Esittelyteksti
EU:n yleistä tietosuoja-asetusta alettiin soveltaa 25.5.2018, ja sitä täydentävä ja täsmentävä kansallinen tietosuojalaki astui voimaan 1.1.2019. Tästä syystä organisaatioiden on päivitettävä henkilötietojen käsittelykäytäntönsä ja pystyttävä taloudellisten sanktioiden uhalla osoittamaan, että henkilötietojen käsittelyssä on huomioitu asetuksen tietosuojaperiaatteet ja -velvoitteet. Uuden asetuksen myötä tietosuojavastaavan nimittämispakko laajenee, asema paranee ja tehtävät määrittyvät tarkemmin.

Tämä kirja kokoaa yhteen keskeisen tiedon, jonka avulla jokainen tietosuojavastaava onnistuu tehtävässään. Teos opastaa johtoa tietosuojavastaavan nimittämisessä, tehtävien määrittämisessä ja tietosuojatyön organisoinnissa ja resursoinnissa. Se myös auttaa varmistamaan, että henkilötietojen käsittelyprosessien suunnittelu, ohjeistus, koulutus ja valvonta järjestetään lain vaatimalla tavalla.

Big datan, data-analytiikan, tekoälyn, koneoppimisen ja ohjelmistorobotiikan aikakaudella tietosuojavastaava on entistä tärkeämpi myös organisaation menestykselle. Henkilöstön tietosuojaosaamisella saavutetaan merkittävää etua liiketoiminnassa ja pienennetään riskejä.

Teos on tärkeä työkalu tietosuojavastaaville, johdolle sekä kaikille asiakastietoja työssään käsitteleville toimialasta riippumatta. Se tarjoaa kokonaiskuvan tietosuojasta niin alaa opiskeleville kuin tietosuojavastaavana jo toimiville.

Ari Andreasson työskentelee Tampereen kaupungin tietosuojavastaavana, Jaana Riikonen Pirkanmaan sairaanhoitopiirin tietosuojavastaavana ja Arto Ylipartanen tietosuojavaltuutetun toimistossa ylitarkastajana. He ovat kouluttaneet tietosuojavastaavia vuosien ajan. Tämä kirja on laajennettu ja päivitetty versio heidän vuonna 2017 ilmestyneestä Osaava tietosuojavastaava -teoksestaan.

Kirjaa myyvät mm. useat verkkokirjakaupat sekä kustantajan oma verkkokirjakauppa osoitteessa https://arthouse.kauppakv.fi/sivu/tuote/osaava-tietosuojavastaava-ja-eu-n-yleinen-tietosuoja-asetus/2441227 

osaava

Tervehdys!

Kevään uutiskirjeessä käymme läpi viimeisimpiä kuulumisia EU:n yleisen tietosuoja-asetuksen osalta.

Aiheet:

• Auditoinnit ovat käynnistyneet myös Suomessa
• Kuulumisia IDC:n ”Privacy and Data Security Conference 2019 in Helsinki” –konferenssista
• Rakenteettoman tiedon kartoitukset sekä hallinta (sekä viime hetken vinkki webinaariin)

Lukekaahan alta kevään uutiskirje:

Yhteistyöterveisin GDPRTech ja Opitietosuojaa.fi

 

 
 
 

Fotolia 201480684 S 2

 

GDPR Tech uutisia - alkukevät 2019

Tervehdys, hyvä vastaanottaja!

Tässä uutiskirjeessä käymme läpi viimeisimpiä kuulumisia EU:n yleisen tietosuoja-asetuksen osalta. Aiheet:

• Auditoinnit ovat käynnistyneet myös Suomessa
• Kuulumisia IDC:n ”Privacy and Data Security Conference 2019 in Helsinki” –konferenssista
• Rakenteettoman tiedon kartoitukset sekä hallinta (sekä viime hetken vinkki webinaariin)

***

1. Auditoinnit ovat käynnistyneet myös Suomessa

EU GDPR mahdollistaa ja suosittelee riskien hallintaa myös auditointien kautta.

Muutama huomio tarkistettaviin kohtiin. Tarkista kumppaniltasi ja itseltäsi ainakin nämä – olethan huomioinut ainakin näiden kohtien nimittämisen tai valmistelun:

• Tietosuojavastaava (huomaa, että usein vastaava voi toimia osa-aikaisesti tai oman työn ohella, mutta toimitusjohtaja tai talousjohtaja ei ole hyvä valinta esteellisyyden vuoksi) – Kysy lisää tarvittaessa, saat meiltä myös tietosuojavastaavapalvelun
• GDPR:n mukaisten pääperiaatteiden seuraaminen ja valvonta
• Riskien hallintasuunnitelma
• Tietojen käsittelyn kuvaus sekä kumppani/toimittajalistaus
• Data Processing Agreement / DPA, tietojen käsittelysopimus
• Valmius vastata tietopyyntöihin tai tietojen poistoihin
• Henkilöstön koulutus
• Mahdollisen tietosuojaloukkauksen prosessi tai kuvaus toiminnoista

Kokosimme listan kohdista palvelupaketin viime vuonna ja teemme myös auditointeja puolestanne. Kysy lisätietoja valmiista ratkaisusta.

***

2. IDC:n tietoturvatapahtuman kuulumisia

IDC piti “Privacy and Data Security Conference 2019” -seminaarin Helsingissä helmikuussa. Tapahtuma sisälsi hyviä keskusteluja osallistujien kesken sekä mainioita luentoja – ohessa pieni kooste:

• GDPR on prosessi, ei yksittäinen tehtävä tai projekti. Puheenvuorossaan IDC:n Konstantin Rychov muistutti, että GDPR ei hävinnyt mihinkään vaan vaatii vähänkin isommassa organisaatiossa toimintojen ja prosessien muuttamista. Privacy by default ja by design, toimittajariskien hallinta ja tietopyyntöihin vastaaminen ovat keskeisiä huomioitavia.
• Helvi Salminen (ISACA, Gemalto) piti puheenvuoron luottamuksesta ja sen menettämisestä. Luottamus liittyy tietenkin GDPR:n osalta toimintoihin, mutta myös esimerkiksi sähköiseen allekirjoitukseen ja sähköiseen potilasturvallisuuteen. Viimeisin esimerkki tästä on Ruotsissa esille tullut potilaspuhelujen vuoto internetiin
• Tobias Bräutigam (Bird & Bird Finland) kävi läpi nykytilaa lain ja asetuksen kannalta. ”Hanskat on otettu pois” ja sanktiointi on Euroopassa alkanut GDPR:n osalta. Lissabonin yksityisen sairaalan 400 tuhannen euron sanktio sekä Googlen saama 50 miljoonan euron sanktio ovat alkua. Suomessa on ilmoitettu viime vuonna tietosuojaloukkauksia reilu 2000 kappaletta, vuonna 2019 jo yli 400. Mitä tapahtuu Englannissa? Brexitin vaikutuksia sopimuksiin ei voida varmaksi sanoa, sillä siihen vaikuttaa tuleeko ”kova Brexit” tai ”sopimuksellinen ero”. Tobias muistutti vielä muidenkin asetusten tai direktiivien vaikutuksesta, esimerkiksi energia- ja käyttövarmuuteen vaikuttavan NIS-direktiivin.

***

3. Rakenteettoman tiedon kartoitukset sekä hallinta

Tiedon kartoitus auttaa matkassa GDPR-valmiuteen. Tutkimusyhtiöiden sekä kokemuksemme mukaan yrityksissä on kyllä paljon dataa – kuitenkin vain keskimäärin 15 % datasta on tarpeellista. Tiedon vähentäminen on olennainen osa GDPR:n vaatimuksia ja tiedon kartoitus auttaa tämän turhan datan karsimisessa. Valmisratkaisumme Dark Data Assessment (DDA-4D) kartoittaa halutun tiedostopalvelinympäristön ja luo pohjan tiedonhallinnan suunnittelulle.

Joitakin huomioita kartoituksista:

• Vanhaa ja turhaa tietoa on paljon. Omistajuus on usein myös epäselvää, joten ei ole selvyyttä siitä, kuka päättää, voidaanko tieto poistaa
• Kartoituksissa löytyy usein tietoa, jota ei ole suojattu riittävällä tavalla. On huomioitava, että kyseessä on mahdollinen tietosuojaloukkaus, jos henkilöön liittyvä tieto on saatavilla laajalle käyttäjäjoukolle.
• Kartoituksissa löytyy usein myös epäjatkuvia käyttöoikeuksia ja myös esimerkiksi muiden lakien kuten tekijänoikeuden alaista aineistoa.
• Sisältökartoitus voi keskittyä esim. PCI-DSS, EU GDPR tai johonkin asiakaskohtaiseen tietosisällön hakemiseen.

Kysy lisää tiedonhallinnan kartoituksista (esim. Dark Data Assessment) tai työkaluista aiheeseen liittyen (esim. Veritas Technologies, Micro Focus ja Varonis)

Viime hetken vinkkinä: / Avanade Petri Aalto (Nordic Security Practice Lead ) on puhumassa Avanaden webinaarissa 6.3.2019 klo 9:00 - 10:00 aiheesta "Dark Data - rakenteettoman tiedon käsittely osana Modern Workplace transformaatiota".

***

120751

Jos "Gepardi / GDPR" ei ole vielä kesytetty, niin muistathan ilmaisen "Johdanto GDPR":ään kurssin. Kurssin löydät täältä: demo.vuolearning.fi/courses/EU_GDPR

Vielä on talvea jäljellä, nautitaan talvikeleistä. Ja jos et nauti talvesta, niin kevät on kohta pitkällä.

Parhain terveisin,
Juha Sallinen, GDPR Tech Oy