Tämän kurssin kouluttajat. GDPR käytännössä eli mistä on EU:n yleinen tietosuoja-asetus tehty?

Transkriptio

1 GDPR käytännössä eli mistä on EU:n yleinen tietosuoja-asetus tehty? EU General Data Protection Regulation (GDPR) Kouluttajat: Juha Sallinen ja Oiva Tyni Koulutus / Espoo / Syksy-Talvi 2017 Tämän kurssin kouluttajat Juha Sallinen Toimitusjohtaja, GDPR Tech Yli 20 vuotta tietotekniikkaa, mm. Tieto, HP, Wipro, Symantec, Pedab, Veritas Oiva Tyni Hankepäällikkö, GDPR Tech Yli 20 vuotta tietotekniikkaa, mm. Aroyhtymä, IBM Copyright GDPR Tech

2 Koulutuksen tavoitteet Osallistuja saa selvän koosteen ja tilannetiedon EU GDPR / EU:n yleisen tietosuoja-asetuksen vaatimuksista Osallistuja ymmärtää regulaation tavoitteet ja vaatimukset käytäntöön sovellettuna Osallistuja osaa soveltaa sisältöä omaan yrityksen / yhdistyksen toimintaan liittyen Copyright GDPR Tech Päivän yksi ohjelma 9:00 0:15 Aloitus, johdatus koulutukseen 9:15 1:00 Aloitus - mikä ihmeen GDPR ja miten se vaikuttaa yritysten toimintaan 10:15 0:30 Ryhmätyö 1 10:45 1:00 Keskeiset vaatimukset avattuna sekä viestintä 11:45 0:15 Kahoot-1 12:00 0:45 Lounas 12:45 0:45 Tietoturva ja tiedonhallinta 13:30 0:30 Tiedon salaus, tiedon luokittelu, tallennusaika 14:00 0:15 IP-kahvi 14:15 0:30 Ryhmätyö 2 14:45 0:45 Henkilöön liittyvän tiedon löytäminen, pilvipalvelut, alihankkijat 15:30 0:15 Kahoot-2 15:45 0:15 Kooste 1. päivästä 16:00 1.pv lopetus Copyright GDPR Tech

3 Päivän kaksi ohjelma 9:00 0:15 Kooste 1.päivästä, kysymyksiä ja vastauksia 9:15 1:00 Privacy by design - privacy by default - mistä kyse? 10:15 0:30 Ryhmätyö 3 10:45 1:00 Tiedonhallinta, elinkaari, pilvipohjaiset sovelluspalvelut (SaaS)? 11:45 0:15 Kahoot-3 12:00 0:45 Lounas SaaS: Software as a 12:45 0:45 Yhteistyökumppanit, hankesalkun hallinta Service, esim. SalesForce, Office 13:30 0:30 Mitä hyötyä regulaatiosta on? 365 ja Googlen 14:00 0:15 IP-kahvi vastaavat palvelut 14:15 0:30 Ryhmätyö 4 14:45 0:45 Vakuutusvaihtoehdot, esimerkkejä ja harjoituksia 15:30 0:15 Kahoot-4 15:45 0:15 Kooste 2. päivästä. Mahdollisuus suorittaa GDPR Awareness -modulin testi. 16:00 Kurssin lopetus Copyright GDPR Tech Mikä ihmeen GDPR? Euroopan Unionin (EU) tietosuojauudistuksella viitataan lainsäädäntöuudistukseen, johon kuuluvat yleinen tietosuoja-asetus ja direktiivi lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta. Tietosuoja-asetus koskettaa sekä EU:ssa että sen ulkopuolella toimivia yrityksiä, jotka käsittelevät jäsenvaltioiden kansalaisten henkilötietoja. Tietosuoja-asetus korvaa direktiivin 95/46/EY sekä vuoden 2008 tietosuoja-alan puitepäätöksen 2008/977/YOS. Tietosuoja-asetus sisältää resitaaleja (eli ja artikloja. Euroopan komissio julkaisi ehdotuksen tietosuojan lainsäädäntöuudistuksesta tammikuussa Noin neljän vuoden jälkeen parlamentti, komissio ja neuvosto pääsivät sopuun asetuksen ja direktiivin sisällöstä joulukuussa Säädökset on julkaistu , jolloin sekä asetus että direktiivi astuvat voimaan kahden vuoden siirtymäajan jälkeen Lähde: VAHTI-ohjeistus Copyright GDPR Tech

4 Taustaa Henkilötietojen käsittelyn laajuus on muuttunut paljon viime vuosien aikana. EU:n nykyinen, vielä voimassa oleva henkilötietodirektiivi on vuodelta 1995, jolloin henkilötietojen käsittely ja henkilötietojen hyödyntäminen liiketoiminnassa oli hyvin erilaista. Tietosuoja-asetusta tulee soveltaa yhdenmukaisesti kaikissa EU:n jäsenvaltioissa. Jotta tämä onnistuisi, on jäsenvaltioiden valvontaviranomaisten tehtävä yhteistyötä. Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB) voi antaa asetuksen soveltamisesta sitovia päätöksiä, mikä tekee siitä keskeisen toimijan yhdenmukaisuuden varmistamisessa. Lähde: EU GDPR implementation guide, liite 2, sivu 319- Copyright GDPR Tech Suomen tilanteesta kysely M-Files / 2017 Tutkimustuloksia suomalaisten organisaatioiden valmiuksista ja keinoista vastata EU:n uusiin tietosuojaasetuksen vaatimuksiin (GDPR) Kuitenkaan selkeää suunnitelmaa vaatimusten noudattamiseksi ei ollut edes puolella organisaatiosta. Vastausten joukosta nousi eniten esiin koulutuksen tarpeellisuus, kun puhuttiin tärkeimmistä asioista henkilötietojen käsittelyyn liittyen. Vastaajien organisaatioiden koko jakaantui suhteellisen tasaisesti. Alle 100 hengen organisaatioissa työskentelee 29 % vastaajista, henkeä työllistävissä 36 % ja yli 500 hengen organisaatioissa 35 % vastaajista. N oli 103. Lähde: Copyright GDPR Tech

5 GDPR lyhyesti General Data Protection Regulation Yhteinen kaikille EU maille periaatetta henkilötietojen käsittelylle käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus tietojen minimointi tietojen täsmällisyys tietojen säilytyksen rajoittaminen tietojen eheys ja luotettavuus rekisterinpitäjän osoitusvelvollisuus Copyright GDPR Tech EU tietosuoja-asetus eli EU GDPR ylätasolla: Data breach notification / 72h Data portability / 30d Right to be forgotten / 30d EU GDPR vaatimukset lain kannalta Osa-alueet Mihin osa-alueisiin tämä tulee vaikuttamaan. Kartoitukset, koulutukset. Privacy by design Kriisiviestintä Sovellusten toiminta Data Privacy Officer Laki Mitä GDPR velvoittaa tekemään Asiakkaiden toiminta Prosessit Sovellukset Viestintä Privacy by default Tiedostopalvelimet Intranet / pilvipalvelut Tietokannat / HR / CRM Automaatio, luokittelu Paperidokumentit Tiedonhallinta. Rakenteellinen (esim. Tietokannat) ja eirakenteellinen tieto Tiedonhallinta Käsittely, auditointi, kaikki mediat Tietoturva Suojaus, DLP, varmennus, tekniset toimet Tietoturva. Miten turvataan teknisessä mielessä verkko- ja käyttäjät Kryptaus Verkontietoturva Salaus, luotettava poisto Käyttäjien oikeudet Copyright GDPR Tech

6 Tiedon omistajuus siirtyy takaisin henkilölle! Rekisterinpitäjät / Käsittelijät Yhdenmukaiset velvoitteet koko EU:ssa Riskilähtöisyys Yhdenmukaisuusmekanismi One-stop-shop Sakot Sertifiointimekanismit Tietosuojavastaava Rekisteröidyt Parempaa viestintää: - käsittelystä - loukkauksista Siirto-oikeus Oikeus tulla unohdetuksi Profiloinnin kieltäminen Lapsen henkilötietojen käsittelyn rajoittaminen Tietosuoja-asetus tuli voimaan ja sitä sovelletaan kovennettuna alkaen. Silloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Copyright GDPR Tech GDPR yhdellä kalvolla? Mitä regulaatio tarkoittaa ja mitä se velvoittaa tekemään? Lähde: EU GDPR implementation guide, Territorial scope, sivu 20 Copyright GDPR Tech

7 Mikä on henkilöön liittyvää tietoa? Ennen toimenpiteitä on hyvä miettiä mikä on henkilötietoa tai henkilöön liittyvää tietoa Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto). Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Lähde: VAHTI-ohjeistus Copyright GDPR Tech Roolit Rekisterinpitäjä ja Tiedonkäsittelijä Rekisterinpitäjä (controller): Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä (processor) Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Copyright GDPR Tech

8 Keskeiset vaatimukset avattuna Right to be forgotten oikeus tulla unohdetuksi ja/tai korjata tietoja Oikeus saada pääsy omiin henkilötietoihinsa ja pyydettäessä poistettava tiedot (samalla myös oikeus perua suostumuksensa) Data breach notification ilmoitusvelvollisuus tietovuodoista Rekisteröidyillä on oikeus saada ilmoitus, jos hänen henkilötietonsa ovat vuotaneet ulkopuolisille luvattomasti Data portability oikeus saada omat tiedot mukaan Oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa siirtomuodossa Käsittelyn rajoitus, vastustamisoikeus Rekisterinpitäjällä on velvollisuus tunnistaa rekisteröidyn henkilöllisyys Lähde: EU GDPR implementation guide, sivu Copyright GDPR Tech Viestintä ja sen tärkeys Yksi vaatimuksista GDPR:n osalta, on henkilötietojen tietoturvaloukkauksista tiedottaminen Ilmoitus on tehtävä, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille Selkeä kuvaus tapahtuneesta Yhteyspiste, mistä lisätietoja Tiedot siitä, millaisia vaikutuksia voi olla rekisteröidyille Kuvaus niistä toimenpiteistä joita aiotaan tai on jo tehty lieventämään vaikutusta Rekisterinpitäjän tulee tehdä ilmoitus valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa siitä, kun loukkaus on havaittu Copyright GDPR Tech

9 Henkilöstön valmistautuminen mitä opiksi? Lähde: Tietoviikko: Samuli Känsälä / 3.4. klo 17:35 Copyright GDPR Tech Inhimillinen virhe Kyseessä oli arkinen asia, jonka mukana lähti täysin asiaankuulumaton liite, kertoo Pamin toiminnanjohtaja Jyrki Konola. Kävi siis inhimillinen virhe, josta Konola on kovin pahoillaan. Noin puolen tunnin kuluttua viestin lähtemisestä Pam sai laitettua matkaan peruutusviestin, joka poisti viestin niiltä, jotka eivät sitä olleet ehtineet vielä avata. Ammattiliitto ei kuitenkaan tiedä, kuinka moni liitteeseen ehti käsiksi, sillä sähköpostijärjestelmä ei ilmoita, onnistuiko peruutus vai ei. Copyright GDPR Tech

10 Viestintä sekä henkilöstön valmentautuminen Ote Kontiolahden kriisiviestintäsuunnitelmasta: KRIISIVIESTINNÄN TAVOITTEET Varmistaa, että julkisuudessa on totuudenmukainen mielikuva tilanteesta. Totuudenmukainen mielikuva varmistetaan omaaloitteisuudella ja avoimuudella. Ensimmäinen viesti määrää yleensä julkisuuden suunnan ja sävyn. Luotettava viestintä ylläpitää luottamusta ja mainetta Miten 72h ilmoitusvelvollisuus ja kriisiviestintä liittyvät toisiinsa? Copyright GDPR Tech Mikä on 72h aikarajassa haasteena? h ei ole paljon aikaa milloin ongelma havaittiin? 2. Kenen pitäisi tehdä päätös ilmoittamisesta? 3. Jos ilmoitetaan vain viranomaiselle, kenelle? Hotline? Miten kuittaus? 4. Jos ilmoitetaan henkilöille, miten ja millä organisaatiolla? 5. Miten alun alkaen havaitaan ongelma tietosuojaan liittyen? Copyright GDPR Tech

11 Tietoturvan osa-alueet Tietoturvalla tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tietoturvan eri osa-alueiden toteutuminen. Näitä osa-alueita ovat: luottamuksellisuus; tietoon on pääsy ja se on käytössä vain niillä, joille se on tarkoitettu, joilla on siihen oikeus eheys; tieto pysyy muuttumattomana, sisältö ei ole muuttunut käsittelyn, siirron tai tallennuksen aikana todennus; eri tahojen (henkilö, tieto) luotettava ja aitouden tunnistaminen; tietoturvan kriittisin ja vaikein osa-alue kiistämättömyys; varmistaa sen, että tieto on jäljitettävissä; tapahtumaan osallinen ei voi kiistää osallisuuttaan pääsynvalvonta; käyttäjien tietoihin ja palveluihin pääsyn valvonta saavutettavuus tai käytettävyys; tieto käytettävissä asianomaisilla; miten tieto, järjestelmä tai palvelu on käyttöön oikeutettujen käyttäjien hyödynnettävissä Lähde: Copyright GDPR Tech Käytännössä monia osapuolia Lähde: Confidentiality, Integrity and Availability (CIA) Copyright GDPR Tech

12 Arjen tietosuojaa - / Tietosuoja.fi sivusto Arjen tietosuoja -verkkokoulutus on julkaistu -sivustolla. Lisää tietosuojaan ja tietoturvaan liittyviä, eri kohderyhmille suunnattuja koulutusvideoita julkaistaan vuoden 2017 aikana. Suomenkielinen video - julkaistu 22.6 Nettitesti - julkaistu (testiversio) Lisämateriaalia suomeksi - julkaistu 22.6 Suomeksi tekstitetty video - julkaistaan heinäkuussa Ruotsiksi tekstitetty video - julkaistaan heinäkuussa Englanniksi tekstitetty video - julkaistaan heinäkuussa Lisämateriaalia ruotsiksi - julkaistaan heinäkuussa Video: 04:00 06:00 Lähde: EU GDPR implementation guide, sivu 286-, duties of supervisory authorities Copyright GDPR Tech Periaatteessa tämä on varsin helppoa Lähde: VAHTI-ohjeistus Lähde: EU GDPR implementation guide, sivu / Consent Lähde: Eight privacy design strategies / Hoepman Copyright GDPR Tech

13 Tyypillinen yritys tietoteknisesti esitettynä Copyright GDPR Tech Tietoa käsitellään monessa muodossa Tietomuodot Mahdolliset tietoturvahaasteet Ratkaisuja Data-in-Motion /IM Web Post Network Traffic Cloud DLP Prevent DLP Monitor Data-at-Rest DLP Discover Drive Encryption File Share Database Desktop/Laptop Cloud Storage Data-in-Use Removable/Devices /IM Cloud Apps File & Clipboard DLP Endpoint File and removable media encryption Device Control Copyright GDPR Tech

14 Tiedon salaus sekä tiedon luokittelu Joitakin helppoja tietoa suojaavia vaihtoehtoja: Tieto on salattua aina kun mahdollista Esimerkiksi kannettavien koneiden suojaus Tietoa luokitellaan ja esimerkiksi estetään sen väärinkäyttö (Data Loss Prevention, DLP) Copyright GDPR Tech Esimerkki Data Loss Prevention toiminnasta Yrityksestä ulos lähtevä data EGRESS OUT Etsi tiedosta, Googletyyppisellä etsintätyökalulla Forensic search / historiatiedon osalta Bonus = Kriittisen tiedon osalta käyttötiedot ALL MATCHES Lähde: McAfee DLP Violations Database Pre-set Policies Dashboard reports Distributed notification of violations and reports Capture Database Everything captured Information gap solved Ability to LEARN from the past Copyright GDPR Tech

15 Miten henkilöön liittyvä tieto voidaan tunnistaa? Organisaation on tietosuoja-asetuksen vaikutuksia arvioidessaan hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta. Organisaatio voi esimerkiksi kuvata, mitä henkilötietovarantoja sen hallussa on, miten tietosuojaperiaatteet on otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu. Osa tästä tunnistuksesta voidaan automatisoida Lähde: Tietosuojavaltuutetun toimisto, Miten valmistautua EU:n tietosuoja-asetukseen Copyright GDPR Tech Pilvipalveluiden käyttö GDPR:n yhteydessä Valmiusasteita on monenlaisia Dokumentaatio, tahtotila ja sopimukset ovat avainasemassa Esimerkki yksi (kevät 2017): Ainoa keino on vaan seurata Suomen lainsäädäntöä ja ohjeistusta, joka tulee EU-pykälien perusteella Suomeenkin. Ennakointi ja arvailu siitä mitä tulee tapahtumaan kuluttaa vain turhaa aikaa. Esimerkki kaksi (kevät 2017): : DLP sisäänrakennettuna voi tunnistaa yli 80 yleistä tietotyyppiä Sisällön etsintä voi etsiä kaikkien lähteiden sisällöstä Data Governance käyttää tietojen luokittelua tietojen löytämiseen Provider stands ready to help organizations meet the GDPR compliance deadline of May 25, The Provider Cloud can help you achieve compliance. For more information about how we can help, please visit xxx. Lähde: EU GDPR implementation guide, sivu 262 Copyright GDPR Tech

16 Alihankkijat ja sopimukset Huomattava muutos GDPR:ssä on sekä tietojen tallentajan että käsittelijän vastuut Rekisterinpitäjän velvollisuuksiin kuuluu valita vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta Tämä vaatii käytännössä sopimusmuutoksia Lähde: Vahti-ohje Copyright GDPR Tech Tietoturvasertifikaatti / esimerkki UK:sta Cyber Essentials ja Essentials Plus The Cyber Essentials scheme is a cyber security standard, which organisations can be assessed and certified against. It identifies the security controls that an organisation must have in place within their IT systems in order to have confidence that they are addressing cyber security effectively and mitigating the risk from Internet-based threats. Lähde: EU GDPR implementation guide, sivu 83 Copyright GDPR Tech

17 Sanktioista? Tuskin vaikuttaa oikeasti? 2-4% / tai 20M-40M? Copyright GDPR Tech Mikä on Privacy by Design Avataan perusvaatimuksia aiheeseen liittyen 17

18 Esimerkki arkkitehtuuri-suunnittelun haasteista Mallikuvassa sovellus jaettuna osiin, jossa eri valmistajia ja esim. sovelluskerros ja tietokanta taustalla Copyright GDPR Tech Sovellusten korjaukset mitä tietoa tallennetaan ja minne 18

19 Tietoturvaongelmia tuotteissa / globaali TOP Vendor Name Number of Vulnerabilities 1Oracle 800 2Google 698 3Adobe Vendor Name Number of Vulnerabilities 1Google 436 2Oracle 434 3IBM 366 Lähde: Copyright GDPR Tech Tiedon hallinta sekä elinkaaren vaikutukset Yrityksissä ei välttämättä ole tiedonhallintaan käytäntöjä Tyypillisesti vain 14% tiedosta on tarvittavaa 32% on sellaista, joka on turhaa Ja 54% sellaista, joka vaatisi selvittämistä Yrityksissä on ei-rakenteellista tietoa keskimäärin noin 90% Lähde: IDC Copyright GDPR Tech

20 Tiedon tallennuksen rajoittaminen Copyright GDPR Tech SaaS-palvelut Software as a service (SaaS) Sovellus voidaan myös koostaa osista, jotka ovat valmiita (esim. IBM Bluemix tai MS Azure) Esim. uusi Internet of things (IoT) -sovellus Tarvitaan osia sen rakentamiseen valmiita moduleita olemassa eri toimittajilta SaaS malli edellyttää että tietoa välitetään SaaStoimittajalle Varmista, että henkilötietoja voi tallentaa ao. maahan Rajoita vastuutasi Huolehdi, että sinulla on oikeus käyttää alihankkijaa Käsittele vain tietoa, jolle on hyväksyntä Varmista käytännön toimenpiteet tiedon suojaamiseen (entä jos palvelu lakkautetaan?) Copyright GDPR Tech

21 Vaatimukset yhteistyökumppanien osalta Edellytä yhteistyökumppaneilta GDPR valmiutta Dokumentaatio Riskin vähentäminen Jaettavien tietojen minimointi, käsittelyn ohjeistus Sopimukselliset kohdat Korvausvelvollisuudet? Tiedonsuojausmenetelmät Vastuuhenkilöt Auditointimahdollisuus Tiedottaminen, DPO tarve? Lähde: Copyright GDPR Tech Hankesalkun hallinta Tietoisuus ja sen lisääminen Sisäiset palaverit Koulutukset Sertifioinnit Suunnitteluvaihe Riskikartoitukset Budjetointi Työpajat Toteutusvaihe Muutokset toimintatapoihin Lähde: EU GDPR implementation guide, alkaen 97 sivulta Copyright GDPR Tech

22 Privacy Impact Assesment (recital (83)) Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja. Lähde: EU GDPR implementation guide, sivu 116 ja 147 Truste.com / Risk level of effort Copyright GDPR Tech Tiedon kartoitus - esimerkki Lähde: EU GDPR implementation guide, sivu 155 Copyright GDPR Tech

23 Viitekehyksien käyttö GDPR:ssä EU GDPR määrittelee osin varsin väljästi mikä on asianmukaiset toimet Yksi tulkinta asiasta on valmiiden viitekehysten kuten ISO 27001:2013 käyttö: Kansainvälinen standardi, joka määrittelee tietoturvallisuuden hallintajärjestelmän vaatimukset mahdollistaakseen riskien arvioinnin ja tarvittavien ehkäisevien toimenpiteiden toteuttamisen Luottamuksellisuus, eheys, saatavuus, sopimusten noudattaminen, työkalu toiminnan ohjaukselle, riskien hallinta, ISO (corporate governance) jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelun Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö. Lähde: EU GDPR implementation guide, sivut 17 ja 24, Copyright GDPR Tech Mitä hyötyä tietosuoja-asetuksen noudattamisesta on hyödyt kustannuksien sijaan Tehosta toimintoja vähennä tiedon etsintää GDPR valmius tuo tai pitää luottamuksen liiketoimintaasi Uusia asiakkuuksia ei menetettyjä asiakkuuksia Tietoturvan parantuminen projektien edetessä Asiakkaan siirtäminen keskiöön Riskien vähentäminen Prosessien tehostaminen Sovellusten päivitys (mandaatti) Copyright GDPR Tech

24 Pääsy henkilötietoihin? Henkilölle on annettava pääsy omiin tietoihinsa Miten toteutetaan teknisesti Tunnistus? Mitä kaikkea tietoja annetaan? Miten peitetään ne tiedot, joita ei voida antaa (esim. muiden tiedot) Ei voida veloittaa! Viivytyksettä ja viimeistään kuukauden sisällä Lähde: EU GDPR implementation guide, sivu (Subject access request) Copyright GDPR Tech Copyright GDPR Tech

25 Vakuutusvaihtoehdot? Avoinna osin vielä Cyber vakuutukset ovat osa kokonaisuutta Riskienhallinta mahdollista, esim. ISO keskeinen standardi Lähde: EU GDPR implementation guide, sivu 139 Copyright GDPR Tech Plan Do Check Act / PDCA Riippuen organisaation valmiustilanteesta, voi GDPR olla iso tai pieni ponnistus Yhtenä suositeltuna menetelmänä kehittämiseen on COBIT:n Continual Improvement Life Cycle PDCA:n sijaan Act Tee korjaavat toimenpiteet Plan Määrittele tavoitteet ja prosessit Check Tarkistele tulokset ja vertaa tavoitteisiin Do Toteuta suunnitelman vaiheet Lähde: EU GDPR implementation guide, sivu 29 Copyright GDPR Tech

26 Data Protection Officer (DPO) / Tietosuojavastaava Yritys tai organisaatio voi olla velvoitettu nimittämään tietosuojavastaavan Pitää, jos kyseessä: Viranomainen tai julkishallinto poikkeuksin Henkilötietojen käsittely laajamittaista tai järjestelmällistä seurantaa vaativaa Käsittely kohdistuu erityisiin (arkaluonteisiin henkilötietoryhmiin tai rikoksiin) Ei kuitenkaan tarvitse olla täysipäiväinen HUOM! Riippumatta siitä, onko yrityksellä tietosuoja-asetuksen perusteella velvollisuutta tietosuojavastaavan nimittämiseen, on sillä aina täysimääräinen vastuu tietosuojasääntelyn noudattamisesta. Viimekädessä todella huomattavien taloudellisten sanktioiden ja maineriskin uhalla. Lähde: ( ) Copyright GDPR Tech Miten muut ovat toteuttaneet osia julkisia caseja TWDI Finland / Vesa-Pekka Juutilainen, toiminnallinen arkkitehti Laura Tarhonen, Privacy Manager / Sanoma Oyj IAB Tietosuojaseminaari Copyright GDPR Tech

27 Kooste koulutuksesta Osallistuja saa selvän koosteen ja tilannetiedon EU GDPR / EU:n yleisen tietosuoja-asetuksen vaatimuksista Osallistuja ymmärtää regulaation tavoitteet ja vaatimukset käytäntöön sovellettuna Osallistuja osaa soveltaa sisältöä omaan yrityksen / yhdistyksen toimintaan liittyen Osallistujalla on ratkaisuja eri EU GDPR:n osa-alueisiin Copyright GDPR Tech Linkkejä viitattuihin osiin sekä lisätietoa Vahti-ohjeistus, VM ohjeistus: ja ( M-Files kyselytutkimus Suomalaisten organisaatioiden tilasta / EU:n tietosuojauudistus: Miten valmistautua. oimisto/oppaat/1em8rt7if/miten_valmistautua_eun_tietosuoja-asetukseen.pdf PK-yritykselle koosteohje: oimisto/tiedotteet/z0pdcbww7/data_protection_infographic_fi-lr.pdf Varonis: EU General Data Protection Regulation, The New Rules for EU Data Security EU_GDPR_gdprtech.pdf 27