Tiedätkö, mikä on sinun organisaatiosi GDPR-valmius?

2017-10-24

Toukokuussa 2018 voimaan tulevan EU:n tietosuoja-asetuksen (GDPR) laajuus on yllättänyt lähes kaikki, joiden kanssa olen asiaa käynyt läpi. Pohdintaa herättää erityisesti se, mikä on riittävä taso varautua ja mikä on yrityksen liiketoiminnan kannalta paras malli varmistaa määräystenmukaisuus.

Ismo Karttunen
Ismo Karttunen Cyber Intelligence Manager

Tiedän kokemuksesta, että GDPR-projekti on joukkuepeliä ja vaatii monipuolista osaamista.

Tiedän kokemuksesta, että GDPR-projekti on joukkuepeliä ja vaatii monipuolista osaamista. Yksikin tietosuojaloukkaus on liikaa, ja koko henkilöstö on kannustettava toimimaan tietoturvallisten käytäntöjen mukaisesti.  

Koko GDPR-projektin kesto ja työmäärä riippuvat siitä, kuinka dokumentoitu ympäristö organisaatiossa on ja kuinka pitkälle tietoturvaa on kehitetty. GDPR pitää ehdottomasti huomioida myös it-kehityshankkeissa, kuten vaikkapa tallennuksen ja varmistuksen uudistamisessa.

Ohessa muutamia ohjeita GDPR-projektia tukemaan:

 

  1. Varaudu yllätyksiin
    Lähes kaikissa organisaatioissa on yllätytty siitä, mihin kaikkialle henkilödataa on kertynyt. Sitä löytyy tallennettuna monenlaisiin paikkoihin ja dokumentteihin, kuten esimerkiksi osakasluetteloihin tai vaikkapa vierailijarekistereihin. 
  2. Mieti miksi ja minne tietoa tallennetaan
    Tärkeintä kaikessa on ymmärtää ja tietää miksi, mitä ja minne tietoa tallennetaan. Yli 80 prosenttia tallennetusta datasta ei ole aktiivisessa käytössä. Elämä helpottuisi siivoamalla turha data pois. Lukuisista eri lähteistä syntyvän tiedon koko elinkaari pitäisi hallita tiedon syntymisestä aina sen turvalliseen tuhoamiseen saakka. 
  3. Yhtenäistä käytännöt ja luokittele data
    Yhtenäisiin käytäntöihin perustuvalla tiedon luokittelulla ja tallennuksella henkilödatan määrää voidaan karsia huomattavasti. Pienempää datamäärää on helpompi suojata GDPR:n edellyttämällä tavalla. 
  4. Huolehdi dokumentoinnin ajantasaisuudesta ja riittävyydestä
    Monessa organisaatiossa voivat edellä mainitut kohdat olla kunnossa, mutta puutteita löytyy dokumentaatiossa. Esimerkiksi yritysostojen johdosta käytännöt voivat olla saman organisaationkin sisällä monenkirjavia. 
  5. Mieti tiedon elinkaarta
    Yritys saa säilyttää henkilötietoja vain määrätyn ajan. Dokumentin sisällä oleva tieto voidaan tuhota määräystenmukaisesti ja automatisoidusti, kun tiedolle on määritelty elinkaari. 
  6. Yhtenäistä tiedon tallennustavat ja rakenna tiedon luokittelua tukeva järjestelmä 
    GDPR on loistava tilaisuus toteuttaa tehokkaampi ja läpinäkyvämpi it-ympäristö. Panosta datan elinkaarenhallintaan ja hankkiudu eroon moniin eri paikkoihin tallennetuista Excel-rekistereistä. Varmista datan replikointi ja suojaa myös arkaluontoisen datan jakelu ja käsittely sekä luo säännöt datan luokitteluun. Suojaa tiedostot salasanoilla sekä panosta niiden dynaamiseen hallintaan.

 

Onko oman organisaatiosi tila selkeä vai kaipaatko apua tilanteen selvitykseen?

Jos kaipaat taustatukea GDPR-valmiutesi kartoittamiseen, ole yhteydessä meihin. Atean ammattilaiset kartoittavat tilanteen tehokkaasti nykytila-analyysin avulla ja antavat suositukset jatkotoimenpiteille.

 

 

 Kirjoitus perustuu TiVi.fi:ssä 24.10.2017 julkaistuun Ismo Karttusen blogikirjoitukseen.