Olemme aiemmin käsitelleet nykytila-analyysiä ja tietoriskien arviointia. Tämän myötä on muodostunut selkeä käsitys tarvittavista kehitystoimenpiteistä, jotta EU:n yleinen tietosuoja-asetuksen vaatimukset voidaan täyttää ja hallita tietosuojariskejä.
Tieto- ja kyberturvallisuuden merkitys on kasvanut merkittävästi viime vuosien aikana palveluiden digitalisoitumisen ja tuotantotapojen sekä niiden ulkoistamisen myötä. Samoin käyttötavat ovat muuttuneet merkittävästi, kun etätyöskentely on lisääntynyt ja päätelaitteita on enemmän käytössä.
Muutoksien myötä joudutaan tarkastelemaan entistä tarkemmin tietosuojaa osana tietoturvallisuutta. Asetus velvoittaa rekisterinpitäjää toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta henkilötietojen käsittely on turvattua.
Tietoturvallisuuden vaatimukset
Tietoturvallisuuteen liittyvät vaatimukset tulee tunnistaa, koska ne koskevat myös olennaisesti tietojenkäsittelyä ja siihen liittyviä asetuksen vaatimuksia. Esimerkiksi keskeisenä on huomioida rekisteröidyn laajentuvat oikeudet, kuten oikeus tulla unohdetuksi.
Jos rekisteröity peruuttaa suostumuksen, niin hän voi esittää rekisterinpitäjälle pyynnön poistaa häntä koskevat tiedot järjestelmistä, minkä jälkeen rekisterinpitäjän on poistettava henkilötiedot, ellei käsittelylle ole muuta laillista perustetta. Oikeutta tulla unohdetuksi ei sovelleta lakisääteisiin rekistereihin, koska tietojen poistaminen niistä ei ole mahdollista lakisääteisen tehtävän suorittamiseen liittyvän käsittelyn yhteydessä.
Keskeisimmät tietoturvallisuuden toteutuksessa huomioitavat asiat
Tietoturvallisuuden toteuttaminen riippuu organisaation koosta ja toiminnasta, joten se tulee suhteuttaa toimintaan ja suojattaviin tietoihin sekä niiden riskitasoon nähden. Seuraavaksi on esitetty keskeisimpiä tietoturvallisuuteen liittyviä asioita, jotka rekisterinpitäjän tulee vähintään ottaa huomioon henkilötietoja käsiteltäessä silloin, kun se on perusteltua suhteessa käsittelyyn liittyviin tietoriskeihin.
Tietojärjestelmien hankintaan, kehitykseen ja ylläpitoon liittyen tulee määrittää tietoturvavaatimukset. Olennaista on huomioida jo toimittajien tietosuoja- ja tietoturvataso hankintaprosessissa, kun hankitaan muun muassa järjestelmiä, sovelluksia ja palveluja, jotka tulevat käsittelemään henkilötietoja.
Vaatimukset tulee asettaa jo tarjouspyynnössä ja liittää ne osaksi tarjouspyynnön perusteella tehtäviä sopimuksia. Lisäksi tulee huomioida henkilötietoja käsittelevien järjestelmien ylläpitohenkilöstö. Ylipäätään järjestelmä- ja verkkoarkkitehtuurissa tulee huomioida asianmukaisesti palomuurit, verkkojen eriyttäminen, palvelinten kovennukset ja henkilötietojen siirtoväylien riittävä salaaminen.
Pääsynhallinnassa tulee tehdä käyttäjien rajaamiset ja tarkastella pääsyoikeuksien hallintaa. Lisäksi tulee ottaa huomioon mahdolliset etäyhteydet EU:n tai Euroopan talousalueen ulkopuolelta, koska niiden ottaminen rinnastetaan henkilötietojen siirtoon, mikäli toimenpiteessä käsitellään henkilötietoja.
Pääsynhallintaan liittyy myös tiedonhallinta, koska henkilötietojen käsittelijöille tulee olla selvää, miten niitä on sallittua käsitellä esimerkiksi sähköpostilla siirtämisessä, pilvipalveluun tai siirrettäville tietovälineille tallentamisessa.
Ohjelmistojen päivitys on keskeisimmistä keinoista haittaohjelmien ennalta ehkäisemiseksi. Jopa 85 prosenttia kaikista haittaohjelmista voi estää, kun huolehtii, että Windowsin ja kolmannen osapuolen sovellukset ovat automaattisesti ajan tasalla ja päivitettyinä haavoittuvuuksia vastaan. Toisena tärkeänä asiana on myös järjestelmien tietoturvallisuudesta huolehtiminen päivitysten ja muutosten yhteydessä.
Tietoturvallisuudessa tulee huomioida myös fyysinen puoli. Toimitilojen ja tärkeiden alueiden turvallisuudesta huolehtiminen riittävin pääsykontrollein ja -rajauksin sekä valvonnan toteuttaminen.
Tietovälineiden osalta puolestaan tulee huomioida turvallinen huolto ja hävittäminen, jotta henkilötietoja ei päädy kolmansille osapuolille. Tämän takia on erityisen tärkeää laatia kaikille toimittajille ja alihankkijoille sopimuksiin tietosuoja- sekä tietoturvamääritykset. Nämä voidaan esimerkiksi toteuttaa nykyisiin sopimuksiin lisättävällä liitteellä. Samoin työntekijöiden kanssa voidaan tehdä erilliset salassapitosopimukset. Näin saadaan sovittua kirjallisesti tietosuojan ja tietoturvan hallinnan menettelyt.
Tietoturvallisuuden ja toiminnan jatkuvuuden hallinta
Tietoturvallisuuden toteuttamisessa on suositeltavaa hyödyntää saatavilla olevia hallintamalleja, kuten ISO 27001 -standardia. Osana tietosuojaorganisointia tulee määrittää vastaavasti tietoturvallisuuden roolit ja vastuut.
Hallintatehtävät tulee laittaa vuosikelloon, jotta voidaan varmistaa tietoturvallisuuden säännöllinen mittaaminen, todentaminen ja kehittäminen. Tietoturvallisuutta voidaan todentaa esimerkiksi teknisellä testauksella (esim. haavoittuvuusskannauksilla) ja hallinnollisten prosessien auditoinneilla.
Toiminnan jatkuvuuden hallintaan liittyy myös useita keskeisiä tietosuoja-asioita, kuten henkilötietojen varmuuskopioinnista huolehtiminen ja niitä käsittelevien järjestelmien kapasiteetin hallinta. Myös eri järjestelmien toipumissuunnitelmat ovat keskeisiä, jotta voidaan taata henkilötietojen saatavuus esimerkiksi teknisen vian sattuessa.
Hallintajärjestelmän näkökulmasta olennaista on käsittelyn valvonta ja seuranta, koska asetuksen mukaan rekisterinpitäjän tulee voida jälkikäteen todentaa lokitiedostoista, kuka on suorittanut henkilötietojen haun järjestelmästä, mitä henkilötietoja on katsottu, muutettu, lisätty tai poistettu sekä milloin toimenpide on suoritettu.
Menettelyt lokitiedostojen seurannasta ja epäilykset väärinkäytöksien käsittelystä tulee suunnitella etukäteen, koska lokia muodostuu hyvin paljon, joten sitä pitäisi pystyä automatisoimaan. Samoin mahdolliset seuraamukset henkilötietojen väärinkäytöksistä tulisi sopia etukäteen. Lisäksi tärkeää on varmistaa, että seuranta- ja valvontatehtävät ovat selkeästi vastuutettu ja riittävästi resursoidut.