Älä anna tietosuoja-asetuksen turruttaa Sertifioinnilla kilpailuetua - Inspectan tietopäivä 7.9.2016 Tuukka Haarni, Pääarvioija 1
Päivän pointit Näistä (ainakin) puhutaan Tietosuoja-asetus mistä on kysymys? Henkilötieto mitä se on? Mitä taustalla? Mitä minun (organisaationi) pitäisi tehdä? Standardeista ja sertifioitumisesta on apua 2
Tuukka Haarni Pääarvioija / Lead auditor / Järjestelmäsertifiointi Inspecta Sertifioinnissa vuodesta 2015, ICT-alalla lähes 20 v Pitkä arviointikokemus (CMMI-DEV, CMMI-SVC, ISO 9001, ISO/IEC 20000-1, ISO/IEC 27001, SÄHKE2, sisäinen auditointi ym.). Erikoistumisalat Strateginen prosessikehitys ja liiketoiminnan muutosjohtaminen / Jatkuva parantaminen / Laajojen ICTjärjestelmien myynti, määrittely, toimitus ja ylläpito / Hankehallinta / Laadun ja riskien hallinta / Mittaaminen ja analysointi / Kokoonpanonhallinta / Ohjelmistojen tietoturvallisuus / Kyberturvallisuus / Tietosuoja Finnish Software Measurement Association FiSMA ry Varapuheenjohtaja International Organization for Standardization ISO ISO/IEC JTC 001 Information technology /SC 27 IT Security techniques Committee member Suomen Standardisoimisliitto SFS Seurantaryhmät SFS/SR 307 - ISO JTC 1/SC 27 IT Security techniques ja SFS/SR 308 - JTC 1/ SC 40 IT Service Management and IT Governance CEN-CENELEC Focus Group on Cybersecurity (CSCG) National representative
Tietosuoja Näinhän se toivottavasti ei mene 4
EU:n tietosuoja-asetus. ja muutamia lyhenteitä GDPR = General Data Protection Regulation = EU:n tietosuoja-asetus PII = Personally Identifiable Information = Henkilötieto PIA = Privacy Impact Assessment = Tietosuojan vaikutustenarviointi 5
Tietosuoja-asetus Pitäisikö turtua vai huolestua? Oikeus tulla unohdetuksi Oikeus siirtää tiedot järjestelmästä toiseen Oikeus käsittelyn rajoittamiseen Oikeus tietojen oikaisemiseen Rekisterinpitäjän vastuut Ilmoitusvelvollisuus Kirjanpitovelvollisuus Käsittelyn perustuminen suostumukseen Tietosuojavastaava Tietosuojaa koskeva vaikutustenarviointi Lasten henkilötietojen rekisteröintiin liittyvä suostumus Vastuu henkilötietojen käsittelijöistä ja alihankkijoista Tietojen minimointivaatimus Käsittelyn lainmukaisuus Asianmukaiset tekniset ja organisatoriset toimenpiteet tietosuojan suhteen Hallinnolliset seuraamukset 6
Tietosuoja-asetus Mistä on kysymys? Tietosuoja = Yksityisyyden suojaaminen henkilötietoja käsiteltäessä Tietoturva = Tiedon luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen Tietosuoja on ihmisten yksityiselämän suojaamista, ja siihen kuuluu kunkin oikeus henkilötietoihinsa. Rekisteröityjen oikeuksien perusperiaatteena on henkilötietojen suojan takaaminen valtuudettomalta tai henkilöä vahingoittavalta tietojen käytöltä. Rekisteröidyn oikeudet vs. rekisterinpitäjän velvollisuudet Asetuksen tavoitteena on yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja henkilötietojen liikkuvuuden esteiden poistaminen Euroopan unionissa Kahden vuoden siirtymäaika 25.5.2018 Tulee voimaan jäsenvaltioissa sellaisenaan Tarkentava kansallinen lainsäädäntö mahdollista Mahdolliset sanktiot jopa rekisterinpitäjälle jopa 20 MEUR 7
Henkilötieto mitä se on? Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 Asetuksessa tarkoitetaan henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Rooleja Rekisteröity Rekisterinpitäjä Käsittelijä Vastaanottaja Kolmas osapuoli 8
Taustalla uudenlaiset tietojen keräämisen ja käsittelyn tavat Tieto- ja kyberturvallisuus korostuvat Digitalisaatio, sähköiset palvelut Tieto on arvokasta ja sitä on paljon Mahdollisuus tiedusteluun, vahingontekoon ja taloudelliseen hyötyyn Ulkoistus, pilvipalvelut Big Data, profilointi, kohdennus Mitä tietoa minusta on / kenen hallussa / missä säilytetään? Uudet päätelaitteet, aika- ja paikkariippumattomuus Sensorit, aktiivisuusrannekkeet Riskit, uhkat, tietoturva Tietoturvallisuus on edellytys tietosuojan toteutumiselle 9
Mitä minun pitäisi tehdä? (Aloita joka tapauksessa jo tänään ) Tunnista henkilötiedot sekä henkilötietojen suojaamiseen liittyvät roolit organisaatiossa Tunnista tietojärjestelmät ja määrittele pääsynhallinta sekä valmiudet asetuksen vaatimuksiin Muodosta tilannekuva tietosuojan kyvykkyysarvioinnilla Kartoita riskit ja käynnistä projekti tarvittaville muutoksille - Arvioi kattavuus ja riittävyys START TODAY Ylläpidä ja kehitä tietosuojakyvykkyyttä - Arvioi uudelleen säännöllisesti ja erityisesti muutosten yhteydessä 10
Tyypillisimmät puutteet Meillä on rekisteriselosteet kunnossa, ei siis huolta. Organisaation johto ei ole tietoinen velvoitteista eikä sitoutunut tietosuojan hallintaan Tietosuojan merkitystä vähätellään, resurssit puuttuvat, vastuita ei märitelty Koulutusta ei ole järjestetty tai sen kattavuus puutteellista, tietoisuus ei ole riittävällä tasolla Organisaatiolta puuttuu tietosuojapolitiikka ja / tai tietosuojan hallintajärjestelmä Ei tiedetä mitä rekistereitä on käytössä, mitä ne sisältävät, miten ne on suojattu Henkilötietojen käsittelyoikeuksia ei ole rajoitettu eikä pääsynhallinta ole kunnossa Tietojärjestelmien tietoturva on puutteellista Tietosuojan vaatimuksia ei ole huomioitu kolmannen osapuolen sopimuksissa Henkilötietojen siirto EU:n ulkopuolelle ilman tietoturvatakeita Lähde: Jarkko Aula (2016). Tietosuoja ja tyypillisimmät puutteet. LinkedIn-blogi. 11
Standardeista ja sertifioitumisesta on apua Kättä pidempää johtamisen tueksi Asetuksessa vaatimuksia, joilla suoria liityntöjä standardeihin ISO/IEC 27001 ja ISO/IEC 20000-1 Käsittelyn turvallisuus Henkilötietojen pseudonymisointi ja salaus Kyky taata henkilötietoja käsitelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus Jatkuvuuden ja palautumisen hallinnan vaatimukset Yritysten velvollisuus vuotuiseen kontrollien tarkistamiseen ja järjestelmien testaamiseen Tietosuoja toimittaja- / alihankintaketjussa henkilöstön tietoisuus Tietoturvahäiriöt vs. tietosuojaloukkaukset Sertifioitu tietoturvallisuuden hallintajärjestelmä (ISO 27001 ISMS) on hyvä tuki vaikkei suoranainen tae tietosuojakyvykkyydelle (tietosuojaa ei voi olla ilman tietoturvaa) Johtaminen ja kokonaisvaltainen lähestymistapa riskienhallinta korostuvat Hallintakeinoissa lukuisia täsmäosumia tietosuojaan 12
Vaatimuksenmukaisuuden osoittaminen kilpailuetuna Nopeat syövät varmasti hitaat Organisaatiot, joilla asiat ovat kunnossa, tulevat varmasti hyödyntämään tätä tietoa julkisuuskuvansa rakentamisessa Sertifioituminen on yksi tapa osoittaa luotettavuutta ja vaatimuksenmukaista toimintaa Asetuksen 42 artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta eikä se rajoita 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia. 13
Lainsäädäntö, tukimateriaali ja standardit Paljon uuttakin on tulossa Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta EU-tietosuojan kokonaisuudistus, VAHTI-raportti 1/2016 SFS-ISO/IEC 29100 Informaatioteknologia. Turvallisuus. Tietosuojan perusteet SFS-ISO/IEC 29190 Informaatioteknologia. Turvallisuus. Tietosuojakyvykkyyden arviointimalli SFS-ISO/IEC 27001 Informaatioteknologia. Turvallisuustekniikat. Tietoturvallisuuden hallintajärjestelmät. Vaatimukset Työn alla mm. ISO/IEC DIS 29134 Privacy impact assessment Guidelines ISO/IEC DIS 29151 Code of practice for personally identifiable information protection ISO/IEC 1st CD 19086-4 Cloud computing Service Level Agreement (SLA) framework Part 4: Security and privacy Proposal for a new work item on Information technology Enhancement to ISO/IEC 27001 for privacy management 14
Perehdy, aloita, seuraa 15
16 tuukka.haarni@inspecta.com +358 50 598 0892 https://fi.linkedin.com/in/tuukkahaarni