8 + 1 vinkkiä tietosuoja-asetuksen kanssa painiskeleville

2017-05-09

EU:n tietosuoja-asetus (EU GDPR) astuu voimaan 25.5.2018 ja KAIKKIEN yritysten ja organisaatioiden on silloin toimittava sen mukaisesti. Osassa yrityksistä on jo alettu varautumaan asetuksen voimaantuloon, mutta vielä löytyy niitäkin, jotka luulevat, ettei asetus koske heitä.

Heidi Helwe
Heidi Helwe Cyber Intelligence Consultant

Päätä ei kannata työntää pensaaseen ja odottaa, mitä tuleman pitää. Olen koonnut oheen muutamia vinkkejä, joita olen työssäni tietosuoja-asiantuntijana huomioinut.

  1. Varaa projektille aikaa
    Suuri osa yllättyy, kuinka mittavia vaikutuksia asetuksella on yritysten it-ympäristöihin ja miten huolellisesti siihen pitää varautua. On varmistettava, että it-ympäristö, tietojärjestelmät, rekisterit, tietoturvakäytännöt sekä datan käsittelyyn liittyvät prosessit vastaavat uusia velvoitteita.
  2. Projektoi tietosuojahanke
    Tietosuoja-asetuksen vaatimat muutokset tulisi käsitellä omana projektinaan. Omasta kokemuksestani voin sanoa, että keskisuuressa yrityksessä tällainen projekti vie useita kuukausia tai jopa vuoden.
  3. Hanki apua… ajoissa
    Projektista koitetaan selviytyä myös täysin omin voimin, mutta sitä en suosittele. Se vie kokemuksemme mukaan 3-4 kuukautta enemmän aikaa. Todellista tilannetta on usein vaikea nähdä yrityksen sisältä, ja riskinä on asioiden tekeminen väärässä järjestyksessä.
  4. Kartoita lähtötilanne
    Asetukseen varautuminen kannattaa aloittaa tietosuojan nykytila-analyysilla. Ensimmäiset haastattelut paljastavat usein jo merkittäviä puutteita.
  5. Varmista, että yrityksen henkilöstö ymmärtää mistä asiassa on kyse
    Aina ei edes tiedetä mikä ylipäänsä on henkilödataa. Kyse on tiedosta, josta voi tunnistaa ihmisen. Se on paljon muutakin kuin pelkkä sosiaaliturvatunnus. Arkaluontoinen tieto voi paljastaa myös tietoja ihmisen terveydestä tai uskonnollisesta vakaumuksesta. Kouluta henkilöstöäsi tarvittaessa.
  6. Määritä, missä kaikkialla yrityksessä käsitellään henkilödataa
    Yrityksissä käsitellään henkilödataa paljon laajemmin kuin yleisesti ottaen kuvitellaan. Jokaisen yrityksen on kyettävä tunnistamaan henkilötietoja sisältävät sisäiset ja ulkoiset rekisterit sekä tietojärjestelmät. Datan suojaaminen on luonnollisesti vaikeaa, mikäli ei edes tiedetä missä sitä säilytetään ja kuka siihen pääsee käsiksi.
  7. Luokittele data
    Datan luokittelu esimerkiksi julkiseksi tai salaiseksi on myös tärkeää. Salaista tietoa pitää suojata ja käsitellä eri tavalla kuin julkista tietoa.
  8. Mieti, mihin tietoa tallennetaan ja mitä tietoa saa kerätä
    Datan säilytykseen liittyvät paikalliset määräykset pitää myös tuntea. Osa kerää epähuomiossa tietoa, jota ei ole luvallista kerätä. Yrityksellä pitää olla kyvykkyys varmistaa, ettei asiakirjoja säilytetä pitempään kuin on sallittua.

+ 1 bonusvinkki: Tietosuojaprojektin ei tarvitse olla mörkö. Parhaimmillaan GDPR-projekti on myös aito mahdollisuus tehostaa omia prosesseja ja lisätä yrityksen kilpailukykyä. Ota siis rohkeasti härkää sarvista ja varaudu asetuksen voimaantuloon ajoissa. Ja jos omat resurssit eivät riitä tai kaipaat lisätietoja, ota yhteyttä. Meiltä löytyvät alan huippuasiantuntijat!

 

 

Kirjoitus perustuu Kauppalehdessä 9.5.2017 julkaistuun Heidi Helwen blogikirjoitukseen.