GDPR (tai lakimiesystäväni mukaan gepardi) on ollut koko liikemaailman huulilla, artikkeleissa ja sähköpostitulvassa koko kevään ajan. Nyt syksyn korvalla voimme jo hieman hengähtää helpotuksesta. GDPR-konsultit ovat tehtävänsä tehneet ja maailma ei päättynytkään vielä 25.5.2018 lakimuutokseen. Helsingin keskusta ei täyttynytkään niiden lukuisten yritysten irtisanotuista työntekijöistä, jotka menivät konkurssiin jättimäisistä sakoista. Niistä sakoista, joita viranomaiset langettivat jokaiselle kenellä rekisteriselosteet eivät olleet määräaikana viimeisen päälle valmiina.
Yhdellä asetuksella EU onnistui luomaan kokonaan uuden liiketoiminnan tyhjästä. Mekin kirjoittelimme jo aiemmin painavaa asiaa aiheesta otsikolla EU Tietosuoja-asetus - Onko teidän IT enää laillinen 25.5.2018 jälkeen? Vaikka GDPR:ää tulkitaankin Suomessa hyvinkin tiukasti, on sen viesti sinällään aivan oikea: henkilötietoja käsitellessä pitää kiinnittää ihan oikeasti huomiota siihen miten niitä käsitellään, mikä niiden elinkaari on ja rekisterissä olijalla on oltava tieto rekisterissä olemisesta.
Tietoisuus tietojen käsittelystä ja tietosuojasta on noussut aivan uudelle tasolle asetuksen myötä. Yritykset ovat kahlanneet rekistereitään läpi ja katsoneet ovatko ne todella tarpeellisia. Lisäksi on määritelty oikeita asioita niiden ylläpitämiseksi. Läpikäymättömiä rekistereitä löytyy varmasti vielä edelleenkin hurja määrä, joten työsarkaa riittää. Yritysten kuuluukin tuntea kylmiä väreitä selässään tallentaessaan yksittäisten henkilöiden arkaluonteisia tietoja. Kannattaa kuitenkin muistaa myös, että GDPR:ään kuuluu riskiperusteinen arvio toiminnasta. Oikeasti tärkeisiin rekistereihin pitääkin kohdentaa aivan eri tavalla huomiota kuin mitättömiin. Niissä usein riittää, että todetaan mahdollisuus, että rekistereitä on. Riskiarviossa niiden vaikutus on aivan mitätön (kuten se työkoneella oleva tekstitiedosto, jossa on viime vuoden pikkujouluihin osallistuneiden sähköpostiosoitteet. Onhan se rekisteri, mutta hei, nyt ihan oikeasti).
Kiinnitetään nyt huomio näihin tärkeimpiin rekistereihin sekä tietoihin, jotka muodostavat rekisterin. Monessa yrityksessä tehtiin paljon työtä, että asiat saatiin jollekin tolalle eli nimitettiin tietosuojavastaava ja kirjoitettiin rekisteriselosteita. Monessa yrityksessä ei ehditty tai osattu tehdä sitäkään. Ja monessa ”jollekkin tolalle” saaneessa yrityksessä on jo nyt syksyn nurkilla perustettu monia uusia rekistereitä - ilman selosteita. Keväällä nimitetyn tietosuojavastaavan kalenteri on täynnä entiseen malliin oikean työtehtävän mukaisia palavereita. Saattaa kuulostaa tutulta?
Tietosuojan, kuten tietoturvakin, pitäisi olla jatkuva prosessi. Ei hanke mikä tehdään kerran kuntoon ja toistetaan tarvittaessa. Suuremmissa yrityksissä tämä ei ole ongelma. Siellä on varaa nimittää täysipäiväisiä ihmisiä pelkkään tietosuojaan, ja prosessit sekä niiden noudattaminen ovat osa organisaation kulttuuria. Pienemmissä yrityksissä toimintamallit eivät välttämättä ole sellaiset, että GDPR:n vaatimukset täyttyvät tulevaisuudessakin. Tämän artikkelin ensimmäisen kappaleen vähättelystä huolimatta (”Helsingin keskusta ei täyttynytkään niiden lukuisten yritysten irtisanotuista työntekijöistä…”) asioiden pitää ihan varmasti olla kunnossa. Sanktioita ei välttämättä tule kaikille, mutta joillekin ihan varmasti tulee. Ja sanktioitakin pahempi isku yritykselle on mainetappio, jos asiakasrekisteri vuotaa maailmalle.
Mietitäänpäs mitä käytännön keinoja pienemmällä yrityksellä olisi GDPR:n vaatimusten jatkuvaan täyttämiseen? Ensimmäinen keino on tietenkin prosessit ja toimintamallit. Jos yrityksessä ei ole mahdollista saada täysipäiväistä resurssia näiden hoitamiseen, voi esimerkiksi tietohallintopäällikköä hankkia palveluna. Joko kokonaan käyttöön tai tukemaan oman toimensa ohella toimivaa, yrityksen omaa henkilöä. Tai ihan vain valmentamaan täysipäiväistäkin, sillä harvoin uudet ajatukset tai ajattelumallit haitaksi! Tällaisessa palvelussa huomiota kannattaa kiinnittää siihen, että palvelussa keskitytään erityisesti tärkeimpään (ja tylsimpään) aiheeseen, eli prosesseihin, toimintamalleihin ja ohjeistuksiin. Jatkuvana palveluna nämä pysyvät aina ajan tasalla.
Tietojen vuotamiseen sähköposti on (liiankin) helppo ja paljon käytetty väline. Ei ole kauaakaan, kun Venäjän presidentin salainen vierailuaikataulu lähetettiin siviilille. Posti lähti väärälle vastaanottajalle, sillä sähköpostiohjelma oli täydentänyt osoitekenttään väärän osoitteen. On hyvä pitää myös muistissa, että sähköposti kulkee lähtökohtaisesti verkossa salaamattomana. Lentokentän langattomasta verkosta lähetetty potilasluettelo näkyy liikennettä kuuntelevalle taholle sellaisenaan. Vaikka oma yhteys sähköpostiohjelmasta palvelimelle olisikin salattu, vastaanottajalla näin välttämättä ei ole. Kattavat sähköpostin suojausratkaisut tarjoavat tähän helppoja keinoja. Perinteisen roskapostin ja virusten suodattamisen lisäksi voidaan myös lähteviä viestejä suojata. Viestin salaus, joko napista tai automaattisesti, suojaa tehokkaasti arkaluontoista tietoa. Hyvissä suojausratkaisuissa myös tietojen vahingossa lähettäminen voidaan estää tai esimerkiksi automaattisesti salata kaikki viestit, joissa on vaikka henkilötunnuksia tai tilinumeroita.
Verkkopuolella hyvä perusta on tietysti oikein suojatut verkot. Palomuuraukset, suojatut etäyhteydet ja verkkojen segmentointi ovat asioita, joista pitää kirjoittaa erikseen. Tietoturvapuolella GDPR:n havainnointivaatimuksia pystytään sen sijaan täyttämään erilaisilla tietoturvaohjelmistoilla. Meidänkin käyttämä ohjelmisto pystyy havainnoimaan verkosta perinteisten hyökkäysten lisäksi myös käyttäytymiseen perustuvia poikkeamia. Tällöin voidaan havaita esimerkiksi tietokannan käyttö normaalien toiminta-aikojen ulkopuolella tai vaikka tietojen massiivinen kopiointi ulkoiseen verkkoon (jos se on normaalista poikkeavaa käyttäytymistä).
Tietenkin itse tiedot tulee suojata oikein ja myös niiden varmistaminen on järkevää, vaikkei välttämättä GDPR:n kautta vaatimukseksi tulekaan. Tietojen tallentaminen ja niihin pääsy pitää miettiä oikein. Varsinkin jos tietoihin halutaan päästä käsiksi esimerkiksi ulkoverkosta tai mobiililaitteilla, on hyödyllistä käydä ratkaisut läpi kolmannen silmäparin tai verkkoarkkitehdin kanssa. Tietojen pääsyssä mukaan tulee tietenkin käyttöoikeuksien hallinta, jossa taas suuressa roolissa ovat prosessit ja toimintamallit.
Kuten jo aiemmin kerroinkin, että isot yritykset pystyvät helposti painimaan gepardin eli GDPR:n kanssa, mutta pienemmillä yrityksillä tilanne on usein toinen. Aikaa ja resursseja ei ole riittävästi sekä kunnolliset prosessit puuttuvat. Tietosuojaan tulee silti kiinnittää jatkuvasti huomiota. Modernit ratkaisut ovat onneksi arkkitehtuuriltaan ja hinnaltaan sellaisia, että niitä voidaan hankkia järkevästi palveluina. Jos tietojen suojaaminen tai muut artikkelissa mainitut asiat kiinnostavat, ole yhteydessä, niin voimme katsoa mitä kaikkea kirjoituksen työkaluista me voisimme tarjota teille.
PS. Kirjoitin aikaisemmin Tietoturvaoppaan, joka selvittää modernin tietoturvan koukeroita kehäsuojausperiaatteen kautta. Tutustu oppaaseemme.
Me mielellämme opastamme teitä tietoturvaan liittyvissä asioissa, ota yhteyttä. Me BLC Taidolla uskomme maailmaan, jossa tietotyö on helppoa ja työskentely hauskaa sekä turvallista.