GDPR:n voimaantuloa tehostetaan sanktioilla

Tietoturva ei ole pelkästään it-ratkaisuja

Title

Tietoturva ei ole pelkästään it-ratkaisuja

20.3.2017 - EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, yleisesti käytetty lyhenne GDPR) tuli voimaan toukokuussa 2016 ja sitä sovelletaan 25.5.2018 lähtien suoraan sekä julkisella että yksityisellä sektorilla. Asetus korvaa aiemman henkilötietojen käsittelyä koskevan henkilötietodirektiivin sekä Suomessa vuodelta 1999 olevan henkilötietolain.  

GDPR tuo eri toimijoille paljon uusia velvoitteita henkilötietojen käsittelyyn liittyen ja sillä pyritään turvaamaan yksilön oikeuksia ja lisäämään henkilötietojen suojaa.  GDPR:n vaatimuksia on tehostettu tuntuvilla hallinnollisilla sanktioilla, jotka voivat nousta jopa 20 miljoonaan euroon tai 4 %:n globaalista liikevaihdosta, riippuen kumpi on suurempi.
 
Tietosuojalla tarkoitetaan ihmisten oikeutta omiin henkilötietoihinsa, jotka koskevat kaikkia sellaisia yksilöä koskevia tietoja, joista tämä voidaan tunnistaa. Yhtenä tietosuojan osa-alueena ovat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan ja osoitetaan, että henkilötietojen käsittelyssä noudatetaan tietosuojaa ja sitä koskevia periaatteita. Osana GDPR:ää ja tietosuojan toteuttamista organisaatioilla on velvollisuus huolehtia tarvittavasta tietoturvasta henkilötietoja käsiteltäessä.

Tietoturva sisältää myös prosessit ja fyysisen turvan

Tietoturva ei ole pelkästään it-ratkaisuja, vaan se koskee myös tietoturvaan liittyviä prosesseja ja fyysistä turvaa, oli kyseessä sitten paperisessa muodossa olevasta tai elektronisesti tallennetusta tiedosta. Usein yritysten ja julkisen sektorin toiminnassa huomioidaan käytön aikainen tietoturva esimerkiksi salasanoilla, salatuilla tallennusratkaisuilla sekä pääsyoikeuksien hallinnalla, mutta ei huomioida, että käytöstä poistuvien fyysisten laitteiden tietoturvaaminen on osa tietoturvan sekä tietosuojan elinkaarta. Luottamuksellista aineistoa ja henkilötietoja todennäköisesti jää kuitenkin käytöstä poistetuille laitteille, vaikka ne siirrettäisiin toimiston nurkkaan tai varastoon.

Osana tietoturvaprosessia 3 Step IT auttaa huolehtimaan laitteiden elinkaaresta ja laitekannan hallinnasta. Toimimalla mallimme mukaisesti laitteiden hallinta pysyy aina siitä vastaavien tahojen käsissä, ja hyväksi todettujen prosessien ja ajantasaisen laiterekisterin avulla asiakas on tietoinen kenellä on mitäkin laitteita käytössä. Näin uhkakuvat, joissa organisaatiossa useiden laitteiden sijainnista on epäselvyyttä tai ne voivat jopa kadota tai pahimmillaan joutua ”vääriin käsiin”, ovat epätodennäköisempiä.

Tärkeä, ja toisinaan tietoturvan kannalta vähäisemmällä huomiolle organisaatioissa jäävä osa 3 Step IT:n palvelumallia on käytöstä poistuville laitteille suoritettava ja aukottomasti dokumentoitu tietoturvakäsittely ennen niiden kierrätystä jälkimarkkinoille. Asiakas pystyy suoraan osoittamaan, miten käytöstä poistuvien laitteiden tietoturva hoidetaan. Tehokkaalla laitekannan hallinnalla voidaan varmistaa, että kaikille laitteille suoritetaan niiden poistuessa käytöstä keskitetysti tietoturvaus, eivätkä ne päädy organisaation ulkopuolelle ilman tietoturvakäsittelyä.  

Hyvin hoidettu tietosuoja ja tietoturva ovat erityisesti GDPR:n voimaantultua organisaatioille todella merkityksellinen tekijä, ja sen hoitaminen aukottomasti ja ammattimaisesti on palvelutuottajille todellinen kilpailuetu. Tässä 3 Step IT pystyy auttamaan konkreettisesti asiakkaitaan.

Lisää tietosuojasta sekä GDPR:n käytännön toteutuksesta voit lukea esimerkiksi Tietosuojavaltuutetun sivuilta.

Mikko Kulmala
Head of Quality, Environment and Security Systems, 3 Step IT Oy
mikko.kulmala@3stepit.com

AddToAny