saada tukea esimerkiksi ohjelmistokehitykseen. Kuitenkin lopputuloksen taso voi vaihdella suuresti eri sovelluksissa. Kuvien tuottamisessa on edelleen haasteita, esimerkiksi henkilön kädessä voi olla kuusi sormea ja kuvassa pyydetty teksti ”Yritys XYZ” saattaa näkyä epätarkkana tai virheellisenä.

Erityinen haaste LLM-kielimallien kohdalla liittyy siihen, millaisella aineistolla malli on koulutettu. Jos koulutusaineisto koostuu julkisesti saatavilla olevasta Internet-tietomassasta, se sisältää väistämättä myös virheellistä tai epätarkkaa tietoa. Tämä herättää pohdintaa siitä, mitä tapahtuisi, jos malli olisi koulutettu tai käyttäisi ainoastaan organisaation sisäistä tietoa?

Sisäiseen käyttöön tarkoitetut tekoälyratkaisut

Onko mahdollista rajoittaa kielimalli ja liittyvää tietoaineistoa vain sisäiseen käyttöön ja hyödyntää ainoastaan organisaation sisäisiä tietoresursseja? Tällaiset ratkaisut kehittyvät nopeasti ja esimerkiksi Microsoftin vastaus tähän haasteeseen on Copilot. Lisensoitu käyttäjä voi hyödyntää organisaation omaa dataa Copilotin avulla, mahdollistaen tehokkaat haut tiedoista ja datan uudelleenmuokkaamisen omiin tarpeisiinsa.

Kuva: Copilot 365 Fabrikam (lähde: How Copilot for Microsoft 365 works video, YouTube)

Sisäiseen tietoon liittyvät riskit: käyttöoikeudet, sisältö ja ajantasaisuus

Mitä tapahtuu, jos organisaation tiedonhallinta ei olekaan kunnossa? Voiko käyttäjä esimerkiksi päästä käsiksi tietoon, johon hänellä ei pitäisi olla pääsyä, jos pääsynhallintaa ei ole asianmukaisesti varmistettu? Vastaus on usein kyllä ja se on tarkoituksellista tässä tapauksessa, sillä tietoa on tarkoitus hyödyntää. Ongelmana on kuitenkin usein se, että käyttöoikeuksia ei ole varmistettu asianmukaisesti ja Microsoft 365:sta löytyy tarpeettomia pääsyjä tai käyttäjiä, jotka voivat kuulua jopa satoihin eri ryhmiin, mikä saattaa johtaa tahattomiin tietoturvariskeihin.

Entä jos tietoa on tallennettu väärään paikkaan? Esimerkiksi työtodistukset ovat päätyneet liikunnanohjaajien sivustolle HR-ohjelmiston sijaan. Hyvinvointialueet ovat eriytyneet ja dataa on jäänyt taakse, mukaan lukien potilaslistoja. Tai organisaation esittelyaineistossa on satoja henkilötunnuksia teknisen tiedonlinkityksen vuoksi. Myyntimateriaalin kansiosta löytyy myyjän avioliittoon liittyviä asiakirjoja, kuten avioehto ja testamentti. Valitettavasti nämä ovat vain muutamia esimerkkejä siitä, mitä löydämme organisaatioiden tietoaineistoista. Puhumattakaan tuhansista tai kymmenistä tuhansista dokumenteista sisältäen henkilötunnuksia.

Ja entäpä jos aineisto on erittäin vanhaa? Onko meillä edes käsittelyperustetta tällaiselle tiedolle? Monissa organisaatioissa on ohjeita siitä, kuinka vanhaa tietoa saa säilyttää. Ongelmana on kuitenkin se, että näitä ohjeita ei usein valvota tai hallita asianmukaisesti. Niinpä esimerkiksi palkkalaskelmia voi olla tallennettuna vuodesta 1991 lähtien ja ne ovat yhä saatavilla. Tai yhteystietolista voi olla peräisin yli 30 vuoden takaa.

Organisaation tiedonhallinnan tehostaminen: toimenpiteet, vinkit

Varmista, että organisaatiossasi olevat tiedot ovat ajan tasalla ja asianmukaisesti suojattuja. Ota myös huomioon, että tiedon tallennusaikataulu vastaa suunniteltua. Tässä tiivistettynä toimenpiteet, joita sinun kannattaa seurata:

  1. Ymmärrä tiedostojen nykyiset käyttöoikeudet.
  2. Varmista käyttäjäryhmät ja niiden pääsyoikeudet.
  3. Tarkista erityisesti henkilökohtaisten tietojen tallennus ja aloita tiedonhallintatoimet, mukaan lukien tarpeettoman tiedon poistaminen tai arkistointi.
  4. Käy läpi mahdolliset tekijänoikeuslain vastaiset videot tai muut mediat ja poista ne.
  5. Raportoi mahdolliset vakavat poikkeamat organisaation tietosuojavastaavalle tai tarvittaessa kansalliselle Tietosuojavaltuutetun toimistolle.
  6. Korjaa havaitut poikkeamat ja varmista niiden korjaaminen.
  7. Laadi tiekartta, joka perustuu organisaatiosi nykytilanteeseen ja suunnittele tiedonhallinnan toimenpiteet seuraaville vuosille.
  8. Poista tarpeeton tietoaineisto.
  9. Ota toimet osaksi normaaleja prosesseja ja jatka niiden hallintaa
  10. Pidä organisaation yksiköt, johto ja tietosuojavastaava tietoisina prosessimuutoksista.

Copilot for Microsoft 365 – toimenpiteet ennen käyttöönottoa työpaja

Lisäksi voit helpottaa toimia tilaamalla GDPR Techin ”Copilot ja AI Microsoft 365 ympäristössä – kartoitus ja toimenpiteet ennen käyttöönottoa” -työpajan.

Kysy lisätietoja tästä!

GDPR Tech sponsoroi suomalaisia laskettelijanuoria – unelmista totta

kirjoittaja

Haastattelussa Max ja Saana

GDPR Tech haluaa tukea suomalaisissa nuoria urheilijoita ja tällä kertaa sponsoroinnin kohteeksi valittiin kaksi lupaavaa suomalaista laskettelijaa, Max ja Saana. Nuorten sponsorointi ja tukeminen mahdollistaa nuorten urheilijoiden unelmat laskettelun parissa. GDPR Techin toimitusjohtaja Juha, joka itsekin on intohimoinen mäenlaskija, kertoo, että nuorten tukeminen on heille sydämen asia. Tässä haastattelussa Max ja Saana kertovat heidän matkastaan ja tavoitteistaan laskettelun parissa.

Kuvassa: Saana Heikkinen

Miten päädyitte laskettelun pariin ja miten intohimonne lajiin alkoi?

Max: ”Aloin jo nuorena laskemaan – äiti ja isä ovat tuoneet minut mukanaan rinteisiin, koska koko perhe harrastaa laskettelua. Jäin sille tielle ja laskettelu on nyt pysyvä osa elämääni.

Saana: ”Äitini on lasketellut vapaa-ajallaan koko elämänsä ja minut vietiin ensimmäistä kertaa rinteeseen jo 1-vuotiaana. Äitini kaverin lapset harrastavat myös, joten se oli tuttu juttu meille. Nykyään treenaan Rukan Alppikoulun kanssa Kuusamossa.”

Millaisia ovat olleet tähänastiset suurimmat saavutuksenne laskettelussa?

Max: ”Joka kerta, kun pääsen mäkeen, on ilon hetki. Isoja saavutuksia laskettelun parissa on esimerkiksi Freestylehiihdon half pipen SM-kultamitali ja viime vuonna sain pronssia sekä slopestylesta että big airista.”

Saana: ”Minulle toi voimaa ja onnistumisen tunteen, kun vuonna 2021 Levillä SM-kisoissa ensimmäinen laskuni epäonnistui, mutta toisella yrityksellä olin neljänneksi nopein. Valitettavasti vuonna 2022 koin loukkaantumisen, mutta nyt olen päässyt kokemaan onnistumisen tunteita ja joka viikko treeneissä. Voimatasot ovat nousseet ja laskeminen sujuu jo nopeammin.”

Miten olette valmistautuneet ja harjoitelleet tullaksenne paremmiksi laskettelijoiksi?

Max: ”Ohjattua treeniä minulla on kahdesti viikossa, mutta laskettelen lähes joka päivä. Osallistun Moebius Freestylen-ohjattuihin treeneihin, joissa saan vinkkejä ja neuvoja siitä, mitä ja miten kannattaa harjoitella. Talvisin osallistun myös Ruka Freeski Academy -yläkoululeireille, jotka tarjoavat valmennusta paremmissa rinteissä. Kilpailuihin valmistautuessa en tee treenejä eri tavalla, vaan keskityn oppimaan uusia asioita ja varmistamaan, että osaan vanhat temput todella hyvin.”

Saana: ”Fysioterapeutti laatii minulle viikko-ohjelman, joka vaihtelee paljon. Kilpailukauden ulkopuolella keskityn voimaharjoitteluun ja nopeuden parantamiseen. Treenaan 5–6 kertaa viikossa ja 1–2 kertaa päivässä. Teen siis yhteensä 6–10 treeniä viikossa, joista 4–5 on rinteessä. Onnistumiset ovat minulle suuri motivaatio ja rakastan sitä, mitä teen – siksi jaksan treenata.”

Minkälaiset ovat tavoitteenne ja unelmanne laskettelun suhteen tulevaisuudessa?

Max: ”Tällä kaudella tavoitteenani on osallistua erilaisiin kisoihin muun muassa Ruotsissa. Toivon myös pääseväni eurooppalaisiin kisoihin ensi kaudella.”

Saana: ”Tällä kaudella tavoitteenani on suoritusvarmuus kisoissa, näyttää omaa hyvää tekemistäni ja kasvattaa luottoa omaan suoritukseeni. Unelmani tulevaisuudessa on päästä maajoukkueeseen ja mennä vieläkin pidemmälle.”

Mitä neuvoja antaisitte nuorille, jotka unelmoivat laskettelun ammattilaisuudesta?

Max: ”Tärkeintä on, että laskettelee ja nauttii siitä. Ei tarvitse koko ajan yrittää oppia uusia temppuja, vaan vanhoja temppuja kannattaa harjoitella hyvin. Vaikka ei asuisi lähellä suuria laskettelukeskuksia, kannattaa silti käydä rinteillä. Laskeminen kavereiden kanssa ja toistenne tukeminen voi auttaa saavuttamaan parempia tuloksia.”

Saana: ”Sinun on uskottava omaan tekemiseesi. Elämässä ja urheilussa tulee vastoinkäymisiä, mutta niistä selviää, kun oma pää on kunnossa ja sinulla on oikeat ihmiset ympärilläsi. Pikkuhiljaa kaikki palaset loksahtelevat paikoilleen, ja oma tekeminen kehittyy. Usko itseesi.”

Miten tuki GDPR Techiltä on vaikuttanut uraanne ja elämäänne yleisesti?

Max: ”Sponsorointi on ollut iso apu, sillä laskettelu on kallis laji ja varusteisiin kuluu paljon rahaa. Nyt GDPR Techin tuen ansiosta minulla jää enemmän mahdollisuuksia esimerkiksi ulkomaan kilpailuihin.”

Saana: ”Sponsorointi ja siten myös GDPR Techin tuki tekee koko lajin mahdolliseksi. Ilman sponsoreja ja tukea ei olisi mahdollista harrastaa ja tehdä sitä, mitä rakastaa.”

Kuvassa: Max Sallinen

Lisäksi, kun kysyimme Maxilta ja Saanalta tietosuoja-asioista, he kertoivat asian olevan, jota kuinkin tuttu heille. Molemmat painottivat muun muassa turvallisesta verkossa toimimisesta ja Saana kertoi salasanojen sekä kaksivaiheisen tunnistuksen tärkeydestä.

GDPR Tech on ylpeä voidessaan tukea Maxin ja Saanan unelmia laskettelun parissa. He ovat loistavia esimerkkejä nuorista, jotka ovat omistautuneet intohimoisesti lajiinsa ja joilla on kirkkaat tavoitteet tulevaisuudessa. Toivotamme Maxille ja Saanalle tsemppiä ahkeraan harjoitteluun sekä hyvää menestystä kisakauteen!

Laita kumpikin urheilija Instagramissa seurantaan:

Max Sallinen

Saana Heikkinen

Tämä sinun on tiedettävä EU:n ja USA:n uudesta tietosuojasopimuksesta!

kirjoittaja

Kerroimme heinäkuussa kuinka, Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen Euroopan Unionin (EU) ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös Data Privacy Framework (DPF) sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin niiden toimijoiden välillä, jotka ovat DPF:n piirissä.

Mutta mitä ”siirto” todella tarkoittaa? Voimmeko nyt luotettavasti käyttää yhdysvaltalaisia palveluntarjoajia? Ja kuinka tunnistaa, kuuluuko jokin toimija DPF-sopimuksen piiriin? Tässä artikkelissa käymme läpi nämä kysymykset ja tarjoamme selkeitä vastauksia.

Termit tutuiksi – mitä tarkoittavat henkilötiedot ja henkilötietojen käsittely?

Ennen tarkempaa syventymistä itse aiheeseen ja henkilötietojen siirtoon, on hyvä täsmentää, mitä henkilötiedot ja henkilötietojen käsittely tarkoittavat. Suomen tietosuojavaltuutetun toimisto ohjeistaa lyhyesti: ”Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi nimi, puhelinnumero ja sijaintitiedot. Lisäksi suuri joukko muuta tietoa voidaan lukea henkilötietojen alle, kuten asiakas-ID ja IP-osoite.”

Henkilötietojen käsittely puolestaan tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Henkilötietojen siirtoa ja siirtoon liittyviä termejä sekä prosesseja avataan ja käsitellään myöhemmin tässä artikkelissa.

Tietosuojalainsäädäntö koskee sinua ja organisaatiotasi

Tietosuojalainsäädäntö ja tietosuojalaki koskee käytännössä kaikkia organisaatiota, joilla on jäseniä, asiakkaita tai työntekijöitä, koska tällöin organisaatio käsittelee henkilötietoja tai henkilöön liittyviä asioita. On yksin organisaation vastuulla huolehtia niin omalta kuin yhteistyökumppaneiden osalta henkilötietojen lainmukaisesta käsittelystä. Yhteistyökumppaneiden, toimittajien ja alihankkijoiden kohdalla kannattaa varmistaa sopimuksilla, että myös kumppanit toimivat lainmukaisesti.

Suomessa on kuitenkin edelleen hyvin yleistä, että organisaatiot eivät tunnista EU:n yleisen tietosuoja-asetuksen koskevan myös heitä. Suomen Yrittäjät teetti helmikuussa 2022 tutkimuksen, jonka yhtenä aiheena käsiteltiin henkilötietoja. Tutkimuksessa kysyttiin muun muassa ”Käsitteleekö yrityksesi henkilötietoja?” ja huimat 40 % 1 049 vastaajasta vastasi, ettei käsittele tai ei ainakaan tiedä käsittelevänsä niitä.

Kuva 1. Suomen Yrittäjät tutkimuksen kysymyksen ”Käsitteleekö yrityksesi henkilötietoja?” vastaus.

Kuva 1. Suomen Yrittäjät tutkimuksen kysymyksen ”Käsitteleekö yrityksesi henkilötietoja?” vastaus.

Digitaalinen kehitys on muokannut tietosuojavaatimuksia erilaisiksi eri maissa

Viimeisen 30 vuoden aikana digitaalinen maailma on kokenut huimaa muutosta, mikä on vaikuttanut myös tietosuojalainsäädäntöön eri maissa. Vuonna 1995 Eurooppa otti käyttöön ensimmäisen tietosuojadirektiivin, kun digitaalinen maailma oli vasta heräämässä: Internet oli tuore ilmiö ja käytössä oli ohjelmistoja kuten Windows 95.

Tämä direktiivi tarjosi jäsenvaltioilleen mahdollisuuden soveltaa tietosuojaa eri tavoin kansallisella tasolla. Suomessa tästä seurasi Henkilötietolaki (523/1999), kun taas esimerkiksi Englannissa tulkinta oli tiukempi ja mahdollisti jopa 500 000 punnan sakot. Vaikka Pohjoismaissa, kuten Suomessa, henkilötietolain tausta-ajatus olikin kunnianhimoinen, sakkoja ja sanktioita ei käytännössä jaettu.

Vuoden 1995 jälkeen tietosuojan maisema on muuttunut moninaiseksi. Kanada on esimerkiksi ollut edelläkävijä henkilötietojen suojassa Pohjois-Amerikassa, ja maa on ottanut useita askelia varmistaakseen kansalaistensa tietosuojaoikeudet. Euroopassa puolestaan astui vuonna 2016 voimaan EU:n yleinen tietosuoja-asetus (GDPR), jota alettiin soveltaa kahden vuoden siirtymäajan jälkeen. Tämä asetus yhdenmukaisti tietosuojalainsäädäntöä EU:n sisällä merkittävästi. Kuten aiemmassa direktiivissä, henkilötietojen siirto Euroopan Unionin ja Euroopan talousalueen ulkopuolelle sallitaan vain, jos EU:n komissio on myöntänyt kyseiselle maalle niin sanotun vastaavuuspäätöksen.

Euroopan ja Yhdysvaltojen välinen tietosuoja taival tähän päivään

Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbor kumottiin vuonna 2015. Sen tilalle astui vuotta myöhemmin Data Privacy Shield, joka asetti organisaatioille tietyt vaatimukset tietosuojasta. Vaikka organisaatioiden oli määrä noudattaa näitä vaatimuksia, todellisuus ei aina vastannut näitä säännöksiä. Vuonna 2020 Privacy Shield -sopimus kumottiin, sillä oli huolta siitä, että Yhdysvaltojen viranomaiset voivat saada liian vapaasti pääsyn eurooppalaisten henkilötietoihin.

Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuussa 2023 uusi EU-US Data Privacy Framework otettiin käyttöön, määritellen säännöt tietojen siirrolle. Sopimuksen piiriin kuuluvien toimijoiden, jotka ovat DPF:n hyväksyntälistalla, katsotaan tarjoavan riittävän tietosuojan. Kuitenkin uhkakuvana on mahdollisuus, että DPF voidaan kumota, mikäli Yhdysvaltojen presidentti vaihtuu tai jos NOYB, Max Schremsin johtama Euroopan digitaalisten oikeuksien keskus, haastaa sen. Molemmat skenaariot palauttaisivat tilanteen kolmen vuoden takaiseen.

NOYB kommentoi vuonna 2023: ”Uusi ’Trans-Atlantic Data Privacy Framework’ on käytännössä kopio vuoden 2016 Privacy Shield -sopimuksesta, joka puolestaan perustui vuoden 2000 ’Safe Harbor’ -sopimukseen. Koska nämä aiemmat lähestymistavat ovat jo kahdesti epäonnistuneet, uuden sopimuksen juridista pohjaa voidaan pitää kyseenalaisena. Sopimuksen olemassaolo perustui lähinnä poliittiseen logiikkaan.”

Milloin ja miten siirrän tietoja ulkomaille?

Tietojen siirtäminen ulkomaille saattaa tapahtua huomaamattasi. Tietosuojavaltuutetun määritelmän mukaan ”siirron käsite” voi olla monitahoinen ja aiheuttaa väärinkäsityksiä. Käytännössä, kun käytät yhdysvaltalaista pilvipalvelua, saatat jo siirtää henkilötietoja Yhdysvaltoihin. Mielenkiintoinen yksityiskohta on, että pelkkä etäyhteyden mahdollisuus Yhdysvalloista käsin katsotaan tietojen siirroksi.

Euroopan tietosuojaneuvoston (EDPB) mukaan: ”Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolelle on usein tarpeellista kansainvälisissä liiketoimissa. Esimerkiksi pienet ja keskisuuret yritykset saattavat jakaa henkilötietoja liikekumppanien tai toimittajien kanssa, jotka sijaitsevat ETA:n ulkopuolella.” Tämän vuoksi yhteistyö suurten toimittajien, kuten Oracle, Microsoft ja Google, kanssa voi merkitä tietojen siirtoa Yhdysvaltoihin. Keskeistä on tunnistaa ja varmistaa, ettei tietojen käsittely riko tietosuojaan liittyvää lainsäädäntöä, erityisesti kun tietoihin pääsy etäyhteydellä on mahdollista Yhdysvalloista.

Arkkitehtuurin ja sopimusten merkitys henkilötietojen siirtoriskien hallinnassa

Arkkitehtuurikuvaukset ja järjestelmien sopimusarkistot, erityisesti tietojenkäsittelysopimukset (Data Processing Agreement – DPA), ovat korvaamattomia työkaluja henkilötietojen siirtojen hallinnassa. Tällaisilla kuvausmenetelmillä voidaan esimerkiksi havainnollistaa työnhakuprosessiin liittyviä järjestelmiä ja niiden yhteyksiä. Vaikka kuvaustapoja on useita, niiden avulla voidaan tehokkaasti ymmärtää toimittajien sijainnit ja niiden mahdolliset yhteydet muihin järjestelmiin. Jos esimerkiksi verkkosivusi on rakennettu suomalaisen toimittajan toimesta, mutta se toimii teknisesti Amazon AWS:n pilvipalvelussa, saattavat tiedot siirtyä Yhdysvaltoihin.

Kuva 2. Esimerkki prosessikuvauksesta

Kuva 2. Esimerkki prosessikuvauksesta

Tarkastelemalla järjestelmien arkkitehtuurikuvauksia ja niiden toimittajalistaa voidaan selvittää mahdolliset riskikohdat ja henkilötietojen siirtoon liittyvät seikat. On olemassa myös automatisoituja työkaluja, jotka auttavat hahmottamaan järjestelmien ja palveluiden rakenteita, olivatpa ne sitten omalla palvelimella tai pilvessä.

Alla oleva esimerkkikuva esittää suomalaisen yrityksen verkkosivuihin liittyviä toimittajia ja palveluita. Vaikka verkkosivujen tekninen alusta olisi yhden palveluntarjoajan hallussa, muut palvelut, kuten asiakkuudenhallintajärjestelmä Hubspot, Cookiebot sekä kolmannen osapuolen palvelut, kuten Facebook ja Google, voivat olla osa verkkosivun ekosysteemiä. Arkkitehtuurikuvaukset ja analyysit siis auttavat tunnistamaan ja varmistamaan, mihin tietoja todellisuudessa siirretään ja mitä seurauksia tällä voi olla tietosuojan näkökulmasta.

Kuva 3. Esimerkki verkkosivujen toimittajakuvauksesta

Kuva 3. Esimerkki verkkosivujen toimittajakuvauksesta

Tietojen käsittelyn tarkistuslista

Vaikka toimittajiin ja sopimuksiin on tärkeää luottaa, organisaatioilla on myös oma vastuunsa. Kun tarkastellaan olemassa olevia järjestelmiä, on tärkeä tarkistaa seuraavat kohdat:

  1. Käsiteltävät tiedot:
    • Mitä tietoja käsitellään?
    • Liittyykö käsittelyyn riskejä yksilölle?
    • Käsitelläänkö erityisiä henkilötietoryhmiä eli sensitiivisiä tietoja? Tällöin tietojen käsittelyssä on oltava erityisen varovainen.
  2. Tietojenkäsittelysopimus (DPA):
    • Onko toimittajan kanssa solmittu tietojenkäsittelysopimus?
  3. Toimittajan sijainti:
    • Missä maassa toimittaja sijaitsee?
    • EU:n sisällä tietojen siirto on yleensä laillista, kunhan kohdemaan tietosuojataso on riittävä EU GDPR:n mukaisesti.
  4. Toimittaja EU:n ulkopuolella:
    • Onko kohdemaalle myönnetty päätös tietosuojan riittävyydestä? Katso lista maista!
    • Jos riittävyyttä koskevaa päätöstä ei ole, onko käytössä muita asianmukaisia suojatoimenpiteitä? Esimerkkejä näistä:
      • Sitovat yrityssäännöt
      • Euroopan komission hyväksymät vakiosopimuslausekkeet
      • Sertifiointimekanismit
    • Erikoistapauksissa saattaa olla mahdollista käyttää poikkeuksia, kuten yksilön antamaa suostumusta.

Tämän listauksen avulla voit helposti varmistaa, että organisaatiosi tietojen käsittely noudattaa voimassa olevia tietosuojalakeja ja -säädöksiä.

Maat, jotka ovat saaneet EU:n tunnustuksen tietosuojan riittävyydestä

Euroopan komissio on tunnustanut seuraavat maat ja alueet tarjoamaan riittävää tietosuojaa GDPR:n mukaisesti syyskuussa 2023. Nämä maat ja alueet ovat saaneet hyväksynnän siitä, että ne tarjoavat riittävän tason tietosuojan Euroopan unionin standardien mukaisesti:

• Andorra
• Argentiina
• Kanada (kaupalliset organisaatiot)
• Färsaaret
• Guernsey
• Israel
• Mansaari
• Japani
• Jersey
• Uusi-Seelanti
• Etelä-Korea
• Sveitsi
• Iso-Britannia
• Yhdysvallat (kaupalliset organisaatiot, jotka ovat liittyneet DPF-sopimuksen alaisuuteen)
• Uruguay

Vinkit tehokkaaseen tietosuojatyöhön

• Varmista toimijan asema DPF-listalla.
• Pidä silmällä toimijoiden listaa säännöllisesti, sillä sen sisältö päivittyy ja muuttuu
• Jatka DPIA:n (Data Protection Impact Assesment) ja TIA:n (Transfer Impact Assessment) toteuttamista. Laadi suunnitelma ja harkitse varasuojatoimia mahdollisen DPF:n kumoamisen varalle.
• Merkitse DPIA:han DPF:n voimassaolon ajankohta ja määritä itsellesi aikataulu sen tarkistamiselle. Jos toimittajasi ei uusi DPF-osallistumistaan, toimintasi voi olla ristiriidassa vaatimusten kanssa.

Esimerkki:
Verkkosivullasi näkyvät videot pyörivät teknisesti Vimeo-alustan kautta. Tarkastaessasi Vimeon tilaa DPF-hyväksyntälistalta, huomaat, ettei toimija ole aktiivinen jäsen. Käytön jatkamista on siis syytä punnita tarkkaan ja voi olla järkevää harkita toisen alustan käyttöönottoa. Huomio: Jos et löydä toimittajaa aktiivisista jäsenistä, älä unohda tarkistaa myös ei-aktiivisten listaa.

Tietosuojan jatkuva merkitys organisaation toiminnoissa

Tietosuojan vaatimukset edellyttävät jatkuvaa valppautta ja säännöllisiä tarkastuksia. Olipa tietosuojavastaava sisäinen tehtävä tai ulkoistettu, hänen vastuullaan on varmistaa tietosuojan noudattaminen kaikissa organisaation osa-alueissa, erityisesti hankinnoissa ja IT-toiminnoissa. DPF-sopimuksen mahdollinen kumoaminen tulevaisuudessa korostaa sopimusten ajantasaisuuden ja vaikutustenarviointien (DPIA) merkitystä.

Tehokkain tapa vähentää riskejä on integroida tietosuojanäkökulma organisaation perusprosesseihin, kuten hankintoihin. Tämä varmistaa, että mahdolliset riskit, olivatpa ne sitten toimittajaan tai alustaan liittyviä, havaitaan ajoissa.

Artikkeli julkaistiin Sytyke-lehdessä lokakuussa 2023.
Artikkelin kirjoitti Juha Sallinen.

Uusi tietosuojasopimus EU:n ja Yhdysvaltojen välille

kirjoittaja

Tietosuojataikurin hatusta kani – Data Privacy Framework

Heinäkuussa koimme varsinaisen yllätyksen, kun tietosuojataikuri esitteli Data Privacy Framework (DPF) sopimuksen kuin kanin hatustaan. DPF-sopimus korvaa vuonna 2020 kumotun Privacy Shield -sopimuksen henkilötietojen siirrosta Euroopan ja Yhdysvaltojen välillä.

Euroopan komission riittävyys päätös

Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös eli DPF-sopimus sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin, mutta päätöksellä on suora vaikutus vain niihin käyttämiisi toimittajiin, jotka ovat liittyneet DPF:ään. Sopimus koskeekin siis vain niitä yhdysvaltalaisyrityksiä, jotka ovat sitoutuneet tietosuojakehykseen ja sen mukaisiin suojatoimiin. Sopimus ei koske yhdysvaltalaisia yrityksiä, jotka eivät ole liittyneet DPF:ään.

Miten tähän päädyttiin?

Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbour kumottiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Privacy Shield. Privacy Shield sopimuksen mukaan organisaatioille laitettiin vaatimuslista, johon heidän piti vastata, enemmän ja vähemmän todellisuuden mukaisesti. Kuitenkin jo vuonna 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Yhdysvaltojen viranomaiset pääsivät tai saattoivat vaatia pääsyä tietoihimme. Klikkaa tästä ja lue lisää sopimusten historiasta!

Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuusta 2023 alkaen EU-US Data Privacy Framework toimii virallisena sopimuksena koskien tietojen siirtoa. Sopimuksen mukaan ne toimijat, jotka ovat DPF:n hyväksyntälistalla aktiivisia, ovat riittäviä suojaamaan tietojamme.
Riski on kuitenkin olemassa, että asetus kumotaan, jos Yhdysvalloissa presidentti vaihtuu tai Max Schremsin johtama NOYB (Euroopan digitaalisten oikeuksien keskus) haastaa DPF:n. Kumpi tahansa tapahtuma johtaisi takaisin kolmen vuoden takaiseen tilanteeseen.

Ota nämä seikat huomioon omassa tietosuojatyössä

  • Tarkista huolellisesti toimijan DPF-listalla olo tästä!
  • Varmista toimijan tai palvelutuottajan aktiivisuus sekä voimassaoloaika.
  • Älä lopeta DPIA työtä!
  • TIA:n suhteen käytä aika pääosin DPIA ja riskien hallitsemiseen. Varaudu, että DPF voi kumoutua ja siten palataan taas siirtojen arviointiin (TIA). Jos DPF kaatuu, mieti mitä suojatoimia teillä voisi olla käytettävissä?
  • Seuraa tilannetta meidän kanavillamme.

Miten mitata tietosuojakoulutuksen vaikutusta ja kustannustehokkuutta organisaatioissa?

kirjoittaja
Tietosuojakoulutusten merkitys organisaatioille on avainasemassa alati kehittyvässä lain säädännössä ja liiketoimintaympäristössä. Koulutusten kustannuksista ja vaikutuksista huolehtiminen on äärimmäisen tärkeää, mutta myös modernien ratkaisujen, kuten verkko-oppimisen hyödyntäminen voi tuoda organisaatiolle uusia mahdollisuuksia menestyä GDPR:n aikakaudella. Juha Sallinen Kouluttaja GDPR Tech

Koulutus – se kauan keskusteltu aihe, joka on kuin kaksiteräinen miekka organisaatioiden arjessa. Koulutuksia tulee järjestää, jotta henkilökunnan ammattitaito pysyy ajan tasalla sekä kehittyy, mutta moni organisaatio pohtii miten ja kuinka usein koulutuksia tulisi järjestää? Mikä on se tavoitetaso, jolle esimerkiksi koko henkilöstön koulutuksilla pitäisi päästä ja miten sitä mitataan? Entä miten voisi arvioida koulutuksen vaikutusta suhteessa kustannuksiin? Kokenut kouluttaja, konsultti ja yrittäjä pohdiskelee nyt, kuinka esimerkiksi GDPR Techin järjestämät koulutukset ovat todella vaikuttaneet organisaatioiden henkilökunnan osaamiseen ja mikä koulutusten todellinen arvo on.

Aseta selkeät tavoitteet

Kouluttajana on hienoa saada hyvää palautetta koulutusten jälkeen ja kuulla, että asiakasorganisaatio on tyytyväinen koulutukseen tai että organisaatiossa on oivallettu jotain uutta: ”Koulutuksen jälkeen istuimme alas ja mietimme tietosuojan osalta, miten prosesseja pitäisi muuttaa organisaatiossamme turvallisemmiksi”. Ideaali tilanne olisi kuitenkin, että tietäisimme henkilökunnan lähtötason ja voisimme verrata oppimista ennen ja jälkeen koulutuksen. Nimittäin jo pienellä kyselyllä voimme todentaa oppimista ja koulutuksen suoraa vaikutusta henkilökunnan osaamiseen.

Suosittelemme, että heti alkuun organisaatio valitsee tavoitetason, joka halutaan saavuttaa esimerkiksi tietosuojaan liittyvissä kysymyksissä. Eri henkilökunnan jäsenille on myös hyvä olla eri tavoitteet. Esimerkiksi johdolle ja esihenkilöille on usein järkevää järjestää täsmäkoulutuksia, jotka auttavat ymmärtämään syvällisemmin tietosuojaan liittyviä vastuita ja velvoitteita. On myös suositeltavaa, että esihenkilöillä on laajempi ymmärrys aiheesta, jotta he osaavat asian tiimoilta tukea muuta henkilökuntaa ja vastata aiheeseen liittyviin mahdollisiin käytännön kysymyksiin.

Mittaa koulutuksen vaikuttavuus

Teimme keväällä yhteistyökumppanimme kanssa parannuksia vuoden 2023 GDPR Tech koulutuksiin ja nyt sähköisissä koulutuksissamme mitataan aina lähtötilanne sekä lopputilanne. Näin saamme suoraa palautetta siitä, miten koulutus on vaikuttanut ja voimme raportoida tuloksia asiakasorganisaatioiden johdolle.

Eräässä tietosuojakoulutuksessamme lähtötason mittaus näytti seuraavalta:

Koulutuksen jälkeen osallistujien taso näytti parantuneen huomattavasti:

Mittaamisen ansioista voimme todeta tietosuojan osaamisen kohentuneen ja koulutuksen toimineen. Lisäksi koulutuksen ansioista voidaan puuttua suoraan sellaisiin asioihin, jotka mahdollisesti kaipaavat lisätäsmennystä.

Esimerkiksi organisaatio voi koulutuksen vastausten perusteella täsmentää omia ohjeitaan henkilökunnalle: ”Kiitos kaikille kurssille osallistuneille. Haluamme täsmentää, että toivomme kaikkien henkilökunnan jäsenten ottavan aina yhteyttä organisaation IT tukeen kollegan sijaan.”

Perinteinen vs. Verkko-Oppiminen

Mutta miten hoitaa laajemman henkilöstön koulutus? Perinteinen koulutus vaatii usein henkilöstön fyysistä läsnäoloa, tallenteiden käyttöä poissaolijoiden varalle ja vaikutus voi olla vaikeasti mitattavaa. Myös kustannukset ovat usein organisaatiolla suuria. Puolestaan verkko-oppiminen on osoittautunut huomattavan joustavaksi vaihtoehdoksi, koska voidaan varmistaa, että jokainen osallistuja voi liittyä koulutukseen itselleen sopivana ajankohtana. Verkko-oppiminen tarjoaa joustavuutta sekä selkeitä mittareita, kuten kurssin suoritusajan mittaamista ja mahdollisten testien tuloksia. Suuremmille tiimeille ja nykyaikaisille haasteille suosittelenkin moderneja ratkaisuja.

Esimerkki organisaation kustannukset

Otetaan esimerkiksi tähän 200 hengen organisaatio, jolle järjestetään tietosuojakoulutus. 20 hengen johdolle ja esihenkilöille pidetään oma täsmäkoulutus, jossa heille korostetaan muun muassa heidän vastuitansa sekä velvoitteita. Lopulle 180 työntekijälle pohditaan mikä koulutusmuoto olisi kustannustehokkain ja vaikuttavin? Erilaisten koulutusten vertailun lähtökohtana voisi toimia aika, joka työntekijällä menee suoritukseen ja koulutuksen kokonaiskustannus. Oletetaan, että työntekijän kustannus organisaatiolle on 60 €/h keskimäärin.

  • Koulutus A on ilmainen ja sen ilmoitettu kesto per osallistuja on noin 1,5 h. Työaika maksaa koulutus A:ssa 180 x (1,5 h x 60 €) = yhteensä 16 200 €.
  • Koulutus X on maksullinen 150 €/organisaatio ja sen ilmoitettu kesto on noin 3,5 h. Työaika koulutus X:ssä on hulppea – 180 x (3,5 x 60 €) = yhteensä 37 800 €.
  • Koulutus GDPR Tech:n yleinen tietosuoja koulutus on maksullinen 800 €/organisaatio + 40 €/hlö. Työaika koulutus GDPR Techissä on 180 x (0,5 x 60 €) = yhteensä 5 400 €.

Tämän perusteella voimme todeta, että verkkokoulutus tietosuoja-asioissa on varsin kustannustehokas ja toimiva ratkaisu.

Aika uudistaa tietosuojaan liittyvät koulutukset

Tietosuojakoulutusten merkitys organisaatioille on avainasemassa alati kehittyvässä lain säädännössä ja liiketoimintaympäristössä. Koulutusten kustannuksista ja vaikutuksista huolehtiminen on äärimmäisen tärkeää, mutta myös modernien ratkaisujen, kuten verkko-oppimisen hyödyntäminen voi tuoda organisaatiolle uusia mahdollisuuksia menestyä GDPR:n aikakaudella.

Asetetaan yhdessä tavoitteet ja mitataan koulutuksen vaikuttavuus. Harva työntekijä etsii itse aktiivisesti tietoa uusimmista tietosuoja tai tietoturva ohjeistuksista, joten tieto pitää tarjota helposti ja tehokkaasti. Tee digiloikka ja kouluta henkilöstösi kanssamme!

Viimeisimmät muutokset tietosuoja- ja tietoturvakentällä. Pysy ajan tasalla!

kirjoittaja

Tietosuojatyössä on tärkeää huomioida laaja-alaiset näkökulmat, jotta organisaatiossa voidaan varmistaa kattava ja tehokas tietosuoja. GDPR Tech on aina pitänyt tämän periaatteen ohjenuoranaan ja jatkaa samalla linjalla, koska tavoitteenamme on auttaa sinua onnistumaan tietosuojatyössäsi. Usein huomaamme tilanteita, joissa tietosuojaan panostetaan syvällisesti, esimerkiksi rekisteriselosteiden laatimisessa, mutta samalla unohdetaan ymmärrettävästi tiedottaminen tietosuojaan liittyvistä asioista. Helppotajuinen ja kansankielinen viestintä on tärkeää, jotta kaikki asianosaiset ymmärtävät tietosuojan merkityksen ja konkreettiset toimenpiteet.

Hyviä esimerkkejä onnistuneesta viestinnästä tietosuojasta ovat selkeät videot ja ”usein kysytyt kysymykset” -formaatti, joita hyödynnämme asiakkaidemme kanssa. Erään asiakkaamme kanssa olemme yhdistäneet useita erilaisia tietosuojaselosteita kahdeksi ymmärrettäväksi tiedotukseksi heidän verkkosivuillaan.

Uusi hallitus, uudet tavoitteet – Mitä se tarkoittaa tietosuojalle?

Paljon on tapahtunut viimeisimmän blogikirjoituksemme jälkeen. Suomi on saanut uuden hallituksen, joka asettaa uusia tavoitteita, kuten ”tietosuojalainsäädännön kokonaisuudistuksen”. Yhtenä osana hallinnolliset sakot laajennetaan koskemaan myös julkista sektoria. Hallitusohjelmaan on sisällytetty myös painotuksia tekoälyn osalta. Oletko jo antanut ohjeistusta organisaatiollesi koskien tekoälyn käyttöä? Tekoälyyn liittyen on jo nimittäin tapahtunut tietosuojan sekä tietoturvan poikkeamia, esimerkiksi matkapuhelinvalmistajan työntekijät olivat ladanneet suosittuun ChatGPT:hen aineistoa, jota olisi pitänyt käsitellä erittäin luottamuksellisesti.

Schrems II: Mitä seuraavaksi? Keskustelu jatkuu!

Kolmas vuosi Schrems II -keskustelua on käynnissä, ja kysymys kuuluu, pitäisikö vielä tehdä lisää toimenpiteitä vai onko aihe jo ohi? Samaan tapaan kuin GDPR, tämä keskustelu ei ole vielä päätynyt tai hävinnyt. Päinvastoin henkilötietojen käsittely Yhdysvaltalaisilta palveluntarjoajilta on yhä tarkemman tarkastelun kohteena, ja organisaatioita on Suomessa ja muualla Euroopassa varoitettu ja sakotettu useista syistä.

Keskustelussa on myös noussut esiin mahdollisen ”Privacy Shield II” -sopimuksen tarve. On huomionarvoista, että Privacy Shield on edelleen käytössä Yhdysvalloissa, mutta se ei tällä hetkellä tarjoa riittävää suojaa Euroopan ja Yhdysvaltojen välillä. Mahdollinen uusi sopimus on nimeltään Data Privacy Framework (DPF), jossa määritellään tarkemmin tietojen suojaukseen liittyviä asioita. DPF perustuu presidentti Bidenin antamaan määräykseen, mutta tämä herättää huolta siitä, mitä tapahtuu, jos seuraava valittu presidentti kumoaa sopimuksen ja koko prosessi alkaa alusta. Organisaatioiden on kuitenkin huolehdittava tietojen asianmukaisesta suojaamisesta tänäkin aikana. Aiheeseen liittyen on tehty useita tutkintapyyntöjä ja mahdollisia tietojen käsittelykieltoja. Tietojen suojaamisen kannalta on tärkeää tietää, missä tiedot todellisuudessa tallennetaan. Tämän tukena on tietojen kuvauksen päivittäminen (data flow).

Aika ratkaista tietosuojan rakenteettoman tiedon riskit

Rakenteeton tieto ja siihen liittyvät haasteet ovat edelleen keskeisessä roolissa tietosuojatyössä, samoin kuin tietoturva ja suojaukset. Digi- ja väestötietoviraston (DVV) kesäkuun seminaaripäivässä puhuttiin juuri rakenteettoman tiedon riskeistä. Tähän liittyen tarkastellaan verkkolevyjä ja Teams-työtiloja: ovatko ohjeistukset noudatettu, onko vanhaa tietoa jäänyt talteen ja mikä on yleinen suojauksen taso?

Jos rakenteettoman tiedon riskit huolestuttavat sinua, ota yhteyttä! Voimme vastata näihin ja moniin muihin kysymyksiin kartoituspalvelumme avulla. Olemme myös Kuntien Tieran toimittajalistalla, joten voimme tarjota kilpailutusmahdollisuuksia rakenteettoman tiedon konsultointiin.

Tietosuojatyö ei pääse kesälomalle – Autamme sinua myös lomakaudella

Tietosuojatyö ei pysähdy kesälomalla, joten jos tarvitset apua esimerkiksi tietosuojavastaavan poissaolon aikana, ota rohkeasti yhteyttä. Me teemme tiiminä niin tietosuojavastaavan kuin tietosuojavastaavan tukityötä ympäri Suomen koko lomakauden ajan.

Google Analytics – lainmukaista käyttää vai ei? Kolme myyttiä käytöstä!

kirjoittaja
Tabletilla Google näkymä

Verkkosivujen kävijäseurantaan on käytetty jo vuosia Googlen tekemää ilmaista Google Analytics -palvelua. Nyt Euroopan tietosuojaviranomaiset ovat kuitenkin todenneet palvelun tietosuojalain vastaiseksi. Esimerkiksi Suomen pääkaupunkiseudun kirjastot ovat saaneet tästä huomautuksen apulaistietosuojavaltuutetulta tammikuussa 2023.

Jos verkkosivutoimittajasi toteaa aiheesta puhuttaessa, että kaikkihan Google Analyticsia käyttää ja neuvoo odottelemaan tarkennuksia, on hyvä huomioida muutama myytti asian osalta.

Kolme tietosuojamyyttiä ja niiden murtaminen

Ensimmäinen myytti onkin “kaikkihan Google Analyticsia käyttää”. Joidenkin lähdetietojen mukaan yli 50 % verkkosivustoista käyttää Google Analyticsia kävijäseurantaan, mutta se, että joku toinenkin käyttää sitä, ei tarkoita Google Analyticsin olevan ainoa vaihtoehto. Kilpailevia tekniikoita verkkosivun tekniseen kävijäseurantaan onkin runsaasti – Hotjar, Snowplow, Baidu Analytics, Cloudflare ja Matomo (entinen Piwik Web Analytics).

Toinen myytti on, että uusi versio Google Analyticsista (GA4) tulisi olemaan tietosuojalain säädännön mukainen. 

Heinäkuussa 2020 Euroopan unionin tuomioistuin kumosi niin sanotussa Schrems II -ratkaisussaan komission päätöksen EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä, joka koski henkilötietojen siirtoa Euroopan ja Yhdysvaltojen välillä.

Henkilötietojen siirtoa Yhdysvaltoihin on tähän asti tulkittu kahdella tavalla; 

A) jos yhdysvaltalaisella yhtiöllä on mahdollinen pääsy tietoon, on siirto mahdollista

B) jos data (tieto) tallennetaan eurooppalaiseen konesaliin, vaikka kyseessä olisi yhdysvaltalainen toimittaja, siirtoa ei tapahtuisi tämän tulkinnan mukaan

Tämä on johtanut hämmennykseen ja erilaisiin tulkintoihin tarvittavista toimenpiteistä. 

Otetaan esimerkiksi sähköpostimarkkinointi ja siinä yleisesti käytetty MailChimp-palvelu. Saksassa Bavarian alueen tietosuojavaltuutettu kielsi paikallista yritystä käyttämästä tätä suosittua yhdysvaltalaista palvelua. MailChimp kuitenkin viittaa edelleen verkkosivuillaan olevansa tietosuojalain mukainen ja toimivansa (2/2023 tarkistettaessa) Privacy Shield -järjestelyn mukaisesti. Kun järjestely ei ole ollut voimassa yli kahteen vuoteen, asettaa se organisaation kyseenalaiseen valoon – jos tämä ei pidä paikkaansa, voiko toiminnassa olla jotain muutakin epäselvää? 

Moni käyttäjä onkin vaihtanut MailChimpistä johonkin toiseen palveluun tietosuojalainsäädäntöä koskevien kysymysmerkkien takia. Palvelua vaihtamalla ei kuitenkaan välttämättä ratkaise lainmukaisuuden ongelmia. Asia on siis monimutkainen.

Kolmas myytti on, että kohta julkistetaan Privacy Shield II ja ongelmat voidaan taas unohtaa. On huomioitava, että tämänhetkisten tietojen mukaan asialla ei ole varmaa aikataulua. Aiheesta on ollut keskustelua jo keväästä 2022 mutta sopimusta ei vieläkään ole. Voi olla, että sopimus syntyisikin keväällä 2023, mutta sitä ennen yhdysvaltalaisten palveluiden käytön osalta on vähintäänkin tehtävä riskiarvio sekä henkilötietojen siirtoon liittyvä vaikutusten arviointi.

Organisaation vastuulla on toimia lainmukaisesti riippumatta siitä mitä yhdysvaltalaiset toimittajat sanovat. Vastuuta ei voi ulkoistaa.

Mitä siis pitäisi tehdä, jotta tietosuoja on huomioitu?

Suosittelen, että jos ette ole aiemmin tehneet yleiskuvaa tietojen käsittelystä ja tietovirroista (data flow), nyt on oikea hetki siihen. Selvittää käytössä olevat yhdysvaltalaiset palveluntarjoajat – esimerkiksi Google, Microsoft, Oracle ja moni muu.

Näiden lisäksi aiemmin mainitut sähköpostimarkkinointi-työkalut kannattaa selvittää. Onko palvelulla kunnossa tietosuojaa koskeva vaikutustenarviointi (DPIA), henkilötietojen käsittelyn sopimukset (DPA) ja siirron vaikutustenarviointi (TIA)?

Voi myös pohtia, löytyisikö eurooppalaista toimittajaa sähköpostimarkkinointiin tai konesalitoimittajaksi.

Julkisesti näkyvät verkkosivut ovatkin oiva paikka aloittaa – samalla kannattaa tarkistaa evästeiden käsittely Traficomin ohjeiden mukaiseksi, nekin päivittyivät syksyllä 2021.

Tietosuojalainsäädäntö muuttuu ympäri maailmaa ja tätäkin asiaa on seurattava – vastuuta et voi ulkoistaa, mutta seurannan voit.

Laitetaanko tietosuojasi kuntoon?

Yksin näiden asioiden parissa ei siis tarvitse painia. Saat meiltä avaimet käteen -paketin verkkosivuston osalta – muutama työpaja ja laitetaan asiat yhteistyökumppanimme kanssa kuntoon. Työpajassa käydään läpi verkkosivustonne tietosuojainformointi, käydään läpi käyttämänne yhdysvaltalaiset sovellukset, testataan sivustonne evästeiden hyväksyntä sekä käyttö ja laitetaan seuranta lainmukaiseksi.

Laita viestiä ja tilaa tästä!

Tietosuojatutkimuksen taustatiedot 2021-2022

kirjoittaja

Kyselytutkimus toteutettiin sähköisenä lomakekyselynä, jonka linkkiä jaettiin sähköpostitse ja sosiaalisessa mediassa vuosina 2021 ja 2022. Vuoden 2021 kyselyn osalta saatiin 56 vastausta ja vuoden 2022 osalta 102 vastausta. Kumpanakin vuonna vastausaikaa oli noin kaksi kuukautta eikä vastaajia profiloitu. Tuloksia käsitellään tutkimusraportissa ainoastaan tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä kolmen kuukauden kuluessa.

Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset löytyvät listattuna ja niistä on tehty tutkimusraporttiin joitakin nostoja.

Vastaajien taustatiedot

Vastaajien osalta organisaatioiden kokoluokan jakauma oli molempina vuosina hyvin samankaltainen, joka on nähtävissä kuvassa 1. Samoin jakauma organisaatioiden toimialojen osalta oli molempina vuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Molempina vuosina vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3. Toimintaympäristön osalta vastaajissa oli edustettuna niin Suomessa kuin kansainvälisestikin toimivia yrityksiä, joiden päätoimipaikka sijaitsee ulkomailla. Vastaajien toimialueet löydät kuvasta 4.

Kuva 1: Organisaation henkilöstömäärä
Kuva 2: Yrityksen/organisaation toimiala
Kuva 3: Vastaajien asema
Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!


Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti

040 5666 900
[email protected]

Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

kirjoittaja

Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

Viime vuosina on käyty vilkasta keskustelua tietosuojasta ja yksityisyydestä. Usein keskusteluissa pohditaan erityisesti teknologiajättejä, kuten Metaa ja Googlea, jotka käyvät kauppaa käyttäjädatalla. Euroopan Unioni on ollut tietosuojaliikkeen eturintamassa ja määrännyt muun muassa useille suuryrityksille useiden miljoonien sakkoja henkilötietojen väärinkäsittelyn vuoksi. Myös Suomessa on noussut esiin tapauksia, joissa henkilötietoja on päätynyt rikollisille. Esimerkiksi julkisuudessa laajasti esillä olleessa tapauksessa  psykoterapiakeskuksen ex-toimitusjohtaja asetettiin syytteeseen tietosuojarikoksesta. Tämä tapaus on vielä avoinna.

Suomalainen yritys GDPR Tech Oy toteutti yhteistyössä Tutkimusvoima Oy:n kanssa tietosuojan nykytilaa koskevan kyselytutkimuksen peräkkäisinä vuosina 2021 ja 2022. Tutkimus selvitti miten EU:n yleinen tietosuoja-asetus (EU GDPR, TSA tai Suomen tietosuojalaki) on vaikuttanut Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset antavat täysin uudenlaista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja vastaanottoa Suomessa. Kysely oli molempina vuosina sama, jotta voitiin seurata tilanteen kehitystä. Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä.

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2022

  • Yli 70 % vastaajista kokee tietosuojalainsäädännön parantaneen luottamusta tietojenkäsittelyyn. 
  • Enemmistö  eli yli 65 % kokee GDPR:n hyödyttävän organisaatiota.
  • Yli 80 % organisaatioista ovat kartoittaneet henkilötietojen käsittelyyn kohdistuvat riskit.
  • Noin 10 % vastaajaorganisaatioista tietosuojatyö on jäänyt vain IT:n osaksi. Tämä viittaa siihen, että suomalaiset organisaatiot ymmärtävät tietosuoja-asetusten laajuuden ja sen takia tietosuojatyötä käsitellään organisaatioiden eri yksiköissä.
  • Tiukentunut tietosuojalainsäädäntö otetaan Suomessa varsin positiivisesti vastaan ja siitä nähdään yleisesti olevan hyötyä niin organisaatioille kuin ihmisille.

Luottamus tietojenkäsittelyyn kasvussa ja hyödyt nähdään selkeämmin

Yli 70 % vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojenkäsittelyyn. Prosenttiosuus on myös kasvanut noin kahdella prosenttiyksiköllä vuodesta 2021 verrattuna vuoteen 2022. 

Vastaajien enemmistö (yli 65 %) kokee GDPR:n hyödyttävän organisaatiota. Vuosien 2021 ja 2022 välillä etenkin EI-vastausten määrä on olennaisesti pienentynyt sekä lisäksi KYLLÄ-vastauksia on 10 % yksikköä enemmän. Tämä heijastuu myös avoimissa vastauksissa, joissa osa huomauttaa GDPR:n tuottavan lisätöitä, mutta samaan aikaan tunnustetaan GDPR:ää koskevat hyödyt ja asennemuutos organisaatioiden sisällä.

Luottamus tietojen käsittelyyn - taulukko
Hyödyttääkö GDPR organisaatiotanne - taulukko
Kyselyyn vastaaja
"GDPR:ää tulkitaan usein todella väärin ja siitä lähtökohdasta, että kaikkien henkilötietojen jakaminen on absoluuttisen kiellettyä ja rangaistavaa. Tämä aiheuttaa suurimmat ongelmat. GDPR:n tulkintoja on yhtä paljon kuin tulkitsijoitakin."
Kyselyyn vastaaja
"Lisää työmäärää, hidastaa työntekoa - hyötynä se, että tietoja säilytetään huolellisemmin - kaikki miettivät työssään tietosuoja-asioita, joten tuntuu turvallisemmalta."
Kyselyyn vastaaja
"Tietosuojaa ja tietoturvaa käsitellään vakavammin kuin esimerkiksi 20 vuotta sitten. On jalkautettu koko henkilökunnalle ja pidetään tietosuojan päiviä koko henkilökunnalle. Myös johto ottaa asian vakavasti. Tehtävää on vielä paljon ja keskeneräisiä asioita myös."

Tietosuojariskien hallinta on osa suomalaisten organisaatioiden toimintaa

Henkilötietojen käsittelyn osalta tietosuojalainsäädäntö (ja GDPR) nostaa voimakkaasti esille riskienhallinnan. Riippumatta siitä, missä roolissa tietoja käsitellään, on organisaation  arvioitava mahdollisia riskejä sekä  riittäviä teknisiä ja organisatorisia toimia riskien minimoimiseksi. Yli 80 % vastaajaorganisaatiosta on kartoitettu henkilötietojen käsittelyyn kohdistuvat riskit. Edellisvuoteen verrattuna  EI-vastausten määrä on noin viisi prosenttiyksikköä suurempi vuonna 2022. Usein PK-sektorilla juuri riskien tunnistamista erilaisissa projekteissa ei hallita prosessina tai osana säännöllistä toimintaa.

Riskien kartoitustilanne- taulukko

Vähintään joka viides työntekijä jää ilman tietosuojaperehdytystä

Vastaajista yli 60 % kertoo, että tietosuojaohjeistus kuluu uusien työntekijöiden perehdytykseen. On kuitenkin huolestuttavaa, että lähes 20 % organisaatioista ei perehdytä uutta työntekijää tietosuojan osalta ja toiset lähemmäs 20 % ei tiedä tapahtuuko perehdytystä.

Osa vastaajista kertoi, ettei työntekijöitä aina muisteta perehdyttää tietosuojaan, mutta myös säännöllinen koulutus puuttuu. GDPR Tech Oy:n toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat usein organisaatiossa hajanaisia: ”Yhdessä tietosuojan tilannekuva-projektissa kävi ilmi, että kaikki työntekijät oli koulutettu eri maissa vuonna 2018. Ei kuitenkaan ketään sen jälkeen. Tällainen kerran tehty koulutus tuo toki ”tick in the box” merkinnän, mutta ei todellisuudessa muuta toimintatapoja organisaatiossa tai tuo tietoisuutta käytännön toimiin. Kuka muistaa mitä neljä vuotta sitten käydyssä koulutuksessa puhuttiin?”

Onko GDPR-ohjeistus osana perehdytystä - taulukko
Kyselyyn vastaaja
"GDPR on tuonut tietosuojan näkyvyyttä laajemmin toimijoille Suomessa. Meillä toteutetaan henkilöstölle tietosuojakokeet säännöllisin väliajoin tietoturvallisuuden ja tietosuojan asioista. Myös tietojenkäsittelystä ja tietosuojasta tiedotetaan aika ajoin."
Kyselyyn vastaaja
"Enimmäkseen IT-puolen hallussa, mutta yksittäisissä asioissa esim. oman yksikön omat lomakkeet, minut on jätetty ihan yksin GDPR-asioissa. Oletetaan, että ne ovat hoidossa, ikään kuin GDPR tulisi itsestään. En edes tiedä olenko hoitanut GDPR-asiat niin kuin pitää, mutta se ei kiinnosta ketään."

Suomalaiset organisaatiot ovat hyvin tietoisia GDPR-seuraamuksista ja sanktioista

Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 95 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla ja ainoastaan noin 5 % ei osaa sanoa tai ei tiedä sanktioista tai mahdollisista muista seuraamuksista.

Vastaajat kommentoivat myös kysymystä hyvin eri lähtökohdista. Osasta vastaajista tuntuu, että organisaatiot ottavat GDPR-asiat nyt enemmän vakavasti ja osa vastaajista koki, että asian kanssa ollaan edelleen tietämättömiä. Sallinen kommentoi asiaa asiantuntijan näkökulmasta: ”Tietosuojaa koskevat asiat ovat vielä hyvin eri tasoilla eri organisaatiossa. Osalle GDPR näyttäytyy ainoastaan pakollisena verkkosivujen evästehyväksyntä-kyselynä, kun taas toisissa organisaatiossa on tehty erinomaisen hienoa työtä ja muutettu toimintatapoja. Tietosuoja-asioista huolehtimalla saadaan toiminnasta kustannustehokkaampaa sekä turvallisempaa – vastuullisuudesta puhumattakaan. Olennaista tietosuojan kannalta on läpinäkyvyys: jokaisen on tiedettävä miten heidän tietoja käsitellään.”

Tietoisuus seuraamuksista, jos lakia ei noudateta - taulukko
Kyselyyn vastaaja
"Pakottaa kaikki toimijat markkinoilla samalle viivalle. Ennen oli toimijoita, jotka lepsuilivat tietosuojan kanssa. Lisää käyttäjien luottamusta."
Kyselyyn vastaaja
"GDPR on täysin väärinymmärretty. Jos oikeasti tehtäisiin tarkastuksia niin kokemuksen mukaan kaikki toimivat vastoin ohjeistuksia jokaisessa yrityksessä, jossa olen toiminut. Tietosuojan ymmärrys, valvonta ja toteutus on edelleen lasten kengissä."

Luottamus organisaation omien tietojen suojaamiseen on kuitenkin yleisesti heikko

Vastaajien osalta huolestuttavaa on puutteellinen luottamus organisaatioiden kykyyn suojata omia tietojaan. Kun kysyttiin, oletko huolissasi omista tiedoistasi, vain hieman yli 50 % ei ollut huolissaan. Yli 40 % on ollut huolissaan kumpanakin vuonna,  ja vuoden 2022 osalta määrä on kasvanut parilla prosenttiyksiköllä. Tietosuojan jalkautus ja riskienhallinta vaatii selvästi lisää työtä, jotta saamme luottamusta tietojemme käsittelyyn parannettua.

Oletko huolissasi omista tiedoistasi - taulukko

2020 voimaan tullut tiedonhallintalaki vaikuttaa julkishallintoon

Tutkimuksessa keskityttiin tietosuojalakiin (EU GDPR, TSA tai Suomen tietosuojalaki), mutta haluttiin myös saada tilannekuva tiedonhallintalain vaikutuksesta. Vastaajista osa on töissä julkishallinnossa tai toimittaa palveluita julkishallinnolle. Näissä tapauksissa vuonna 2020 voimaan tullut tiedonhallintalaki vaikuttaa myös osaltaan vastaajaorganisaatioihin. Taustakyselyn tarkoitus oli selvittää, miten isossa osassa joudutaan miettimään kahden varsin suuren muutoksia aiheuttavan lainsäädännön resursointia toimenpiteiden osalta.

Vastaajista yli 40 % koskee myös tiedonhallintalaki, jossa on omia vaatimuksia niin dokumentointiin kuin käytännön toimiin liittyen. ”On huomattava se, että vaikka kyselyssä keskityttiin tietosuoja- ja tiedonhallintalakeihin, niin organisaatioissa henkilötietojen käsittelyä ohjaa monet muutkin lait, kuten osakeyhtiölaki, kirjanpitolaki ja työaikalaki. Näissä laissa on usein tarkentavia ohjeita esimerkiksi tiedonsäilytysaikoihin liittyen.”, Sallinen toteaa.

Koskeeko teitä myös tiedonhallintalaki - taulukko

Tietosuojatyössä riittää yhä kehitettävää

GDPR on varsin nuori asetus ja Suomessa tietosuojalaki on ollut voimassa vasta vuodesta 2019 lähtien. Keskusteluissa ja mediassa nousee esille kuitenkin usein tietosuojalainsäädäntö ja siitä laajemmin tiedottaminen. Yhä useampi kuluttaja on huolissaan omista tiedoistaan ja vaatii organisaatioilta lainmukaisia GDPR-toimia. Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on ollut hyvin pieni verrattuna muihin Euroopan maihin, mutta tämä osittain johtuu maamme pienestä väkiluvusta.

”Vastaajien erilaiset näkemykset ovat samankaltaisia kuin me näemme projekteissa sekä koulutuksissa. Huomattavan paljon on vääriä tulkintoja aiheen osalta ja sen takia koetaan GDPR:n ”kieltävän kaiken”. Niissä organisaatioissa, joissa selvästi on käyty myös toimintamalleja ja otettu tietosuojatyö mukaan arkeen, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta sekä selkiytymistä. Myös luottamus on nostettu useassa vastauksessa esiin – toimimalla avoimesti ja vastuullisesti voidaan parantaa asiakkaiden luottamusta yrityksen toimintaa kohti.”, summaa Sallinen lopuksi.

Lisätietoja

Juha Sallinen | Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti | 040 566 6900 | [email protected]
Ota yhteyttä

Katso vinkit GDPR-riskikartoitukseen ja paranna yrityksesi liiketoimintaa

kirjoittaja

Monet yritykset pitävät GDPR:ää edelleen hankalana vaatimuksena ja pakollisena pahana. Usein GDPR:ää lähestytäänkin kertaharjoituksena, joka kirjoitetaan paperille, mapitetaan ja unohdetaan. Valtaosa yrityksistä kuitenkin niin B2B kuin C2B puolella käsittelee ja tallentaa asiakkaiden henkilötietoja päivittäin.

Henkilötietojen käsittelyyn liittyy aina riskejä. Pahimmillaan yritys voi saada merkittäviä maine ja taloudellisia haittoja. Johto voi myös joutua raskaiden syytösten kohteeksi, jos asiakkaan henkilötietoja on esimerkiksi vuotanut kolmannelle osapuolelle tai julkisuuteen ilman lupaa. Parhaimmillaan GDPR-asetus voi kuitenkin tukea liiketoimintaa virtaviivaistamalla ja parantamalla useita yrityksen ydinliiketoimintoja.

Sama malli ei sovi kaikille

Yrityksellesi on tärkeää tunnistaa oman liiketoiminnan riskit ja varmistaa, että toiminta on tietosuojalain mukaista oikeita työkaluja käyttäen. Riskienhallinta on oltava oikeasuhteinen ja sopiva organisaation kokoon nähden, ja avainasemassa on ymmärtää yleinen riskinottohalu. Eri yrityksillä on erimuotoisia ja -tasoisia riskejä ja organisaation tulee suojata niin pääoma- kuin asiakastietoja. Riskienkartoitus ei ole tärkeää vain GDPR:n kannalta, vaan se auttaa parantamaan myös asiakassuhteiden hallintaa.

Yrityksen on mietittävä mitä ja kenen tietoja he käsittelevät.

Tämän päivän kuluttajat ja asiakkaat ovat yhä enemmän tietoisia oikeuksistaan. He seuraavat tapaa, jolla heidän tietojaan hallitaan, ja siten painostavat yrityksiä vahvistamaan tietoturvainfrastruktuuriaan. Valitettavan usein yritykset käyttävät paljon rahaa yrityskuvan korjaamiseen tietomurron jälkeen, mutta eivät ota proaktiivista roolia riskinhallinnan ehkäisevien toimenpiteiden rakentamisessa.

Riskikartoituksen avulla voidaan välttyä tietomurroilta

GDPR-riskiarviointi on kaiken lähtökohta vaatimustenmukaisuuden puutteiden tunnistaminen, jotka voivat olla huolestuttavia asiakkaiden tietojen suojaamisessa esimerkiksi tietomurroilta. Tarkoituksena on tunnistaa, analysoida ja arvioida mahdolliset uhat. Tämän jälkeen yritys voi suunnitella yleisen toimintamallin tietojen suojaamiseksi. Samalla tavalla kuin yritys vaihtaa fyysisiä lukkoja toimitiloissaan tulee tietosuojalukot olla kunnossa. Riskejä ovat muun muassa heikot suojausmekanismit kuten salasanat, huolimattomuus ja hakkerit. Tietovuoto ja tietosuojaloukkaus ovat mahdollisia suojauksen pettäessä. Julkisuudessa tällä hetkellä laajasti esillä olleen Psykoterapiakeskuksen johto on esimerkiksi asetettu rikosoikeudelliseen vastuuseen tietovuodosta.

Mahdollisia seurauksia yritykselle suojauksen pettäessä on:

  • Taloudelliset haitat, kuten sanktiot tai sakkorangaistukset
  • Mainehaitat ja brändin arvon lasku
  • Tyytymättömiä asiakkaita
  • Asiakkaiden menetys

Riskikartoituksen vinkit

Riskienkartoitus edellyttää, että kaikki yrityksesi osastot tarkastelevat tarkasti tietojaan. Mitä tietoja heillä on, miten niitä käsitellään ja mitä tapahtuisi, jos ulkopuolinen pääsisi tietoihin käsiksi. Mieti miten kyberrikolliset ja työntekijät voivat vaarantaa yrityksesi arkaluonteisia tietoja.

Tässä muutamia vinkkejä, joilla pääset alkuun:

1. Kartoita yrityksesi tiedot

Kartoita, mistä kaikki yrityksesi henkilötiedot ovat peräisin, miten ne on dokumentoitu ja mitä teet tiedoilla. Tunnista, missä tiedot sijaitsevat, kenellä on pääsy niihin ja voiko tiedot vuotaa.

2. Selvitä, mitä tietoja sinun on säilytettävä

Älä säilytä sen enempää tietoja kuin on tarpeellista ja poista kaikki tiedot, joita et käytä. Jos yrityksesi on kerännyt paljon dataa ilman todellista hyötyä, nyt on aika pohtia, mitkä tiedot ovat tärkeitä yrityksellesi.

Kysy itseltäsi puhdistusprosessin aikana:

  • Miksi juuri arkistoimme nämä tiedot sen sijaan, että vain poistaisimme ne?
  • Miksi tallennamme kaikki nämä tiedot?
  • Mitä yritämme saavuttaa keräämällä esimerkiksi nämä henkilötiedot?
  • Onko taloudellinen hyöty suurempi suojattujen tietojen pitämisessä kuin poistamisessa?

3. Ota turvatoimenpiteet käyttöön

Ota käyttöön suojatoimet, jotta tietoturvaloukkaukset voidaan estää. Tämä tarkoittaa tietoturvatoimien käyttöönottoa tietoturvaloukkauksilta ja nopean toiminnan ilmoittamista henkilöille ja viranomaisille, jos tietoturvaloukkaus tapahtuu.

Tarvitsetko apua?

Eikö aika tai osaaminen riitä? Me tarjoamme riskienkartoituspalvelua. Voimme auttaa yritystäsi tunnistamaan ja analysoimaan riskit. Ydintoimintaamme kuuluu prosessien suoraviivaistaminen ja selkeän toimintasuunnitelman tuottaminen. Me olemme täällä tukemassa liiketoimintaasi. Järjenkäyttö on aina sallittua ja usein tarvittavat toimenpiteet voivat olla hyvin pieniä.

Tilaa uutiskirjeemme!

Saat GDPR vinkit, tiedotteet ja tapahtumat suoraan sähköpostiisi!

Ota yhteyttä

+358 40 5666 900
[email protected]

Arkisin klo 8–17
Puolikkotie 8, 5.krs, 02230 Espoo

Facebook Twitter Linkedin

Palvelut

Lisätietoja

Tietosuojalupaus

© 2022 GDPR Tech