Tietosuoja ja tietoturva 2020

error

Tietosuoja ja tietoturva 2020

Osallistuin eilen lakimiesliiton järjestämille tietosuojapäiville. Päivän aikana luotiin katsausta menneeseen vuoteen, mutta myös suuntaviivoja tulevaisuuteen. Jos jokin niin se on selvää, että tietosuojaan ja tietoturvaan vaadittavat ponnistukset eivät suinkaan loppuneet kevään 2018 GDPR tohinoihin. Jokainen päivä on tietosuojapäivä, tietoturvaa unohtamatta. Jokaisena päivänä organisaatioiden tietosuojan ja tietoturvan taso punnitaan kellonaikaan katsomatta. On siis selvää, että tämä vaatii ympärilleen organisaatiokohtaisia toimintamalleja, joiden kyky vastata tositilanteiden tuomiin haasteisiin tulisi säännöllisesti arvioida ja testata. Testaaminen puolestaan vaatii keinoja ja työkaluja tietosuojan vaikuttavuuden arviointiin.

EU:n taholta on tulossa lisää sääntelyä tietosuojan osalta, esimerkiksi tekoälyyn ja evästeisiin liittyen. Samoin e-Privacy säännös tuo yrityksiin lisäpohdintaa sähköisen viestinnän osalta. Samoin erilaisia ohjeistuksia on valmisteilla Europen Data Protection Boardin toimesta. Ohjeistuksia on tulossa esimerkiksi rekisterinpitäjän vastuiden osalta ja lapsia koskevan data käsittelyn osalta. Lasten ja ikääntyneiden tietosuojakysymykset ovatkin tietosuojalainsäädännössä keskeisesti esillä ja näihin asioihin myös tietosuojavaltuutetun toimisto tulee tulevana vuonna paneutumaan enemmän.

Tietosuoja tulisi nähdä myös liiketoimintamahdollisuutena. Sen asianmukainen hallinta parantaa yrityksen mahdollisuuksia esimerkiksi digitaalisilla sisämarkkinoilla. Puhumattakaan siitä millainen positiivinen vaikutus tietosuojaan paneutumisella saadaan asiakkaiden luottamuksen kautta. Kaiken kaikkiaan tietosuojaan ja tietoturvaan panostaminen voidaankin nähdä organisaatioiden kilpailuetuna.

Tietosuojapäivillä mielenkiintoisen puheenvuoron piti myös Vodafone Groupin Mikko Niva. Niva toimii Vodafone Groupin globaalina tietosuojavastaavana ja hän vastaa Vodafonen globaalista tietosuojaohjelmasta. Nivan puheenvuoroa kuunnellessa ja hänen kuvatessa Vodafonen vaikuttavaa tietosuojaohjelmaa, oma käsitykseni laadunhallintamenetelmien omaksumisesta myös tietosuojan ja tietoturvan hallinnassa vahvistui entisestään. Ja siksi ajattelinkin seuraavissa kappaleissa avata hieman tätä puolta, sillä mielestäni se voisi olla juurikin se seuraava vaihe mitä organisaatioiden kannattaisi vakavasti pohtia.

piilossa

Voivatko laatumenetelmät auttaa organisaatiota myös tietosuojassa ja tietoturvassa?

Miten laatumenetelmät lähtevät nivoutumaan tietosuojan ja tietoturvan hallintaan? Oleellisesti tähän liittyy ihminen ja ihmisten johtaminen, sekä se, että organisaation sisäisiä vastuita on pohdittu ja jaettu eri henkilöille. Nivan puheenvuorossa tuli ilmi esimerkiksi se, että organisaatioiden olisi hyvä määritellä tietosuoja raamit, jotka sitten istutetaan eri toiminnoille. Laatujohtamiseen sisältyy oleellisesti tällaisten raamien määritteleminen. Näiden ennaltamääriteltyjen periaatteiden mukaisesti organisaatio sitten tuottaa palveluitaan. Siinä vaiheessa, kun näitä raameja on jo lähtökohtaisesti lähdetty yritykseen rakentamaan on niide sisälle helppo asettaa myös tietoturva ja tietosuoja käytännöt.

 

Varsinaisena työkaluesimerkkinä toimii hyvin esimerkiksi laatujohtamisesta tuttu suunnittele, toteuta, arvioi ja paranna sykli. Tietosuoja ja tietoturva tarvitsevat taakseen suunnitelmallisuutta, samalla tavalla, kuin mikä tahansa muukin toimintamme. Tähän suunnitteluun sisältyy niiden eri toimenpiteiden ja toimintojen kuvaaminen ja määrittäminen, jota tietoturvallinen toimintaympäristö osakseen tarvitsee. Konkreettisin työkalu tähän ovat esimerkiksi palvelukohtaiset riskiarvioinnit ja tietosuojan ja tietoturvan omavalvontasuunnitelma. Samoin henkilöstön osaamisen varmistaminen ja etenkin osaamistarpeiden kartoittaminen on tärkeä osa tätä suunnittelua. Suunnitteluun sisältyy myös yrityskohtaisten tietoturva ja tietosuoja tavoitteiden määrittäminen, joita sitten toteutus vaiheessa konkreettisesti tehdään ja taasen niiden vaikuttavuutta arvioidaan arviointi vaiheessa.

Lopuksi

Tietosuoja ja tietoturva tulisi mieltää asiaksi, joka ei ole koskaan ihan valmis, kuten ei laatukaan. Meidän pitää tarkastella omaa toimintaamme, ja ympäröivää maailmaamme säännöllisesti. Meitä ympäröivästä maailmasta tulee lähes jatkuvalla syötteellä viestiä siitä, mitä voisimme tehdä vielä paremmin, tai mitä meidän olisi hyvä huomioida tai mitä olemme mahdollisesti epähuomiossa jättäneet huomioimatta. Kyberuhat ovat yksi osa-alue, joka muuttuu jatkuvasti ja joka tuo mukanaan omia haasteitaan. Mitä enemmän me tuotamme palveluita ihminen-ihmiselle, sitä suuremmat ovat kyperuhat ja mitä enemmän meillä on sensitiivistä asiakastietoa, sitä kiinnostavampia me olemme kyperrikollisten silmissä.

Päivittäisen valppaana olemisen tärkeys korostuu senkin puolesta, että laitteiden haavoittuvuudet pystytään vielä kohtuullisen hyvin paikkaamaan, mutta me ihmiset puolestaan emme ole koneita ja voimme päivittäin toimia hieman eri kaavan mukaan. Ihmisen toimintaan vaikuttavat eri tekijät, joita ei voida ohjelmoida ennalta. Jokainen päivä, tunti ja minuutti ovat erilaisia. Siksi jokaisen organisaation tulisi panostaa siihen, että organisaatiokohtainen riskinhallinta on kunnossa ja sen toimivuutta arvioidaan säännöllisesti. Mikäli olemme asettaneet toiminnallemme tietosuoja tavoitteita on äärimmäisen tärkeää, että mittareita myös seurataan suunnitelmien mukaisesti. Hyvä suunnitelma, jää vain hyväksi suunnitelmaksi, ilman konkreettisia toimia.