KPMG:n tietosuojaselvitys kpmg.fi
KPMG:n tietosuojaselvitys Sisällys Johdanto 4 Yhteenveto 5 Tietosuojan hallinnan suunnitelmallisuus 6 Tietosuojan riskianalyysit 6 06 Tietosuojan hallinta Organisaatioon kohdistuvat riskit 7 Henkilötietojen käsittelykäytäntöjen taso 8 Puutteet tietosuojatoiminnoissa 9 07 Organisaatioon kohdistuvat riskit Lainsäädännön ongelmat 10 Haastavimmat kehityskohteet 11 Tietosuojatyön resurssit 12 Tietosuoja-asetukseen valmistautuminen 12 10 Lainsäädännön ongelmat Kehityssuunnitelmat lähitulevaisuudessa 13 13 Kehityssuunnitelmat lähitulevaisuudessa
01 Johdanto KPMG toteutti syksyllä 2014 Suomessa toimivien organisaatioiden tietosuojatoimintojen tilaan liittyvän kyselyn. Selvityksen tarkoituksena oli kartoittaa tietosuojatoimintojen nykytilaa, lainsäädännön haasteita sekä sitä, miten tuleva EU:n tietosuoja-asetus mahdollisesti vaikuttaa rekisterinpitäjien toimintaan. Selvityksen tuloksia on tarkoitus hyödyntää tietosuojaan liittyvän tietoisuuden lisäämiseen sekä epäkohtien selvittämiseen ja niiden julkituomiseen. Kyselyyn vastanneet organisaatiot muodostivat jakauman eri toimialoilta, joukossa oli niin suuria kuin pieniäkin rekisterinpitäjiä. Vastanneiden organisaatioiden (18) koko oli 34-23 000 henkilöä. EU:n yleinen tietosuoja-asetus tulee lähitulevaisuudessa muuttamaan henkilötietojen käsittelyn sääntelyn perustaa, ja muutos tuo mukanaan uusia ja tiukempia vaatimuksia rekisterinpitäjille. Jatkossa henkilötietojen käsittelyn tulee olla suunnitelmallista, dokumentoitua ja perustua riskianalyysiin, samalla kun rekisterinpitäjien tulee aktiivisesti todentaa toimintojen ja kontrolliympäristön tehokkuus ja lainmukaisuus. Asetuksen säätämisen jälkeen alkaa siirtymäkausi, jonka aikana rekisterinpitäjien on viimeistään arvioitava tietosuojatoimintojensa kypsyystaso ja tarvittavat toimenpiteet vaatimustenmukaisuuden saavuttamiseksi. Kehityssyklin toteuttamisen jälkeen on hyvä arvioida kehitystoimien tehokkuus ja tarve lisätoimille, tarvittaessa riippumattoman kolmannen osapuolen avustuksella. Kyselyn tulokset antavat viitettä siitä, millä kypsyystasolla vastanneiden organisaatioiden tietosuojatoiminnot ovat tällä hetkellä, mitkä ovat tärkeimpiä ongelmakohtia ja miten organisaatiot aikovat vastata näihin haasteisiin. 4 / KPMG Oy Ab / Tietosuojaselvitys
Yhteenveto 02 Tietosuojan tärkeys tulevaisuudessa organisaation menestyksekkään toiminnan kannalta tunnustetaan yleisesti vastanneiden organisaatioiden keskuudessa, ja tulevasta tietosuoja-asetuksesta ollaan jo melko hyvin tietoisia. Noin puolet vastanneista organisaatioista arvioi henkilötietojen käsittelyn käytäntöjensä olevan tällä hetkellä riittävän hyvällä tasolla. Syiksi tietosuojatoimintojen puutteellisuuteen mainitaan mm. tiedon ja osaamisen puute, vaikeaselkoinen lainsäädäntö sekä tietosuojan yleinen, verraten alhainen asema organisaatioiden prioriteeteissä. Vaikka merkittävä osa vastanneista ei tähän mennessä ole suorittanut säännöllisiä tietosuojariskien analyysiä, voidaan sanoa, että toimintaan vaikuttavista, ylätason sisäisistä ja ulkoisista riskeistä ollaan tietoisia. Selvityksen mukaan 72 prosenttia vastanneista on jo nimittänyt tietosuojavastaavan. Lähitulevaisuuden tärkeimmiksi kehityskohteiksi tietosuojaasetuksen implementoinnissa nimetään kokonaisvaltaisen tietosuojan hallinnoinnin järjestäminen, erilaisten riskianalyysien suorittaminen sekä henkilöstön ja tietosuojavastaavan osaamisen varmistaminen. Suurin riski on organisaation johdon tietämättömyys olemassa olevista riskeistä. Tietosuojaselvitys / KPMG Oy Ab / 5
03 Tietosuojan hallinnan suunnitelmallisuus Chart Title Kuinka suunnitelmallista, johdettua ja dokumentoitua organisaationne 11% tietosuojan hallinta on? Kyselyyn vastanneista 11 prosenttia toteaa, että organisaation tietosuojan hallinta on suunnitelmallista, johdettua ja dokumentoitua. Loput vastaajista ilmoittaa tietosuojan hallintansa olevan joko melko tai jossain määrin suunnitelmallista. Ottaen huomioon, että 67 prosenttia totetaa tietosuojan hallinnoinnin ja dokumentaation järjestämisen ajankohtaiseksi kehityskohteeksi, ja vain puolet arvioi henkilötietojen käsittelyn olevan riittävän hyvällä tasolla, näyttää siltä, että tietosuojan hallinnoinnin kypsyystaso vastanneissa organisaatioissa ei keskimäärin ole vielä riittävän korkea. 44,5% 44,5% Suunnitelmallista Jossain määrin suunnitelmallista Melko suunnitelmallista 04 Tietosuojan riskianalyysit Huomioidaanko tietosuojaan liittyvät riskit osana säännöllistä liiketoiminnan riskianalyysia tai analysoidaanko näitä riskejä muuten säännöllisesti ja määrämuotoisesti? Noin 40 prosenttia vastanneista organisaatioista ei suorita tietosuojariskien säännöllistä ja määrämuotoista arviointia. Tämä kertoo paikoin huonosta tilannekuvasta ja mahdollisesti kustannustehottomista toimista tietosuojan järjestämiseksi. Riskianalyysit myös nimetään yhdeksi haastavimmista tehtävistä EU:n tietosuojaasetuksen vaatimusten osalta. 39% 61% Tulevan EU:n tietosuoja-asetuksen näkökulma on riskilähtöinen. Valitut käytännöt, prosessit ja kontrollit tulee organisaatiossa aina suhteuttaa käsiteltävien henkilötietojen arkaluonteisuuteen sekä ympäröiviin riskeihin. Mikäli tietosuojariskejä ei arvioida, toimenpiteet tietosuojan järjestämiseksi eivät todennäköisesti ole soveltuvia ja/tai tehokkaita. Ei Kyllä 6 / KPMG Oy Ab / Tietosuojaselvitys
05 Organisaatioon kohdistuvat riskit Millä tietosuojan osa-alueilla näette suurimmat toimintaanne kohdistuvat uhat? Vastanneet organisaatiot ovat tunnistaneet niin sisäisiä, ulkoisia kuin lainsäädännöllisiä uhkia. Sisäiset uhat koetaan liittyvän johtamiseen, tiedon elinkaaren ja vaatimustenmukaisuuden hallintaan sekä väärinkäytöksiin. Vastanneista 65 prosenttia nimeää puutteet henkilöstön osaamisessa merkittäväksi tietosuojariskiksi. Kokonaisriski = tapahtuman todennäköisyys x tapahtuman vaikuttavuus Ulkoisia uhkia nähdään erityisesti tiedonsiirroissa pilvipalveluihin, maineriskissä esim. tietovuodon sattuessa sekä ulkoisissa kyber-uhissa. Vastanneista 47 prosenttia toteaa kolmansiin osapuoliin liittyvien riskien olevan merkittäviä. Merkittäviksi kohoavat myös lainsäädännölliset riskit, 53 prosenttia vastanneista nimeää merkittäväksi uhaksi lainsäädännön vaikeaselkoisuuden ja tulkinnanvaraisuuden. 50 % Putteet henkilöstön osaamisessa Maineriski tietovuodon sattuessa Sisäiset väärinkäytösuhat (Tulevan) Lainsäädännön vaikeaselkoisuus ja tulkinnanvaraisuus Puutteet tietosuojan johtamisessa (Tulevan) Lainsäädännön aiheuttama työ ja muut suorat ja/tai epäsuorat kustannukset Toisistaan poikkeavat lainsäädännölliset vaatimukset eri maissa Kolmansiin osapuoliin liittyvät riskit Tiedon elinkaareen ja vaatimustenmukaisuuden hallinnointiin liittyvät riskit Pilvipalveluihin liittyvät riskit Ulkoiset kyber-uhat Tietosuojaselvitys / KPMG Oy Ab / 7
06 Henkilötietojen käsittelykäytäntöjen taso Onko mielestänne henkilötietojen käsittelyn käytäntönne riittävän hyvällä tasolla? 11% Vain puolet vastanneista arvioi, että organisaationsa henkilötietojen käsittelyn käytänteet ovat riittävän hyvällä tasolla. Tämä on linjassa selvityksessä ilmitulleiden kehitystarpeiden kanssa kehitystarve korostuu uusien, tiukentuvien vaatimusten myötä entisestään. 39% 50% Kyllä Ei Ei osaa sanoa 8 / KPMG Oy Ab / Tietosuojaselvitys
07 Puutteet tietosuojatoiminnoissa Jos oletettaisiin, että osa organisaationne tietosuojatoiminnoista olisi puutteellisia, mitkä olisivat todennäköisimpiä syitä tälle? Vaikka yli 90 prosenttia vastanneista toteaa olevansa hyvin tai melko hyvin tietoinen tietosuoja-asetuksen vaatimuksista, ovat vastaajat silti huolissaan tiedon ja osaamisen puutteellisuudesta sekä tietosuojatyön hahmottamisesta. Erityisesti johdon vastuulla oleva tietosuojan organisointi ja riittävä sponsorointi näyttäisi tällä hetkellä osittain puuttuvan. Myös lainsäädäntö nähdään haasteelliseksi. % % % % % % 67 56 50 44 39 17 Tiedon ja osaamisen puutteellisuus Vaikeaselkoinen lainsäädäntö ja seuraamusten ennakoimattomuus Ei selvää käsitystä siitä, mitä tietosuojatyö on ja mitä tietosuojan varmistaminen vaatii Tietosuojan asema organisaation prioriteeteissa Puutteellinen vastuutus / johdon sitoutuneisuus Lainsäädännölliset esteet Onnistunut kehityshanke vaatii johdon vankkumattoman tuen Tietosuojaselvitys / KPMG Oy Ab / 9
08 Lainsäädännön ongelmat Sääntely rajoittavaa ja epäselvää, tulkinnanvaraista Tulevan EU:n tietosuoja-asetuksen viivästyminen Toimialan vaikutus samanluonteisten asioiden sääntelyyn Pilvipalveluiden käytön sääntely Missä näette keskeisimmät tietosuojaan ja sen sääntelyyn liittyvät ongelmat Suomessa tai toimialallanne? Erot eri maiden lainsäädännössä ja vaihteleviin säännöksiin mukautuminen Tiedonsiirrot EU:n ulkopuolelle Peruskäsitteiden ja -periaatteiden määrittely Henkilötietojen käsittelyn erityistapaukset 10 / KPMG Oy Ab / Tietosuojaselvitys
09 Haastavimmat kehityskohteet Mitkä tietosuoja-asetuksen osa-alueet tulevat olemaan organisaatiollenne haastavimpia viedä käytäntöön? Tuleva tietosuoja-asetus tuo mukanaan uusia vaatimuksia ja haasteita kaikille rekisterinpitäjille. Kaikista haasteellisimmiksi koetaan Privacy by Design eli lähtökohtaisen tietosuojan implementointi, kokonaisvaltaisen tietosuojan hallinnoinnin järjestäminen, riskianalyysien tekeminen sekä tietovuotojen hallinta. Sitä vastoin vain 17 prosenttia vastanneista kokee, että tietosuojavastaavan nimittäminen ja roolitus tulee olemaan iso haaste organisaatiolle. Kyselyn tuloksista käy myös ilmi, että noin puolella kaikista vastanneista organisaatioista on historiassaan hankkeita, jotka on lopetettu tai jotka ovat oleellisesti vaikeutuneet, kokonaan tai osittain niihin kohdistuneiden tietosuojavaatimusten vuoksi. 40 % Privacy by Design Tietosuojan hallintamallin rakentaminen Riskianalyysien/vaikutustenarviointien tekeminen Tietovuotojen hallinta Prosessien ja henkilörekisterien dokumentointi Rekisteröidyn oikeuksien toteuttaminen Henkilöstön koulutus Tiedonkäsittelyn ulkoistukset Tietosuojavastaavan nimittäminen ja roolitus Sisäisten ja ulkoisten arviointien tekeminen Profilointi Kv. tiedonsiirrot Ei mikään näistä Tietosuojaselvitys / KPMG Oy Ab / 11
10 Tietosuojatyön resurssit Tietosuojavaatimusten noudattamisen kriittisyys organisaation toiminnan kannalta vs. panostus tietosuojatyöhön jatkossa Organisaatiot, jotka kokevat tietosuojan noudattamisen kriittiseksi tai melko kriittiseksi toimintansa kannalta, kertovat jatkossa panostavansa aiempaa enemmän resursseja tietosuojatyöhön. Panostus tietosuojatyöhön jatkossa Enemmän kuin ennen Saman verran kuin ennen Vähemmän kuin ennen Hyvin kriittinen Melko kriittinen Jonkin verran kriittinen Ei lainkaan kriittinen 11 Tietosuoja-asetukseen valmistautuminen Tietoisuus tulevasta tietosuojaasetuksesta vs. valmistautuminen uusiin vaatimuksiin Tuloksista voi päätellä, että tulevasta tietosuojaasetuksesta ja sen vaatimuksista vallitsee melko hyvä tietoisuus vastanneiden organisaatioiden keskuudessa. Suurin osa vastanneista on tehnyt jo joitakin valmistelevia toimia tietosuojatoimintojen kehittämiseksi vastaamaan tietosuoja-asetuksen vaatimuksia. Hyvin tietoinen Jonkin verran tietoinen Ei lainkaan tietoinen Valmistautuminen uusiin vaatimuksiin Työ on jo pitkällä Jonkin verran Ei lainkaan 12 / KPMG Oy Ab / Tietosuojaselvitys
12 Kehityssuunnitelmat lähitulevaisuudessa Mitkä osa-alueet tulevat olemaan ajankohtaisia organisaationne kehityssuunnitelmissa lähitulevaisuudessa? Identifioidut kehityskohteet korreloivat koettujen riskien ja toiminnan puutteiden kanssa. Kehityshankelistan alkupäässä ovat tietosuojan hallinnointi, henkilöstön ja tietosuojavastaavan osaamisen varmistaminen, erilaiset riskiarvioinnit, tietovuotoihin varautuminen sekä Privacy by Design. Henkilötiedon käsittelyn ulkoistukset näyttävät olevan jo suoritettu, ja siihen liittyvät riskit hyvin tiedossa. 50 % Tietosuojan hallinnoinnin ja dokumentaation järjestäminen Tietosuojakoulutuksen järjestäminen henkilöstölle Riskianalyysit / tietosuoja-auditoinnit Tietosuojavastaavan nimeäminen / kouluttaminen Privacy by design / by default Vaikuttavuusarvioinnit Asiakkaiden profilointi / Big Data Tietovuodot ja niiden lainmukainen hoito Arkaluonteisten tietojen käsittely Web-analytiikan käyttöönotto / kehittäminen Henkilötietojen käsittelyn ulkoistus Kv. tiedonsiirrot ISAE 3000-varmennuslausunnot Tietosuojaselvitys / KPMG Oy Ab / 13
Lisätietoja Mikko Viemerö IT-neuvontapalvelut P: 020 760 3530 E: mikko.viemero@kpmg.fi Mika Laaksonen IT-neuvontapalvelut P: 020 760 3337 E: mika.laaksonen@kpmg.fi KPMG PL 1037 Töölönlahdenkatu 3 A 00101 Helsinki P: 020 760 3000 E: etunimi.sukunimi@kpmg.fi www.kpmg.fi KPMG on yksi maailman johtavista asiantuntijapalveluja tarjoavista organisaatioista, jonka tarkoitus on siirtää osaaminen arvoksi ja hyödyksi asiakkailleen, henkilöstölleen ja ympäröivälle yhteiskunnalle. KPMG:n palveluihin kuuluvat tilintarkastus, vero- ja neuvontapalvelut. KPMG:n jäsenyritysten verkosto toimii 162 000 henkilön voimin 155 maassa ympäri maailmaa. Suomessa meitä on yli 850 henkilöä 22 paikkakunnalla. 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. Printed in Finland. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.