09-05-2017

8 + 1 vinkkiä tietosuoja-asetuksen kanssa painiskeleville

EU:n tietosuoja-asetus (EU GDPR) astuu voimaan 25.5.2018 ja KAIKKIEN yritysten ja organisaatioiden on silloin toimittava sen mukaisesti. Osassa yrityksistä on jo alettu varautumaan asetuksen voimaantuloon, mutta vielä löytyy niitäkin, jotka luulevat, ettei asetus koske heitä.

Tietosuojaprojekti

Päätä ei kannata työntää pensaaseen ja odottaa, mitä tuleman pitää. Olen koonnut oheen muutamia vinkkejä, joita olen työssäni tietosuoja-asiantuntijana huomioinut.

 

 1. Varaa projektille aikaa
  Suuri osa yllättyy, kuinka mittavia vaikutuksia asetuksella on yritysten it-ympäristöihin ja miten huolellisesti siihen pitää varautua. On varmistettava, että it-ympäristö, tietojärjestelmät, rekisterit, tietoturvakäytännöt sekä datan käsittelyyn liittyvät prosessit vastaavat uusia velvoitteita.
 2. Projektoi tietosuojahanke
  Tietosuoja-asetuksen vaatimat muutokset tulisi käsitellä omana projektinaan. Omasta kokemuksestani voin sanoa, että keskisuuressa yrityksessä tällainen projekti vie useita kuukausia tai jopa vuoden.
 3. Hanki apua… ajoissa
  Projektista koitetaan selviytyä myös täysin omin voimin, mutta sitä en suosittele. Se vie kokemuksemme mukaan 3-4 kuukautta enemmän aikaa. Todellista tilannetta on usein vaikea nähdä yrityksen sisältä, ja riskinä on asioiden tekeminen väärässä järjestyksessä.
 4. Kartoita lähtötilanne
  Asetukseen varautuminen kannattaa aloittaa tietosuojan nykytila-analyysilla. Ensimmäiset haastattelut paljastavat usein jo merkittäviä puutteita.
 5. Varmista, että yrityksen henkilöstö ymmärtää mistä asiassa on kyse
  Aina ei edes tiedetä mikä ylipäänsä on henkilödataa. Kyse on tiedosta, josta voi tunnistaa ihmisen. Se on paljon muutakin kuin pelkkä sosiaaliturvatunnus. Arkaluontoinen tieto voi paljastaa myös tietoja ihmisen terveydestä tai uskonnollisesta vakaumuksesta. Kouluta henkilöstöäsi tarvittaessa.
 6. Määritä, missä kaikkialla yrityksessä käsitellään henkilödataa
  Yrityksissä käsitellään henkilödataa paljon laajemmin kuin yleisesti ottaen kuvitellaan. Jokaisen yrityksen on kyettävä tunnistamaan henkilötietoja sisältävät sisäiset ja ulkoiset rekisterit sekä tietojärjestelmät. Datan suojaaminen on luonnollisesti vaikeaa, mikäli ei edes tiedetä missä sitä säilytetään ja kuka siihen pääsee käsiksi.
 7. Luokittele data
  Datan luokittelu esimerkiksi julkiseksi tai salaiseksi on myös tärkeää. Salaista tietoa pitää suojata ja käsitellä eri tavalla kuin julkista tietoa.
 8. Mieti, mihin tietoa tallennetaan ja mitä tietoa saa kerätä
  Datan säilytykseen liittyvät paikalliset määräykset pitää myös tuntea. Osa kerää epähuomiossa tietoa, jota ei ole luvallista kerätä. Yrityksellä pitää olla kyvykkyys varmistaa, ettei asiakirjoja säilytetä pitempään kuin on sallittua.

+ 1 bonusvinkki: Tietosuojaprojektin ei tarvitse olla mörkö. Parhaimmillaan GDPR-projekti on myös aito mahdollisuus tehostaa omia prosesseja ja lisätä yrityksen kilpailukykyä. Ota siis rohkeasti härkää sarvista ja varaudu asetuksen voimaantuloon ajoissa. Ja jos omat resurssit eivät riitä tai kaipaat lisätietoja, ota yhteyttä. Meiltä löytyvät alan huippuasiantuntijat! 

 

 

 

 

Kirjoitus perustuu Kauppalehdessä 9.5.2017 julkaistuun Heidi Helwen blogikirjoitukseen.