TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA FINNET-LIITTO 17.1.2017 Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)
Mitä on osoitusvelvollisuus? 2
Osoitusvelvollisuuden periaate ( accountability ) EU:n yleinen tietosuoja-asetus 24 artikla: Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että henkilötietojen käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. 3
Osoitusvelvollisuuden periaate ( accountability ) Tiedon elinkaaren hallinta Tietosuojan hallinnointi Sopimukset ja alihankkijat Sanktiot! Varmennus & auditoinnit Koulutus ja tietoisuus Sisäiset arvioinnit Läpinäkyvyys Tietovuotojen hallinta Dokumentaatio Auditoinni t OSOITUS- Riskianalyysit VELVOLLISUUS Tietosuojavastaava Kv. tiedonsiirrot Kumppanuuksien hallinta Rekisteröityjen oikeuksien toteuttaminen Hyvä Riskilähtöisyys hallintotapa Johtaminen ja vastuutus Koulutus Valvonta Politiikat / ohjeistukset / dokumentaatio Tietosuojavastaava Privacy by Design 4
Privacy by design mitä se tarkoittaa käytännössä? Asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet toteutettuna siten, että henkilötietojen käsittely vastaa tietosuoja-asetuksen vaatimuksia ja takaa rekisteröidyn oikeuksien suojelun Esim. tietojenkäsittelyn minimointi, tiedon anonymisointi ja salaus Tai konkreettisemmin, 1. Proaktiivisesti, ei reaktiivisesti Ehkäisevää, ei korjaavaa 2. Tietosuojan toteutuminen default-asetuksena 3. Tietosuoja integroituna ratkaisuihin 4. Täydet toiminnallisuudet Positiivinen summa, ei nollasummapeliä 5. Tiedon suojaaminen koko elinkaaren ajan 6. Selkeys ja läpinäkyvyys Avoimuuden korostaminen 7. Käyttäjäkeskeisyys Minimivaatimusten täyttämisestä kohti lähtökohtaista ja ennakoivaa tietosuojan huomiointia Cavoukian - Reed: Big Privacy: Bridging Big Data and the Personal Data Ecosystem through Privacy by Design (2013) 5
Riskilähtöinen toimintatapa 6
Osoitusvelvollisuuden periaate ja riskilähtöisyys Asetuksen yleisluontoiset vaatimukset, esim. 32 artikla (tiedon suojaaminen) Osa asetuksen vaatimuksista jää mm. tietoturvan luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelemisessä Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys Osoitusvelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti Riskianalyysit välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen Vaatii tulkintaa mutta tuo myös joustavuutta ja mahdollisuuksia. Urheiluseuran jäsenrekisteri vs. potilastietorekisteri 7
Tietosuojaa koskeva vaikutustenarviointi ( DPIA ) Rekisterinpitäjän tulee suorittaa vaikutustenarviointi korkeita riskejä sisältävissä suunnitelluissa henkilötietojen käsittelytavoissa (art. 35): Arkaluonteisten tietojen käsittely; Uudet tietojenkäsittelytekniikat ja -prosessit; Uudet tietojenkäsittelytarkoitukset; Uusien järjestelmien ja palvelujen käyttöönotto; Erityiset riskit; Profilointi Jne. Arviointi mahdollisimman varhaisessa vaiheessa Jos korkeita riskejä tunnistetaan, tulee neuvotella valvontaviranomaisen kanssa Tavoitteena kehitysprosessiin vaikuttaminen ja riskien pienentäminen Riskilähtöisyys ja Privacy by Design Tietosuojaviranomainen laatii listan DPIAn vaativista tapauksista 8
Tyypillinen tietosuojan GDPR-kehitysprojekti Kesto arviolta 12 16 viikkoa Kesto TBD Vaihe 1 Op. johtotason työpaja, jossa identifioidaan kriittisimmät toiminta-alueet, prosessit & teknologia ja potentiaaliset ongelma-alueet Vaihe 2 Gap-analyysi valituilla alueilla Riskianalyysi Korjaussuositukset Vaihe 3 Vaiheistetun tiekartan laatiminen priorisoidut kehityshankkeet Vaihe 4 Kehitystyö vaiheen 3 tiekartan perusteella KPMG:n asiantuntijatuki Asiakkaan viestintästrategia henkilöstölle ja sidosryhmille Asiakkaan asiantuntijoiden osallistuminen KPMG toimeksiannon hallinnointi Vaatimustenmukaisuus 9
Kriittisiä teemoja tietosuojan kehittämisessä Riskien arviointi Tietosuojan hallinnointi ja politiikkojen luonti / jalkautus Rekisterinpidon perusedellytysten varmistaminen (oikeusperusteet, käsittelytarkoitukset) Henkilötietojen ja tietovirtojen kartoittaminen; järjestelmien identifiointi Prosessit ja tiedon elinkaaren hallinta Sopimukset: Alihankinta ja henkilötietojen luovutukset Rekisteröityjen oikeuksien toteuttaminen Tietosuoja-asetuksen vaatimukset ICT:lle ja sen hallinnoinnille 10
Osoitusvelvollisuus ja riskilähtöisyys käytännössä, esimerkki EU:n tietosuoja-asetus 33 artikla: Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle Lievennys: ei tarvitse tehdä, mikäli loukkauksesta ei todennäköisesti aiheudu yksilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä Ilmoitus tehtävä myös rekisteröidyille, mikäli loukkauksesta saattaa johtua merkittäviä riskejä yksilöiden oikeuksille ja vapauksille Edellytykset ilmoituksen tekemiselle oltava olemassa Alihankintasopimukset merkittävässä roolissa Riskilähtöisesti toimiminen vähentää sanktio- ja maineriskejä 11
Riittävä tietoturvan taso 12
Tiedon suojaamisvelvoite artikla 32 Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja käsittelijän on tarvittaessa toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten a) henkilötietojen julkaiseminen salanimellä ja salaus; b) kyky taata henkilötietoja käsittelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Käytännesääntöjen tai 41 artiklan mukaisen hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että vaatimuksia noudatetaan. 13
Tiedon suojaamisvelvoite artikla 32 Osa-alue Kontrollit Muutoshallinta Käyttövaltuushallinta Käyttövaltuushallinta Pääsynvalvonta Tietojärjestelmien käytön valvonta Häiriönhallinta Muutoshallinnan toimintatapojen tulee sisältää ohjeet myös henkilötietojen ja sähköisen viestinnän tietojen käsittelyyn Pääsy henkilötietoihin tulee rajata mm. käyttövaltuuksin vain niihin, joilla on työtehtäviensä perusteella tarve päästä tietoihin Rekisterinpitäjän tulee kontrolloida myös tietoihin pääsyä EU:n ulkopuolelta esim. ylläpitotoimien yhteydessä Autentikointimenetelmien tulee vahvuudeltaan vastata suojattavan tiedon tasoa Sellaisissa järjestelmissä, jolla käsitellään henkilötietoja, tulee olla riittävä lokitus Häiriönhallinnan toimintatapojen tulee sisältää ohjeet myös henkilötietojen ja sähköisen viestinnän tietojen käsittelyyn 14
Tiedon suojaamisvelvoite artikla 32 Osa-alue Kontrollit Tietoturvaloukkausten selvittäminen Järjestelmien luokittelu Rekisteröidyn oikeudet Varmistukset Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Järjestelmien ja organisaation kyvykkyyksien tulee riittävällä tavalla tukea tämän vaatimuksen toteuttamista Henkilötietojen käsittelyyn käytettävät järjestelmät tulee luokitella. Luokiteltua tietoa tulee käsitellä vain sen suojaustasoa vastaavilla järjestelmillä Järjestelmien tulee tukea rekisteröidyn oikeuksien toteuttamista siten, että voidaan a) tunnistaa henkilötiedot, b) yksilöidä henkilötiedot koskemaan tiettyä henkilöä, c) koota ne teknisesti yhteen, d) välittää kopio niistä rekisteröidylle, e) korjata näitä tietoja/rajoittaa tietojen käsittelyä, ja f) tuhota nämä tiedot tarvittaessa. Henkilötietorekisterit tulee varmuuskopioida tai kahdentaa riittävällä tavalla (huom! rekisteröityjen oikeudet ja säilytysajat) 15
Tiedon suojaamisvelvoite artikla 32 Osa-alue Kontrollit Pseudonymisointi / salaus Anonymisointi Tiedonsiirrot Kannettavat muistivälineet Tietoturvatestaus ja auditoinnit Sovelluskehitys Rekisterinpitäjän tulee riskiarvion perusteella harkita tiedon pseudonymisointia tai salaamista, erityisesti arkistointia ja tietojenkäsittelyn ulkoistustapauksia koskien Rekisterinpitäjän tulee arvioida, onko henkilöiden tunnistaminen välttämätöntä tiedonkäsittelyn tarkoitusten kannalta vai riittäisivätkö anonymisoidut tiedot (vaihtoehto tiedon tuhoamiselle) Henkilötietojen tiedonsiirto tulee olla riittävästi suojattu, erityisesti organisaation sisäverkon ulkopuolella Kannettavat muistivälineet ja/tai niille siirrettävät tiedot tulee olla riittävästi suojattu Järjestelmien tietoturvallisuutta ja tietoturvallisuuden hallintaa tulee arvioida säännöllisesti Tietosuoja- ja tietoturvavaatimukset tulee huomioida jo järjestelmiä suunniteltaessa ja kehitettäessä 16
Tietosuojadokumentaatio 17
Tietosuojadokumentaatio 1/2 1. Tietosuojastrategia 2. Tietosuojapolitiikka 3. Alempitasoinen ohjeistus 4. Tietoturvapolitiikka 5. Tiedonhallintapolitiikka 6. Käyttövaltuuspolitiikka 7. Lokipolitiikka 8. Varmistuspolitiikka 18
Tietosuojadokumentaatio 2/2 1. Alihankkijoiden valintaa ohjaava dokumentti 2. Alihankintasopimukset 3. Seloste käsittelytoimista 4. Henkilötietojen käsittelyn ohjeistus tietojenkäsittelijöille 5. Riskienhallintaperiaatteet 6. Rekisteriselosteet / muut tiedonannot 7. Prosessien, toimenpiteiden ja näiden perusteiden dokumentointi 8. Tietosuojan vuosikello 19
Kiitos Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM) Advisory / Cyber Security P. 020 760 3530 mikko.viemero@kpmg.fi www.hackingthroughcomplexity.fi 20
2017 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name and logo are registered trademarks or trademarks of KPMG International.