Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Tietosuoja-asetus on nyt täällä, pysyikö mopo käsissä?

25. toukokuuta 2018

GDPR tietosuoja-asetus

Kauan odotettu tietosuoja-asetus eli GDPR on vihdoin saavuttanut hetken, jolloin siitä on tullut pääasiallinen velvoittava lainsäädäntö henkilötietojen käsittelyn osalta. Asetus hyväksyttiin vuonna 2016 ja samalla annettiin kaksi vuotta aikaa muuttaa toiminta asetuksen mukaiseksi. Miten tässä on onnistuttu ja miten tästä eteenpäin?

Minulla on ollut viimeisen kahden vuoden aikana kunnia työskennellä yli kolmenkymmenen kotimaisen yrityksen ja julkishallinnon organisaation kanssa tietosuoja-asetuksen parissa. Ilokseni voin todeta, että sellaisetkin yritykset joiden toiminnassa henkilötietojen käsittely on varsin toissijainen toiminto, ovat suhtautuneet asiaan vakavasti ja laittaneet prosesseja ja järjestelmiä kuntoon säntillisesti. Toisaalta kyseessä on varsin pieni otos kotimaisesta kentästä, koska sellaiset organisaatiot, jotka eivät asiaan halua paneutua tai joilla ei ole resursseja sitä tehdä, ovat todennäköisesti jääneet pimentoon eivätkä ainakaan ole turvautuneet ulkopuoliseen apuun henkilötietojen käsittelyn menettelytapojen uudistamisessa.

Tietosuoja-asetuksen kauneus ja samalla myös vaara on siinä, että se määrittelee periaatteet, jotka rekisterinpitäjän on toteutettava, mutta asetus ei määrittele kovinkaan monessa asiassa yksityiskohtaista toteutustapaa. Kauneus on siinä, että jokainen organisaatio voi itse määritellä käytännön toteutuksen käytettävissä olevin resurssein ja liiketoiminnan luonteen huomioiden. Tärkeintä on, että tietosuoja-asetuksen periaatteet toteutuvat ja että tehdyt valinnat pystytään perustelemaan hyvin. Vaara taas piilee siinä, että lähdetään tavoittelemaan täydellistä toteutusta välittämättä siitä, onko tavoite käytännössä mahdollista tai järkevää toteuttaa. Esimerkiksi osoitusvelvollisuudessa voidaan lähteä tavoittelemaan täydellistä vuokaaviokuvausta henkilötietojen käsittelyyn käytetyistä järjestelmistä ja prosesseista, vaikka yksinkertaisempikin dokumentaatio riittäisi. Rekisteröidyn oikeuksiakin voidaan lähteä toteuttamaan liian pilkuntarkasti. Esimerkiksi henkilötietojen siirto-oikeus xml-formaatissa on toiminnallisuus, jota tuskin kannattaa lähteä rakentamaan b2b-asiakkaille, joista rekisterinpitäjä käsittelee henkilötietona vain yrityksen yhteyshenkilön nimeä ja yhteystietoja.

Olen kohdannut muutamia tapauksia, joissa tietosuoja-asetusta on luettu kuin ”piru raamattua” ja niin sanotusti mopo on meinannut lähteä käsistä. Tähän tautiin on usein auttanut tietosuoja-asetuksessakin mainittu riskiperusteinen lähestymistapa. Riskiperusteinen lähestymistapa voidaan käytännössä kiteyttää kahteen eri parametriin.

Ensiksi on arvioitava käsiteltävien henkilötietojen arkaluonteisuus. Jos käsitellään periaatteessa julkisia tietoja, joita ovat esimerkiksi nimi, osoite, puhelinnumero ja sähköpostiosoite, ei potentiaalinen riski rekisteröidyn yksityisyyden suojalle ole kovin korkea. Jos tähän lisätään henkilötunnus tai muuta luottamuksellista tietoa, jonka avulla rekisteröidyn voi tunnistaa varmemmin, riski esimerkiksi identiteettivarkauteen kasvaa huomattavasti. Jos tähän vielä lisätään tietosuoja-asetuksen 9 artiklan mukaisia arkaluonteisia tietoja, kuten uskonnollinen vakaumus, seksuaalinen suuntautuneisuus tai terveyteen liittyvät tiedot, ollaan jo tilanteessa, jossa henkilötietojen paljastuminen aiheuttaa korkean riskin henkilön yksityisyyden suojalle.

Toinen parametri on käsiteltävien tietojen potentiaalinen käsittelijäjoukko. Mitä suppeampi ja tarkemmin kontrolloitu joukko tietoihin pääsee käsiksi, sitä paremmin voidaan valvoa henkilötietojen asianmukaista käsittelyä. Lisäksi riskitaso voi nousta, jos henkilötietojen käsittelyyn on käytetty uutta teknologiaa, esimerkiksi biometrisiä tunnistusmenetelmiä. Näitä parametrejä tarkasteltaessa saadaan tulokseksi potentiaalinen riskitaso, joka henkilötietoihin kohdistuu ja sen avulla voidaan kohdistaa tarpeelliset turvallisuuskontrollit tietojen suojaamiseksi. Riskiperusteista lähestymistapaa korostamalla voidaan useimmiten välttää ylilyönnit ja pitää käytännön tekeminen järkevällä tasolla. Yksinkertaistettuna, ritsalla ei saa kaadettua karhua eikä kärpästä kannata ampua tykillä.

Yksi syy ylilyönteihin on tietysti pelko suurista sanktioista, jotka toivottavasti realisoituvatkin, jos henkilötietojen käsittely on asiatonta laiminlyöntien tai tahallisten väärinkäytösten vuoksi. Parhaansa tekemällä pärjää kuitenkin pitkälle. Jos rekisterinpitäjä kykenee osoittamaan, että henkilötietojen suojaus ja käsittelyprosessit on toteutettu asetuksen mukaisesti sellaisella tasolla, joka liiketoiminnan luonne, arvioitu riskitaso sekä käytettävät resurssit huomioiden on kohtuullisella ponnistuksella mahdollista, tietosuojaviranomainen ei määrää ensi sijassa sanktioita, vaan tarjoaa ensin apua ja neuvoja havaittujen puutteiden korjaamiseksi ja vasta ohjeiden laiminlyönnin jälkeen sanktiot astuvat mukaan kuvaan.

Tietosuoja-asetus tuo kaivattua pontta myös yleisen tietoturvallisuuden parantamiseen. Monen organisaation tietoturvapäällikkö on viime aikoina saanut lisää rahaa tietoturvabudjettiin tietosuoja-asetuksen tarpeiden nojalla. GDPR-projekteissa on usein parannettu myös yleisen tietoturvallisuuden tilaa mikä on tietysti positiivinen asia. On hyvä kuitenkin ottaa huomioon, että tietosuoja-asetuksen henki on asetusten mukaisten toimintatapojen tuominen jatkuviin prosesseihin, jolloin kyseessä ei ole kertaluontoinen projekti, vaan pysyvä toimintatapojen muutos. Tietoturvallisuuden osalta tämä tarkoittaa myös jatkuvaa turvallisuuden tason mittaamista ja arviointia. Kuten artikla 28 sanoo, rekisterinpitäjän on toteutettava menettely, jonka avulla ”testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi”. Käytännössä tämä tarkoittaa säännöllisesti suoritettuja sisäisiä tarkistusrutiineja tai ulkopuolisia auditointeja tietoturvallisuuden varmistamiseksi. Toivottavasti tietosuoja-asetuksen tuoma aktiivisuus myös tällä saralla säilyy senkin jälkeen, kun pöly asetuksen ympärillä on laskeutunut.


Timo Rinne

 

Timo Rinne on Ymonin CISSP- ja CISA-sertifioitu seniorikonsultti. Hänellä on kahdenkymmenen vuoden kokemus tietoturvallisuuden (ml. tietosuoja) toimeksiannoista lukuisissa kotimaisissa ja kansainvälisissä yrityksissä, käsittäen mm. auditointeja ja hallinnollista tietoturvaa. Timon tarkemman profiilin löydät LinkedInistä.