Tämän kurssin kouluttajat. GDPR käytännössä eli mistä on EU:n yleinen tietosuoja-asetus tehty?

Samankaltaiset tiedostot
Tämän kurssin kouluttajat. GDPR käytännössä eli mistä on EU:n yleinen tietosuoja-asetus tehty?

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuojavaltuutetun toimiston tietoisku

EU:n tietosuoja-asetus ja sähköposti

EU:N TIETOSUOJA-ASETUKSET WALMU

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:n tietosuoja-asetus (GDPR)

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

IF-INFO MEKLAREILLE

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Teknologia avusteiset palvelutverkostopalaveri

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietoturva yhdistyksessä

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

Mikä GDPR? General Data Protection Regulation

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuoja-asetus (GDPR)

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

Kolarin kunnan tietosuojapolitiikka

Haminan tietosuojapolitiikka

EU:n uusi tietosuoja-asetus

EU TIETOSUOJA- ASETUS

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU:n tietosuoja-asetus 2016

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Pilvipalvelut ja henkilötiedot

Eläketurvakeskuksen tietosuojapolitiikka

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Vaikutustenarviointi GDPR:n mukaan

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

T E R H O N E V A S A L O

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

DIG1 TYÖKALU GDPR- HALLINTAAN GDPR ONLINE ASSESSMENT TOOL

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

CySec Ice Wall Oy. Aki Pitkäjärvi (CSO/CTO/DPO) Eurooppalainen tietosuoja-asetus. GDPR General Data Protection Regulation

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

GDPR Tietosuoja-asetus

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

10 Yksityiselämän suoja

GDPR-pikaopas. Demand more. Puh

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

TIETOSUOJAPOLITIIKKA

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

DLP ratkaisut vs. työelämän tietosuoja

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Usein kysyttyjä kysymyksiä tietosuojasta

1 Tietosuojapolitiikka

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

EU:n tietosuoja-asetus Matti Sarmela

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Informaatiovelvoite ja tietosuojaperiaate

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

EU:N UUSI TIETOSUOJA- ASETUS

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

Tietosuoja-asetus Immo Aakkula Arkistointi

EU-TIETOSUOJAN KOKONAISUUDISTUS

Valmistautuminen EU:n Tietosuojaasetukseen

GDPR. aka. Euroopan tietosuoja-asetus

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Ylöjärven kaupungin tietosuojapolitiikka

LSPeL Porin toiminta-alueen kevätseminaari

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

VISMA SEVERA. GDPR webinaari

Transkriptio:

GDPR käytännössä eli mistä on EU:n yleinen tietosuoja-asetus tehty? EU General Data Protection Regulation (GDPR) Kouluttajat: Juha Sallinen ja Oiva Tyni Koulutus / Espoo / Syksy-Talvi 2017 Tämän kurssin kouluttajat Juha Sallinen 040-5666 900 Toimitusjohtaja, GDPR Tech Yli 20 vuotta tietotekniikkaa, mm. Tieto, HP, Wipro, Symantec, Pedab, Veritas Oiva Tyni 040-7238 293 Hankepäällikkö, GDPR Tech Yli 20 vuotta tietotekniikkaa, mm. Aroyhtymä, IBM Copyright GDPR Tech 2017 2 1

Koulutuksen tavoitteet Osallistuja saa selvän koosteen ja tilannetiedon EU GDPR / EU:n yleisen tietosuoja-asetuksen vaatimuksista Osallistuja ymmärtää regulaation tavoitteet ja vaatimukset käytäntöön sovellettuna Osallistuja osaa soveltaa sisältöä omaan yrityksen / yhdistyksen toimintaan liittyen Copyright GDPR Tech 2017 3 Päivän yksi ohjelma 9:00 0:15 Aloitus, johdatus koulutukseen 9:15 1:00 Aloitus - mikä ihmeen GDPR ja miten se vaikuttaa yritysten toimintaan 10:15 0:30 Ryhmätyö 1 10:45 1:00 Keskeiset vaatimukset avattuna sekä viestintä 11:45 0:15 Kahoot-1 12:00 0:45 Lounas 12:45 0:45 Tietoturva ja tiedonhallinta 13:30 0:30 Tiedon salaus, tiedon luokittelu, tallennusaika 14:00 0:15 IP-kahvi 14:15 0:30 Ryhmätyö 2 14:45 0:45 Henkilöön liittyvän tiedon löytäminen, pilvipalvelut, alihankkijat 15:30 0:15 Kahoot-2 15:45 0:15 Kooste 1. päivästä 16:00 1.pv lopetus Copyright GDPR Tech 2017 4 2

Päivän kaksi ohjelma 9:00 0:15 Kooste 1.päivästä, kysymyksiä ja vastauksia 9:15 1:00 Privacy by design - privacy by default - mistä kyse? 10:15 0:30 Ryhmätyö 3 10:45 1:00 Tiedonhallinta, elinkaari, pilvipohjaiset sovelluspalvelut (SaaS)? 11:45 0:15 Kahoot-3 12:00 0:45 Lounas SaaS: Software as a 12:45 0:45 Yhteistyökumppanit, hankesalkun hallinta Service, esim. SalesForce, Office 13:30 0:30 Mitä hyötyä regulaatiosta on? 365 ja Googlen 14:00 0:15 IP-kahvi vastaavat palvelut 14:15 0:30 Ryhmätyö 4 14:45 0:45 Vakuutusvaihtoehdot, esimerkkejä ja harjoituksia 15:30 0:15 Kahoot-4 15:45 0:15 Kooste 2. päivästä. Mahdollisuus suorittaa GDPR Awareness -modulin testi. 16:00 Kurssin lopetus Copyright GDPR Tech 2017 5 Mikä ihmeen GDPR? Euroopan Unionin (EU) tietosuojauudistuksella viitataan lainsäädäntöuudistukseen, johon kuuluvat yleinen tietosuoja-asetus ja direktiivi lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta. Tietosuoja-asetus koskettaa sekä EU:ssa että sen ulkopuolella toimivia yrityksiä, jotka käsittelevät jäsenvaltioiden kansalaisten henkilötietoja. Tietosuoja-asetus korvaa direktiivin 95/46/EY sekä vuoden 2008 tietosuoja-alan puitepäätöksen 2008/977/YOS. Tietosuoja-asetus sisältää resitaaleja (eli ja artikloja. Euroopan komissio julkaisi ehdotuksen tietosuojan lainsäädäntöuudistuksesta tammikuussa 2012. Noin neljän vuoden jälkeen parlamentti, komissio ja neuvosto pääsivät sopuun asetuksen ja direktiivin sisällöstä joulukuussa 2015. Säädökset on julkaistu 4.5.2016, jolloin sekä asetus että direktiivi astuvat voimaan 25.5.2018 kahden vuoden siirtymäajan jälkeen Lähde: VAHTI-ohjeistus Copyright GDPR Tech 2017 6 3

Taustaa Henkilötietojen käsittelyn laajuus on muuttunut paljon viime vuosien aikana. EU:n nykyinen, vielä voimassa oleva henkilötietodirektiivi on vuodelta 1995, jolloin henkilötietojen käsittely ja henkilötietojen hyödyntäminen liiketoiminnassa oli hyvin erilaista. Tietosuoja-asetusta tulee soveltaa yhdenmukaisesti kaikissa EU:n jäsenvaltioissa. Jotta tämä onnistuisi, on jäsenvaltioiden valvontaviranomaisten tehtävä yhteistyötä. Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB) voi antaa asetuksen soveltamisesta sitovia päätöksiä, mikä tekee siitä keskeisen toimijan yhdenmukaisuuden varmistamisessa. Lähde: EU GDPR implementation guide, liite 2, sivu 319- Copyright GDPR Tech 2017 7 Suomen tilanteesta kysely M-Files / 2017 Tutkimustuloksia suomalaisten organisaatioiden valmiuksista ja keinoista vastata EU:n uusiin tietosuojaasetuksen vaatimuksiin (GDPR) Kuitenkaan selkeää suunnitelmaa vaatimusten noudattamiseksi ei ollut edes puolella organisaatiosta. Vastausten joukosta nousi eniten esiin koulutuksen tarpeellisuus, kun puhuttiin tärkeimmistä asioista henkilötietojen käsittelyyn liittyen. Vastaajien organisaatioiden koko jakaantui suhteellisen tasaisesti. Alle 100 hengen organisaatioissa työskentelee 29 % vastaajista, 100-500 henkeä työllistävissä 36 % ja yli 500 hengen organisaatioissa 35 % vastaajista. N oli 103. Lähde: https://www.m-files.com/fi/lp-tietosuoja-asetus-gdpr-kyselytutkimus-2017 Copyright GDPR Tech 2017 8 4

GDPR lyhyesti General Data Protection Regulation Yhteinen kaikille EU maille 6 + 1 periaatetta henkilötietojen käsittelylle käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus tietojen minimointi tietojen täsmällisyys tietojen säilytyksen rajoittaminen tietojen eheys ja luotettavuus rekisterinpitäjän osoitusvelvollisuus Copyright GDPR Tech 2017 9 EU tietosuoja-asetus eli EU GDPR ylätasolla: Data breach notification / 72h Data portability / 30d Right to be forgotten / 30d EU GDPR vaatimukset lain kannalta Osa-alueet Mihin osa-alueisiin tämä tulee vaikuttamaan. Kartoitukset, koulutukset. Privacy by design Kriisiviestintä Sovellusten toiminta Data Privacy Officer Laki Mitä GDPR velvoittaa tekemään Asiakkaiden toiminta Prosessit Sovellukset Viestintä Privacy by default Tiedostopalvelimet Intranet / pilvipalvelut Tietokannat / HR / CRM Automaatio, luokittelu Paperidokumentit Tiedonhallinta. Rakenteellinen (esim. Tietokannat) ja eirakenteellinen tieto Tiedonhallinta Käsittely, auditointi, kaikki mediat Tietoturva Suojaus, DLP, varmennus, tekniset toimet Tietoturva. Miten turvataan teknisessä mielessä verkko- ja käyttäjät Kryptaus Verkontietoturva Salaus, luotettava poisto Käyttäjien oikeudet Copyright GDPR Tech 2017 10 5

Tiedon omistajuus siirtyy takaisin henkilölle! Rekisterinpitäjät / Käsittelijät Yhdenmukaiset velvoitteet koko EU:ssa Riskilähtöisyys Yhdenmukaisuusmekanismi One-stop-shop Sakot Sertifiointimekanismit Tietosuojavastaava Rekisteröidyt Parempaa viestintää: - käsittelystä - loukkauksista Siirto-oikeus Oikeus tulla unohdetuksi Profiloinnin kieltäminen Lapsen henkilötietojen käsittelyn rajoittaminen Tietosuoja-asetus tuli voimaan 24.5.2016 ja sitä sovelletaan kovennettuna 25.5.2018 alkaen. Silloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Copyright GDPR Tech 2017 11 GDPR yhdellä kalvolla? Mitä regulaatio tarkoittaa ja mitä se velvoittaa tekemään? Lähde: EU GDPR implementation guide, Territorial scope, sivu 20 Copyright GDPR Tech 2017 12 6

Mikä on henkilöön liittyvää tietoa? Ennen toimenpiteitä on hyvä miettiä mikä on henkilötietoa tai henkilöön liittyvää tietoa Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto). Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Lähde: VAHTI-ohjeistus Copyright GDPR Tech 2017 13 Roolit Rekisterinpitäjä ja Tiedonkäsittelijä Rekisterinpitäjä (controller): Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä (processor) Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Copyright GDPR Tech 2017 14 7

Keskeiset vaatimukset avattuna Right to be forgotten oikeus tulla unohdetuksi ja/tai korjata tietoja Oikeus saada pääsy omiin henkilötietoihinsa ja pyydettäessä poistettava tiedot (samalla myös oikeus perua suostumuksensa) Data breach notification ilmoitusvelvollisuus tietovuodoista Rekisteröidyillä on oikeus saada ilmoitus, jos hänen henkilötietonsa ovat vuotaneet ulkopuolisille luvattomasti Data portability oikeus saada omat tiedot mukaan Oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa siirtomuodossa Käsittelyn rajoitus, vastustamisoikeus Rekisterinpitäjällä on velvollisuus tunnistaa rekisteröidyn henkilöllisyys Lähde: EU GDPR implementation guide, sivu 187-203 Copyright GDPR Tech 2017 17 Viestintä ja sen tärkeys Yksi vaatimuksista GDPR:n osalta, on henkilötietojen tietoturvaloukkauksista tiedottaminen Ilmoitus on tehtävä, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille Selkeä kuvaus tapahtuneesta Yhteyspiste, mistä lisätietoja Tiedot siitä, millaisia vaikutuksia voi olla rekisteröidyille Kuvaus niistä toimenpiteistä joita aiotaan tai on jo tehty lieventämään vaikutusta Rekisterinpitäjän tulee tehdä ilmoitus valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa siitä, kun loukkaus on havaittu Copyright GDPR Tech 2017 18 8

Henkilöstön valmistautuminen mitä opiksi? Lähde: Tietoviikko: Samuli Känsälä / 3.4. klo 17:35 Copyright GDPR Tech 2017 19 Inhimillinen virhe Kyseessä oli arkinen asia, jonka mukana lähti täysin asiaankuulumaton liite, kertoo Pamin toiminnanjohtaja Jyrki Konola. Kävi siis inhimillinen virhe, josta Konola on kovin pahoillaan. Noin puolen tunnin kuluttua viestin lähtemisestä Pam sai laitettua matkaan peruutusviestin, joka poisti viestin niiltä, jotka eivät sitä olleet ehtineet vielä avata. Ammattiliitto ei kuitenkaan tiedä, kuinka moni liitteeseen ehti käsiksi, sillä sähköpostijärjestelmä ei ilmoita, onnistuiko peruutus vai ei. Copyright GDPR Tech 2017 20 9

Viestintä sekä henkilöstön valmentautuminen Ote Kontiolahden kriisiviestintäsuunnitelmasta: KRIISIVIESTINNÄN TAVOITTEET Varmistaa, että julkisuudessa on totuudenmukainen mielikuva tilanteesta. Totuudenmukainen mielikuva varmistetaan omaaloitteisuudella ja avoimuudella. Ensimmäinen viesti määrää yleensä julkisuuden suunnan ja sävyn. Luotettava viestintä ylläpitää luottamusta ja mainetta Miten 72h ilmoitusvelvollisuus ja kriisiviestintä liittyvät toisiinsa? Copyright GDPR Tech 2017 21 Mikä on 72h aikarajassa haasteena? 1 2 3 4 5 1. 72h ei ole paljon aikaa milloin ongelma havaittiin? 2. Kenen pitäisi tehdä päätös ilmoittamisesta? 3. Jos ilmoitetaan vain viranomaiselle, kenelle? Hotline? Miten kuittaus? 4. Jos ilmoitetaan henkilöille, miten ja millä organisaatiolla? 5. Miten alun alkaen havaitaan ongelma tietosuojaan liittyen? Copyright GDPR Tech 2017 22 10

Tietoturvan osa-alueet Tietoturvalla tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tietoturvan eri osa-alueiden toteutuminen. Näitä osa-alueita ovat: luottamuksellisuus; tietoon on pääsy ja se on käytössä vain niillä, joille se on tarkoitettu, joilla on siihen oikeus eheys; tieto pysyy muuttumattomana, sisältö ei ole muuttunut käsittelyn, siirron tai tallennuksen aikana todennus; eri tahojen (henkilö, tieto) luotettava ja aitouden tunnistaminen; tietoturvan kriittisin ja vaikein osa-alue kiistämättömyys; varmistaa sen, että tieto on jäljitettävissä; tapahtumaan osallinen ei voi kiistää osallisuuttaan pääsynvalvonta; käyttäjien tietoihin ja palveluihin pääsyn valvonta saavutettavuus tai käytettävyys; tieto käytettävissä asianomaisilla; miten tieto, järjestelmä tai palvelu on käyttöön oikeutettujen käyttäjien hyödynnettävissä Lähde: https://koppa.jyu.fi/avoimet/mit/virtuaaliset-oppimisympaeristoet/oppimisympaeristoejen-tietoturva/tietoturvan-eri-osa-alueet https://www.slideshare.net/sonjamadsensharepoin/office-365-security-concerns/10 Copyright GDPR Tech 2017 25 Käytännössä monia osapuolia Lähde: http://www.cs.tut.fi/kurssit/tlt-3100/kartat/tt-lahialueet.jpg Confidentiality, Integrity and Availability (CIA) Copyright GDPR Tech 2017 26 11

Arjen tietosuojaa - / Tietosuoja.fi sivusto Arjen tietosuoja -verkkokoulutus on julkaistu www.arjentietosuoja.fi -sivustolla. Lisää tietosuojaan ja tietoturvaan liittyviä, eri kohderyhmille suunnattuja koulutusvideoita julkaistaan vuoden 2017 aikana. Suomenkielinen video - julkaistu 22.6 Nettitesti - julkaistu 22.6. (testiversio) Lisämateriaalia suomeksi - julkaistu 22.6 Suomeksi tekstitetty video - julkaistaan heinäkuussa Ruotsiksi tekstitetty video - julkaistaan heinäkuussa Englanniksi tekstitetty video - julkaistaan heinäkuussa Lisämateriaalia ruotsiksi - julkaistaan heinäkuussa https://vimeo.com/222342825 Video: 04:00 06:00 Lähde: EU GDPR implementation guide, sivu 286-, duties of supervisory authorities Copyright GDPR Tech 2017 27 Periaatteessa tämä on varsin helppoa Lähde: VAHTI-ohjeistus Lähde: EU GDPR implementation guide, sivu 205-220 / Consent Lähde: Eight privacy design strategies / Hoepman Copyright GDPR Tech 2017 28 12

Tyypillinen yritys tietoteknisesti esitettynä Copyright GDPR Tech 2017 29 Tietoa käsitellään monessa muodossa Tietomuodot Mahdolliset tietoturvahaasteet Ratkaisuja Data-in-Motion 101101100110101001 Email/IM Web Post Network Traffic Cloud DLP Prevent DLP Monitor Data-at-Rest 011001101010011011 DLP Discover Drive Encryption File Share Database Desktop/Laptop Cloud Storage Data-in-Use 1011011001101001 Removable/Devices Email/IM Cloud Apps File & Clipboard DLP Endpoint File and removable media encryption Device Control Copyright GDPR Tech 2017 30 13

Tiedon salaus sekä tiedon luokittelu Joitakin helppoja tietoa suojaavia vaihtoehtoja: Tieto on salattua aina kun mahdollista Esimerkiksi kannettavien koneiden suojaus Tietoa luokitellaan ja esimerkiksi estetään sen väärinkäyttö (Data Loss Prevention, DLP) Copyright GDPR Tech 2017 31 Esimerkki Data Loss Prevention toiminnasta Yrityksestä ulos lähtevä data EGRESS OUT 010100100010010101110101000100100001001001111000111000 Etsi tiedosta, Googletyyppisellä etsintätyökalulla Forensic search / historiatiedon osalta Bonus = Kriittisen tiedon osalta käyttötiedot ALL MATCHES Lähde: McAfee DLP Violations Database Pre-set Policies Dashboard reports Distributed notification of violations and reports Capture Database Everything captured Information gap solved Ability to LEARN from the past Copyright GDPR Tech 2017 32 14

Miten henkilöön liittyvä tieto voidaan tunnistaa? Organisaation on tietosuoja-asetuksen vaikutuksia arvioidessaan hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta. Organisaatio voi esimerkiksi kuvata, mitä henkilötietovarantoja sen hallussa on, miten tietosuojaperiaatteet on otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu. Osa tästä tunnistuksesta voidaan automatisoida Lähde: Tietosuojavaltuutetun toimisto, Miten valmistautua EU:n tietosuoja-asetukseen Copyright GDPR Tech 2017 34 Pilvipalveluiden käyttö GDPR:n yhteydessä Valmiusasteita on monenlaisia Dokumentaatio, tahtotila ja sopimukset ovat avainasemassa Esimerkki yksi (kevät 2017): Ainoa keino on vaan seurata Suomen lainsäädäntöä ja ohjeistusta, joka tulee EU-pykälien perusteella Suomeenkin. Ennakointi ja arvailu siitä mitä tulee tapahtumaan kuluttaa vain turhaa aikaa. Esimerkki kaksi (kevät 2017): : DLP sisäänrakennettuna voi tunnistaa yli 80 yleistä tietotyyppiä Sisällön etsintä voi etsiä kaikkien lähteiden sisällöstä Data Governance käyttää tietojen luokittelua tietojen löytämiseen Provider stands ready to help organizations meet the GDPR compliance deadline of May 25, 2018. The Provider Cloud can help you achieve compliance. For more information about how we can help, please visit xxx. Lähde: EU GDPR implementation guide, sivu 262 Copyright GDPR Tech 2017 37 15

Alihankkijat ja sopimukset Huomattava muutos GDPR:ssä on sekä tietojen tallentajan että käsittelijän vastuut Rekisterinpitäjän velvollisuuksiin kuuluu valita vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta Tämä vaatii käytännössä sopimusmuutoksia Lähde: Vahti-ohje Copyright GDPR Tech 2017 38 Tietoturvasertifikaatti / esimerkki UK:sta Cyber Essentials ja Essentials Plus The Cyber Essentials scheme is a cyber security standard, which organisations can be assessed and certified against. It identifies the security controls that an organisation must have in place within their IT systems in order to have confidence that they are addressing cyber security effectively and mitigating the risk from Internet-based threats. Lähde: EU GDPR implementation guide, sivu 83 Copyright GDPR Tech 2017 40 16

Sanktioista? Tuskin vaikuttaa oikeasti? 2-4% / tai 20M-40M? Copyright GDPR Tech 2017 45 Mikä on Privacy by Design Avataan perusvaatimuksia aiheeseen liittyen 17

Esimerkki arkkitehtuuri-suunnittelun haasteista Mallikuvassa sovellus jaettuna osiin, jossa eri valmistajia ja esim. sovelluskerros ja tietokanta taustalla Copyright GDPR Tech 2017 47 Sovellusten korjaukset mitä tietoa tallennetaan ja minne 18

Tietoturvaongelmia tuotteissa / globaali TOP-3 2016 Vendor Name Number of Vulnerabilities 1Oracle 800 2Google 698 3Adobe 548 2017 Vendor Name Number of Vulnerabilities 1Google 436 2Oracle 434 3IBM 366 Lähde: http://www.cvedetails.com/top-50-vendors.php?year=2017 Copyright GDPR Tech 2017 51 Tiedon hallinta sekä elinkaaren vaikutukset Yrityksissä ei välttämättä ole tiedonhallintaan käytäntöjä Tyypillisesti vain 14% tiedosta on tarvittavaa 32% on sellaista, joka on turhaa Ja 54% sellaista, joka vaatisi selvittämistä Yrityksissä on ei-rakenteellista tietoa keskimäärin noin 90% Lähde: IDC Copyright GDPR Tech 2017 52 19

Tiedon tallennuksen rajoittaminen Copyright GDPR Tech 2017 53 SaaS-palvelut Software as a service (SaaS) Sovellus voidaan myös koostaa osista, jotka ovat valmiita (esim. IBM Bluemix tai MS Azure) Esim. uusi Internet of things (IoT) -sovellus Tarvitaan osia sen rakentamiseen valmiita moduleita olemassa eri toimittajilta SaaS malli edellyttää että tietoa välitetään SaaStoimittajalle Varmista, että henkilötietoja voi tallentaa ao. maahan Rajoita vastuutasi Huolehdi, että sinulla on oikeus käyttää alihankkijaa Käsittele vain tietoa, jolle on hyväksyntä Varmista käytännön toimenpiteet tiedon suojaamiseen (entä jos palvelu lakkautetaan?) Copyright GDPR Tech 2017 54 20

Vaatimukset yhteistyökumppanien osalta Edellytä yhteistyökumppaneilta GDPR valmiutta Dokumentaatio Riskin vähentäminen Jaettavien tietojen minimointi, käsittelyn ohjeistus Sopimukselliset kohdat Korvausvelvollisuudet? Tiedonsuojausmenetelmät Vastuuhenkilöt Auditointimahdollisuus Tiedottaminen, DPO tarve? Lähde: http://www.lexology.com/library/detail.aspx?g=691efdd9-8721-4004-aedc-284fcc592962 Copyright GDPR Tech 2017 57 Hankesalkun hallinta Tietoisuus ja sen lisääminen Sisäiset palaverit Koulutukset Sertifioinnit Suunnitteluvaihe Riskikartoitukset Budjetointi Työpajat Toteutusvaihe Muutokset toimintatapoihin Lähde: EU GDPR implementation guide, alkaen 97 sivulta Copyright GDPR Tech 2017 58 21

Privacy Impact Assesment (recital (83)) Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja. Lähde: EU GDPR implementation guide, sivu 116 ja 147 Truste.com / Risk level of effort Copyright GDPR Tech 2017 59 Tiedon kartoitus - esimerkki Lähde: EU GDPR implementation guide, sivu 155 Copyright GDPR Tech 2017 60 22

Viitekehyksien käyttö GDPR:ssä EU GDPR määrittelee osin varsin väljästi mikä on asianmukaiset toimet Yksi tulkinta asiasta on valmiiden viitekehysten kuten ISO 27001:2013 käyttö: Kansainvälinen standardi, joka määrittelee tietoturvallisuuden hallintajärjestelmän vaatimukset mahdollistaakseen riskien arvioinnin ja tarvittavien ehkäisevien toimenpiteiden toteuttamisen Luottamuksellisuus, eheys, saatavuus, sopimusten noudattaminen, työkalu toiminnan ohjaukselle, riskien hallinta, ISO 38500 (corporate governance) jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelun Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö. Lähde: EU GDPR implementation guide, sivut 17 ja 24, 33-38 Copyright GDPR Tech 2017 61 Mitä hyötyä tietosuoja-asetuksen noudattamisesta on hyödyt kustannuksien sijaan Tehosta toimintoja vähennä tiedon etsintää GDPR valmius tuo tai pitää luottamuksen liiketoimintaasi Uusia asiakkuuksia ei menetettyjä asiakkuuksia Tietoturvan parantuminen projektien edetessä Asiakkaan siirtäminen keskiöön Riskien vähentäminen Prosessien tehostaminen Sovellusten päivitys (mandaatti) Copyright GDPR Tech 2017 63 23

Pääsy henkilötietoihin? Henkilölle on annettava pääsy omiin tietoihinsa Miten toteutetaan teknisesti Tunnistus? Mitä kaikkea tietoja annetaan? Miten peitetään ne tiedot, joita ei voida antaa (esim. muiden tiedot) Ei voida veloittaa! Viivytyksettä ja viimeistään kuukauden sisällä Lähde: EU GDPR implementation guide, sivu 221 234 (Subject access request) Copyright GDPR Tech 2017 66 Copyright GDPR Tech 2017 67 24

Vakuutusvaihtoehdot? Avoinna osin vielä Cyber vakuutukset ovat osa kokonaisuutta Riskienhallinta mahdollista, esim. ISO 31000 keskeinen standardi Lähde: EU GDPR implementation guide, sivu 139 Copyright GDPR Tech 2017 68 Plan Do Check Act / PDCA Riippuen organisaation valmiustilanteesta, voi GDPR olla iso tai pieni ponnistus Yhtenä suositeltuna menetelmänä kehittämiseen on COBIT:n Continual Improvement Life Cycle PDCA:n sijaan Act Tee korjaavat toimenpiteet Plan Määrittele tavoitteet ja prosessit Check Tarkistele tulokset ja vertaa tavoitteisiin Do Toteuta suunnitelman vaiheet Lähde: EU GDPR implementation guide, sivu 29 Copyright GDPR Tech 2017 69 25

Data Protection Officer (DPO) / Tietosuojavastaava Yritys tai organisaatio voi olla velvoitettu nimittämään tietosuojavastaavan Pitää, jos kyseessä: Viranomainen tai julkishallinto poikkeuksin Henkilötietojen käsittely laajamittaista tai järjestelmällistä seurantaa vaativaa Käsittely kohdistuu erityisiin (arkaluonteisiin henkilötietoryhmiin tai rikoksiin) Ei kuitenkaan tarvitse olla täysipäiväinen HUOM! Riippumatta siitä, onko yrityksellä tietosuoja-asetuksen perusteella velvollisuutta tietosuojavastaavan nimittämiseen, on sillä aina täysimääräinen vastuu tietosuojasääntelyn noudattamisesta. Viimekädessä todella huomattavien taloudellisten sanktioiden ja maineriskin uhalla. Lähde: https://www.yrittajat.fi/blogit/nakokulma/yrittaja-pitaako-yritykseesi-nimittaa-tietosuojavastaava (3.1.2017) Copyright GDPR Tech 2017 70 Miten muut ovat toteuttaneet osia julkisia caseja TWDI Finland 24.4.2017 / Vesa-Pekka Juutilainen, toiminnallinen arkkitehti Laura Tarhonen, Privacy Manager / Sanoma Oyj 8.6.2017 IAB Tietosuojaseminaari Copyright GDPR Tech 2017 71 26

Kooste koulutuksesta Osallistuja saa selvän koosteen ja tilannetiedon EU GDPR / EU:n yleisen tietosuoja-asetuksen vaatimuksista Osallistuja ymmärtää regulaation tavoitteet ja vaatimukset käytäntöön sovellettuna Osallistuja osaa soveltaa sisältöä omaan yrityksen / yhdistyksen toimintaan liittyen Osallistujalla on ratkaisuja eri EU GDPR:n osa-alueisiin Copyright GDPR Tech 2017 73 Linkkejä viitattuihin osiin sekä lisätietoa Vahti-ohjeistus, VM ohjeistus: www.vahtiohje.fi ja (https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016) M-Files kyselytutkimus Suomalaisten organisaatioiden tilasta / 2017 https://www.m-files.com/fi/lp-tietosuoja-asetus-gdpr-kyselytutkimus-2017 EU:n tietosuojauudistus: Miten valmistautua. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetunt oimisto/oppaat/1em8rt7if/miten_valmistautua_eun_tietosuoja-asetukseen.pdf PK-yritykselle koosteohje: http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetunt oimisto/tiedotteet/z0pdcbww7/data_protection_infographic_fi-lr.pdf Varonis: EU General Data Protection Regulation, The New Rules for EU Data Security http://gdprtech.com/wpcontent/uploads/2017/04/varonis_whitepaper EU_GDPR_gdprtech.pdf 27

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute