TIETOSUOJA Archives - Tikkasec Oy

Tekoälyn vastuullinen käyttö – mitä yritysten on syytä ymmärtää?

Pekka Vepsäläinen — Fri, 13 Feb 2026 11:13:59 +0000

EU:n tekoälyasetus tuo tekoälyn käyttöön yhteiset pelisäännöt ja haastaa yritykset tarkastelemaan tekoälyä vastuullisuuden, tietoturvan ja osaamisen näkökulmista. Lue artikkelista, mitä tämä käytännössä tarkoittaa ja miten voit kääntää vaatimukset kilpailueduksi.

Elokuusta 2026 täysimääräisesti sovellettava EU:n tekoälyasetus on tuonut tekoälyn käyttöön yhteiset pelisäännöt, joiden ytimessä on vastuullisuus. Yrityksille, jotka jo hyödyntävät tai suunnittelevat tekoälyn käyttöönottoa, asetus ei ole pelkkä sääntelykysymys, vaan myös mahdollisuus rakentaa luottamusta asiakkaisiin, henkilöstöön ja sidosryhmiin. Vastuullinen tekoälyn käyttö tarkoittaa sitä, että teknologian hyödyt tunnistetaan, mutta samalla ymmärretään sen vaikutukset ihmisiin, liiketoimintaan ja yhteiskuntaan.

Riskien tunnistaminen on osa vastuullisuutta

Tekoälyasetus perustuu riskiperusteiseen ajatteluun. Kaikki tekoälyratkaisut eivät ole samanlaisia, eikä niitä tule käsitellä yhtenä kokonaisuutena. Osa sovelluksista on käytännössä vähäriskisiä, kun taas korkeariskiset käyttötapaukset, esimerkiksi ihmisten arviointiin, päätöksentekoon tai valvontaan liittyvät ratkaisut, edellyttävät huomattavasti tiukempaa hallintaa.

Vastuullinen toimija pysähtyy arvioimaan, mihin tarkoitukseen tekoälyä käytetään ja millaisia vaikutuksia sillä voi olla yksilöihin tai päätöksentekoon. Kun käyttötarkoitus ja vaikutukset on hyvin määritetty, myös vaatimusten täyttäminen on huomattavasti helpompaa. Sen pohjalta riskit voidaan tunnistaa ajoissa, jolloin tekoälyä voidaan käyttää hallitusti ja läpinäkyvästi. Tämä tukee paitsi sääntelyn noudattamista, myös eettisesti kestävää liiketoimintaa.

Tietoturva ja tietosuoja luottamuksen perustana

Tekoäly ei ole irrallinen teknologia, vaan se rakentuu datan, järjestelmien ja prosessien varaan. Siksi tietoturva ja tietosuoja ovat keskeinen osa vastuullista tekoälyn käyttöä, eivät erillinen tekninen yksityiskohta. Tekoälymallien kouluttamiseen käytettävä data, tekoälypalveluiden integraatiot sekä ulkopuoliset toimittajat edellyttävät selkeitä vastuita ja hallintamalleja.

Samalla henkilötietojen käsittely tekoälyn yhteydessä vaatii erityistä huolellisuutta. Läpinäkyvyys, käyttötarkoitussidonnaisuus ja minimointi eivät katoa tekoälyn myötä, vaan päinvastoin. Hyvin hallittu tekoälyn käyttö tukee myös tietosuojavaatimusten täyttämistä, kun vastuut, roolit ja käsittelyperusteet on määritelty selkeästi. Yritykset, jotka huomioivat tietosuojan ja tietoturvan jo tekoälyratkaisujen suunnitteluvaiheessa, pystyvät vähentämään riskejä ja vahvistamaan luottamusta niin asiakkaiden kuin viranomaisten suuntaan.

Tekoälylukutaito – uusi perustaito organisaatioille

Tekoälyasetuksessa korostuu myös tekoälylukutaito. Kyse ei ole siitä, että kaikkien pitäisi osata rakentaa tekoälymalleja, vaan siitä, että tekoälyä käyttävät ymmärtävät, miten tekoäly toimii, mihin sitä käytetään ja missä sen rajat kulkevat.

Johdon on kyettävä arvioimaan tekoälyn käyttöä strategisesta ja eettisestä näkökulmasta. Asiantuntijoiden ja käyttäjien taas on tunnistettava, milloin tekoälyn tuottama lopputulos vaatii kriittistä arviointia tai ihmisen tekemää päätöstä. Koulutus ja osaamisen ylläpito ovat keskeinen osa vastuullista tekoälyn hyödyntämistä.

Vastuullisuus kilpailuetuna

Tekoälyasetus ei ole innovoinnin este, vaan keino rakentaa luottamusta ja kehys vastuulliselle kasvulle. Yritykset, jotka ottavat tekoälyn riskit, tietoturvan, tietosuojan ja osaamisen systemaattisesti haltuun, luovat samalla pohjaa kestävälle ja luottamusta herättävälle liiketoiminnalle. Selkeät pelisäännöt mahdollistavat kestävän ja vastuullisen tekoälyn hyödyntämisen ja samalla vähentävät ikäviä yllätyksiä myöhemmin.

Nyt onkin hyvä hetki tarkastella omaa tekoälyn käyttöänne: ei peläten, vaan suunnitelmallisesti ja ennakoiden.

Yhteenveto

EU:n tekoälyasetus ohjaa yrityksiä kohti vastuullista ja hallittua tekoälyn käyttöä. Käytännössä tämä tarkoittaa riskiperusteista ajattelua, tietoturvan ja tietosuojan huomioimista jo suunnitteluvaiheessa sekä riittävän tekoälylukutaidon varmistamista koko organisaatiossa. Yrityksille, jotka tarttuvat näihin teemoihin ennakoivasti, tekoälyasetus ei ole pelkkä velvoite, vaan mahdollisuus rakentaa luottamusta, vähentää riskejä ja luoda kestävää kilpailuetua. Palaan aiheeseen syventäen tekoälyn tietoturvanäkökulmia seuraavassa artikkelissani Kauppakamarin toukokuun lehdessä, jonka teemana on kyberturvallisuus.

P.S. Tämä artikkeli oli pääosin tekoälyn avulla (ChatGPT) kirjoitettu. Myös kirjoittajan kuva, vierailuni EU:n parlamentissa, on muokattu tekoälyn avulla karikatyyriksi. Oliko onnistunut kokonaisuus? Pohdi, millä tavoin tekoäly on muuttanut teidän yrityksenne työskentelyä ja toimintaympäristöä.

The post Tekoälyn vastuullinen käyttö – mitä yritysten on syytä ymmärtää? appeared first on Tikkasec Oy.

Hankintavaiheessa voidaan ratkaista tietoturvaa ja tietosuojaa kustannustehokkaasti

Pekka Vepsäläinen — Fri, 13 Dec 2019 09:00:47 +0000

Tietoturva ja tietosuoja ovat olleet pinnalla viimeisen parin vuoden ajan erityisen paljon GDPR:stä eli EU:n yleisestä tietosuoja-asetuksesta johtuen. Niin yritykset kuin julkiset organisaatiot ovat joutuneet kehittämään toimintaansa ottaen huomioon uuden lainsäädännön vaatimukset. Samalla on herätty kehittämään tietoturvaa laajemminkin kuin vain henkilötietojen käsittelyn osalta. Tietojärjestelmien ja palveluiden hankintavaiheessa voidaan vaikuttaa tietoturvan ja tietosuojan toteutumiseen kustannustehokkaammin kuin jättämällä niiden huomiointi myöhempään ajankohtaan.

Marraskuussa julkaistun Keskuskauppakamarin juridiikkakatsauksen mukaan EU-alueella on annettu yhteensä jo lähes 100 sakkoa organisaatioille, jotka eivät ole huomioineet Tietosuoja-asetuksen vaatimuksia riittävällä tasolla. Sakkoja on jaettu niin huonosti toteutetun tietoturvan vuoksi kuin myös rekisteröityjen oikeuksien laiminlyönnistä tai ilmoitusvelvollisuuden rikkomisesta. Suurimmat sakot ovat olleet yli 200 miljoonaa euroa.

Tietoturvaa ja tietosuojaa kehitettäessä tuleekin tarkastella niin sisäisiä prosesseja, kuin tiedonkäsittelyyn käytettäviä tietojärjestelmiä ja ulkoisia palvelutoimittajia. Kun organisaatiossa ollaan hankkimassa esimerkiksi uutta tietojärjestelmää, tulee tietoturvaa ja tietosuojaa tarkastella erityisellä huolellisuudella. Hankintavaiheessa voidaan saavuttaa myös taloudellisiakin hyötyjä, sillä järjestelmän toimittajalle voidaan asettaa vaatimuksia tietoturvan ja tietosuojan osalta siten, että niiden aiheuttamiin kustannuksiin on vielä mahdollista vaikuttaa.

Riskienhallinta on pohjana tietoturvan ja tietosuojan kehittämiselle

Niin tietosuoja-asetuksessa kuin tietoturvaan liittyvissä standardeissakin korostetaan riskilähtöistä toimintamallia. Tämä tarkoittaa sitä, että kaikessa tietojen käsittelyyn liittyvässä toiminnassa tulee arvioida tiedon turvallisuutta vaarantavia riskejä, ja pyrkiä löytämään niiden aiheuttamille uhkille erilaisia hallintakeinoja jo etukäteen. Näiden hallintakeinojen avulla voidaan joko ennaltaehkäistä riskien toteutumista, tai riskin toteutuessa voidaan siitä aiheutuvia haittavaikutuksia pienentää reagoimalla uhkaan oikealla tavalla.

Riskienarviointia tulee tehdä niin sisäisen toiminnan, kuin ulkoistettujen palvelujen ja tietojärjestelmien osalta. Sisäisessä toiminnassa tyypillisiä uhkatekijöitä ovat työntekijöiden turhan laajat pääsyoikeudet eri tietojärjestelmiin ja niiden kautta esimerkiksi arkaluonteisiin henkilötietoihin. Tällöin työntekijä voi omalla toiminnallaan, joko vahingossa tai tahallisesti, aiheuttaa erilaisia tietosuojaongelmia, kuten muuttaa tai tuhota tietoja, tai vaikkapa tarpeettomasti katsella asiakastietoja.

Ulkoistettujen palvelu- tai järjestelmätoimittajien osalta uhkakenttä laajenee nopeasti oman organisaation ulkopuolelle, pilvipalvelujen kautta jopa globaalisti. Tällöin organisaation sisäisillä toimenpiteillä ei välttämättä pystytä enää hallitsemaan kaikkia riskejä, vaan niitä tulee pystyä hallitsemaan myös ulkoisten sidosryhmien näkökulmasta. Ulkoisten uhkien suhteen riskienhallinnassa tuleekin kiinnittää erityistä huomiota siihen, millä tavoin näihin uhkiin voidaan sopimuksellisesti varautua jo järjestelmän tai palvelun hankintavaiheessa.

Hankintavaihe on otollinen hetki kehittää tietosuojaa ja tietoturvaa kustannustehokkaasti

Asettamalla järjestelmätoimittajalle tietoturvaa ja tietosuojaa koskevia vaatimuksia jo kilpailutusvaiheessa, voidaan potentiaalisten toimittajien ratkaisuja arvioida ja vertailla helpommin myös turvallisuuden näkökulmasta. Vertailun vuoksi, jos vaaditaan yksinkertaisesti vain, että ”järjestelmän tietoturvan tulee olla kunnossa”, on toimittajan vastauskin usein niin yleisluontoinen, ettei tarjotun järjestelmän turvallisuudesta voida vetää kunnollisia johtopäätöksiä. Kun vaatimukset pureutuvat yksityiskohtaisemmin eri tietoturvan osa-alueisiin, kuten tiedon salaukseen tai varmuuskopiointiin liittyviin suojauskeinoihin, päästään toimittajan kanssa keskustelemaan konkreettisemmin ratkaisun turvallisuuteen liittyvistä kysymyksistä.

Tuomalla tietoturvaan liittyvät vaatimukset keskusteluun jo hankintavaiheessa, voidaan vaikuttaa myös hankinnan kohteen koko elinkaaren aikaisiin kustannuksiin. Usein tietoturvaan liittyviä ominaisuuksia voidaan kyllä ottaa järjestelmässä helposti käyttöön jälkikäteenkin, mutta hankinnan jälkeen toimittajan on helpompi pyytää siitä ylimääräistä lisähintaa, koska järjestelmä on jo organisaatiolla aktiivisessa käytössä. Neuvotteluvoimaa on tällöin turhaan luovutettu järjestelmän toimittajalle.

Aina ei kuitenkaan saada kaikkia vaatimuksia täyttävää järjestelmää hankittua. Organisaation sisäisen riskienhallinnan kannalta onkin tärkeää ymmärtää, mitä tietoturvavaatimuksia toimittajan ratkaisu täyttää. Tällöin jäljelle jääneitä riskejä voidaan tarvittaessa hallita omaa toimintaa tai ICT-ympäristöä kehittämällä, esimerkiksi ottamalla korvaavia tai täydentäviä tietoturvaratkaisuja käyttöön hankittavan järjestelmän ympärille.

Kyberturvallisuuskeskus on julkaissut uusia työkaluja hankintojen tietoturvaan

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on juuri julkaissut konkreettisen työkalun, jonka avulla tietoturva- ja tietosuojavaatimuksia voidaan ottaa käyttöön kaikissa organisaatiossa. Vaatimuslistaa on kehitetty Huoltovarmuuskeskuksen kehityshankkeissa vuosien varrella useiden asiantuntijoiden toimesta eri toimialoille. Viimeisin kehittämistyö on tehty sosiaali- ja terveydenhuollon toimialalle Kyber-Terveys-hankkeessa. Vaatimuslista löytyy Kyberturvallisuuskeskuksen sivuilta ”Ohjeet ja oppaat”-osiosta.

Kuinka näitä tietoturva- ja tietosuojavaatimuksia voidaan sitten paremmin ottaa huomioon omassa organisaatiossa? Työ vaatii organisaatiolta paneutumista ja osaamista tietoturvaan ja riskienhallintaan liittyvissä asioissa. Tarvittaessa voidaan käyttää ulkoista asiantuntijaa esimerkiksi hankintavaiheessa näitä asioita määrittelemään. Panostus tietoturvavaatimusten parempaan huomiointiin voi kuitenkin tuottaa nopeitakin hyötyjä organisaatiolle niin parantuneen tietoturvan ja tietosuojan kuin niihin liittyvien kustannustenkin näkökulmasta.

Ota yhteyttä niin keskustellaan, kuinka voimme laittaa yhdessä teidän hankintaprosessinne kuntoon huomioimaan paremmin tietoturva- ja tietosuojavaatimukset hankinnoissanne! Meillä on fokus tietoturvan ja tietosuojan kehittämisessä.

The post Hankintavaiheessa voidaan ratkaista tietoturvaa ja tietosuojaa kustannustehokkaasti appeared first on Tikkasec Oy.

Harjoitus tekee mestarin – tietosuojassakin

Pekka Vepsäläinen — Wed, 25 Apr 2018 09:00:53 +0000

Tietosuojaprojekteissani olen usein törmännyt kysymyksiin, kuten ”Ei meiltä kukaan rekisteröity ole aiemmin tietojaan pyytänyt tarkistaa. Mitä meidän pitää nyt tähän pyyntöön vastata?”. Asetuksen täytäntöönpanon myötä kohdataankin usein tilanteita, joihin ei ole aiemmin törmätty. Mutta tässäkin asiassa toimii erittäin hyvin vanha viisaus ”Harjoitus tekee mestarin”. Avaan tässä artikkelissa rekisteröidyn tietopyyntöä esimerkkinä käyttäen tuota vanhaa viisautta.

Yhä useammin rekisteröidyt, kuten yrityksen asiakkaat, ovat havahtuneet siihen, että heillähän on yhä enemmän oikeuksia koskien omia henkilötietojaan. Hyvänä esimerkkinä on eräälle asiakkaalleni heidän markkinointirekisterissään olleen henkilön tekemä tietopyyntö, joka tosin noudatti vielä vanhaa lainsäädäntöä, mutta jonka sisältö oli pitkälti sama tietosuoja-asetuksen vastaavan tietopyynnön kanssa. Heille tämä oli yrityksen historiassa ensimmäinen tällainen tietopyyntö.

”Pyydän, että toimitatte minulle kirjallisena minua koskevat rekisteritietonne.”

”Pyydän samalla kertomaan, millä perusteella olette säilyttäneet yhteystietojani”. Jo näihin peruskysymyksiinkin vastaaminen voi olla vaikeaa, mikäli rekisteröityjen tietopyyntöihin vastaamisen prosesseja ei ole huolella mietitty läpi. Miten sitten vastaamisessa onnistutaan?

Ensinnäkin organisaation henkilötietojen käsittelyn kokonaisuus tulee tuntea läpikotaisin, jotta ylipäätään pystytään selvittämään, mitä henkilötietoja on mahdollisesti eri tietojärjestelmiin ja paperiarkistoihinkin kerätty ja tallennettu. Toiseksi kunkin käsittelytarkoituksen tulee olla selkeästi määritelty – kuhunkin eri käsittelytarkoitukseen tulee löytyä tietosuoja-asetuksen 6. artiklan mukainen oikeusperuste, muuten käsittely on laitonta. Näistä asioista olen kirjoittanut aiemmassa artikkelissani https://tikkasec.fi/gdpr-tietosuoja-asetus-toimenpiteet/

Edellisten lisäksi on tärkeää, että tietopyyntöihin vastaamisen käytännöt on suunniteltu huolellisesti. Vastaamiseen liittyy toisaalta muotoseikkoja, kuten mitä tietoja vastauksen tulee sisältää, jotta se on asetuksen vaatimusten mukainen. Toisaalta vastaamisessa on hyvin olennaisesti kyse yrityksen ulkoisesta viestinnästä, jossa on aina mahdollista onnistua erinomaisesti tai epäonnistua huolella. Tilanteessa onkin usein kyse yrityksestä saatavan positiivisen tai negatiivisen mielikuvan luomisesta tai vahvistamisesta. Jo yrityksen imagon kannalta on tärkeää, että viestinnässä ollaan huolellisia.

Harjoitus tekee mestarin!

”No miten näitä asioita pitäisi sitten käytännössä tehdä?” Vastaus on yksinkertainen: Harjoitelkaa! Simuloikaa harjoitustilanne, jossa joku asiakkaanne lähestyy teitä vaikkapa sähköpostilla, ja pyytää nähtäväkseen hänestä kerätyt henkilötiedot. Tässä kohdassa tuleekin tarkastella huolellisesti asetuksen artiklan 15 sääntöjä ”Rekisteröidyn oikeus saada pääsy tietoihin”.

Harjoitellessanne tietopyyntöön vastaamista, käyttäkää mieluummin esim. CRM:ään lisättyä testidataa. Näin harjoituksesssa ei vahingossa käsitellä asiattomasti todellisen asiakkaan tietoja. Pyrkikää kuitenkin siihen, että tilanne olisi mahdollisimman aito. Toisin sanoen tietopyyntö olisi hyvä lähettää siitä etukäteen muille organisaation työntekijöille kertomatta ja toisaalta testidatasta ei pitäisi heti käydä ilmi, ettei kyseessä ole todellinen henkilö. Näin nähdään hyvin nopeasti, ovatko kaikki tietopyyntöprosessiin työroolinsa puolesta joutuvat henkilöt ajan tasalla siitä, miten tilanteessa tulee toimia.

Rekisteröidyn tietopyyntö on vain yksi esimerkki niistä tilanteista, joissa harjoitus auttaa kehittämään toimintaa. Muita aiheita voivat olla mm. rekisteröidyn pyyntö poistaa hänen tietonsa tai vaikkapa ilmoituksen tekeminen viranomaiselle ja rekisteröidyille henkilötietoihin kohdistuneen tietoturvaloukkauksen tapahtuessa. Tietoturvaan liittyviä tärkeitä harjoituksen kohteita ovat esimerkiksi varmuuskopioista tietojen palauttamiseen liittyvät käytännöt. Näistä aiheista kirjoitan lisää tulevissa artikkeleissa.

The post Harjoitus tekee mestarin – tietosuojassakin appeared first on Tikkasec Oy.

5 steppiä, jotka pk-yrittäjän tulee tehdä ennen toukokuuta 2018

Miia Ylinen — Tue, 19 Dec 2017 11:53:46 +0000

5 steppiä, jotka pk-yrittäjän tulee tehdä ennen toukokuuta 2018

Tietosuoja-asetus koskettaa valtaosaa organisaatioita, eikä sitä voi jättää huomiotta jo pelkästään mahdollisen sanktiouhan vuoksi. Vielä on vajaa puoli vuotta aikaa ennenkuin EU:n yleistä tietosuoja-asetusta aletaan soveltaa. Mutta miten asetuksen vaatimuksia tulisi lähestyä, ja mitä konkreettisia toimenpiteitä tulisi organisaatioissa sitten tehdä?

Aivan ensiksi tulisi ymmärtää, mikä on organisaation tämän hetken tilanne suhteessa tietosuoja-asetuksen vaatimuksiin. Sen jälkeen voidaan tarttua toimeen ja lähteä kehittämään asioita pienemmin ja suuremmin askelin. Tässä kirjoituksessa tarkastelen viittä konkreettista steppiä kohti tietosuoja-asetuksen velvoitteiden toteuttamista.

Perusperiaatteet henkilötietojen käsittelyssä

Tietosuoja-asetuksen 5. artikla on oikeastaan tiivistelmä asetuksen oleellisista vaatimuksista ja perusperiaatteista. Sisäistämällä tämän artiklan sisällön hyvin, on jo varsin pitkälle ymmärtänyt tietosuoja-asetuksen pääkohdat.

5. artiklan sisällön voisikin tiivistää seuraavasti:

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

Henkilötietojen käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Käyttötarkoitussidonnaisuus – mihin tarkoitukseen tietoja kerätään?
Tietojen minimointi – ei kerätä ja säilytetä turhaa tietoa
Täsmällisyys – pidetään tiedot ajan tasalla
Säilytyksen rajoittaminen – vain niin kauan kuin on tarpeen
Eheys ja luottamuksellisuus – käsittelyn turvallisuus

2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu, mistä seuraakin ns. ”osoitusvelvollisuus”.

Mitä se sitten vaatii, että päästään tilanteeseen, jossa 5. artiklan periaatteita noudatetaan, ja voidaan vieläpä osoittaa, että näin on tehty? Tarkastelen seuraavaksi viittä steppiä, jotka minimissään tulisi jokaisen organisaation tehdä oman toimintansa sovittamisessa tietosuoja-asetuksen vaatimuksiin.

1. Kartoita nykytila

Ennen varsinaisia kehittäviä toimenpiteitä on ehdottoman välttämätöntä ymmärtää organisaation nykytila ja toimintaympäristö henkilötietojen käsittelyn kannalta. Käytännössä tämä tarkoittaa henkilötietojen käsittelyn tarkastelua niin prosessien kuin tietojärjestelmienkin näkökulmasta, huomioiden juurikin mm. 5. artiklan vaatimukset.

Kartoituksessa tulee kiinnittää huomiota erityisesti henkilötietojen elinkaareen; miten henkilötietoja kerätään, tallennetaan, käsitellään ja tuhotaan, sekä missä (tieto)järjestelmissä kaikki tuo tapahtuu. Järjestelmiä kartoittaessa ei pidä unohtaa ns. manuaalisia järjestelmiä, eli tyypillisesti esimerkiksi taloushallinnon mappiarkistoja ja vastaavia. Lisäksi tulee kiinnittää huomiota siihen, miten käsittelyn turvallisuudesta, kuten laitteiden ja järjestelmien tietoturvasta, on tällä hetkellä huolehdittu.

2. Tee riskien arviointi

Rekisterinpitäjän vastuulla on suojata henkilötietoja tarpeellisin teknisin ja hallinnollisin toimenpitein ottaen huomioon mm. rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Riskejä vastaavan turvallisuustason toteuttamiseksi tarvittavat toimenpiteet tulee toteuttaa huomioiden myös uusin tekniikka ja toteuttamiskustannukset. Laitetaan siis panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin. Jotta näin voidaan tehdä, tulee henkilötietojen käsittelyn riskejä arvioida huolellisesti.

Edellisen vaiheen pohjalta tulisikin suorittaa seuraavat stepit, joilla riskien arviointi voidaan toteuttaa:

Tunnista henkilötietoihin kohdistuvat riskit
Analysoi riskien merkitystä, ja mahdollisia seurauksia/vaikuttavuutta
Priorisoi, eli valitse vaikuttavuudeltaan merkittävimmät riskit, joille tulee tehdä jotain toimenpiteitä
Tunnista ja toteuta riskien käsittelyn vaatimia toimenpiteitä
Varaudu reagoimaan ja ota opiksi, jotta voit kehittää toimintaa jatkuvasti

Riskien arviointi tulisikin olla jatkuvaa toimintaa, jolla pyritään alati muuttuvassa toimintaympäristössä ennaltaehkäisemään ei-toivottuja asioita tapahtumasta ja toisaalta reagoimaan, jos jotain ikävää kaikesta huolimatta tapahtuu.

3. Päivitä prosessit ja järjestelmät

Riskien arvioinnin pohjalta pitäisi nyt olla tunnistettuna niitä toimenpiteitä, joilla rekisteröityjen yksityisyyteen kohdistuvia riskejä pystytään pienentämään tai poistamaan. Toimenpiteet tarkoittavat useimmiten vähintään jonkintasoisia päivityksiä henkilötietojen käsittelyn prosesseihin, mutta usein on tarpeen tehdä muutoksia myös käytettyihin tietojärjestelmiin.

Prosessipuolella voi olla tarpeen muuttaa esimerkiksi manuaalisten aineistojen käsittelyä, kuten vaikkapa pöydällä lojuvien paperien siirtäminen lukkojen taakse, tai jätetäänkö tietokone lukitsematta, kun poistutaan työpisteeltä. Järjestelmäpuolella toimenpiteet voivat kohdistua niin tietojärjestelmien pääsynhallinnan kehittämiseen, kuin esimerkiksi tietojen käsittelyyn käytettyjen päätelaitteiden tietoturvan kehittämiseen. Tietoturvatoimenpiteitä voivat olla esimerkiksi vahvojen salasanojen käyttöönotto tai vaikkapa kannettavan tietokoneen kovalevyn salaus.

4. Tarkista sopimukset

Tietosuoja-asetuksen 28. artikla määrää henkilötietojen käsittelijästä. Rekisterinpitäjä saa käyttää vain sellaisia tietojen käsittelijöitä, jotka toteuttavat asianmukaiset tekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely olisi asetuksen mukaista. Lisäksi henkilötietojen käsittelystä tulee laatia kirjallinen sopimus, jossa tulee sopia mm. tietojen käsittelyn ohjeistuksesta, salassapidosta ja käsittelyn turvallisuuden varmistamisesta.

Lisäksi on tärkeä havaita, että myös ne tahot, jotka esimerkiksi tuottavat SaaS-palveluna henkilötietojen käsittelyn järjestelmiä, ovat henkilötietojen käsittelijöitä, vaikka eivät suoranaisesti käsittelytoimenpiteitä suorittaisikaan. Näinollen sopimuksia pitääkin tarkistaa usean eri tahon kanssa. Käytännössä tulee varmistaa, että tietosuoja-asetuksen vaatimukset on huomioitu sopimuksessa.

5. Laita dokumentaatio kuntoon

Tässä kohtaa palataan 5. artiklan kohtaan 2, jossa todetaan, että rekisterinpitäjän pitää pystyä osoittamaan, että asetuksen velvoitteita noudatetaan. Käytännössä osoitusvelvollisuus tarkoittaakin erilaisten henkilötietojen käsittelyyn liittyvien prosessien sekä muiden asetuksen vaatimusten mukaisten toimenpiteiden dokumentointia. Mm. edellämainitut stepit, kuten riskianalyysi, tulee dokumentoida, jotta voidaan osoittaa, että ollaan toteutettu asetuksen vaatimia toimenpiteitä siihen valmistauduttaessa. Lisäksi mm. rekisteröityjen oikeuksien toteuttamiseksi tulee huolehtia mm. läpinäkyvästä informoinnista rekisteröidyille esimerkiksi rekisteriselosteiden muodossa.

Ovatko asetuksen vaatimukset sitten aivan mahdottomia toteuttaa?

Etenkin pienempiä yrityksiä usein kauhistuttaa asetuksen vaatima työmäärä. Turha asiaa on kaunistellakaan; asetus vaatii jokaiselta organisaatiolta panostusta ja toimenpiteitä, jotka voivat olla hyvinkin työläitä. Toisaalta pienemmissä yrityksissä on tyypillisesti suoraviivaisemmat prosessit ja vähemmän erilaisia tietojärjestelmiä käytössä henkilötietojen käsittelyä varten. Lisäksi moni toimenpide on usein sinänsä “ilmainen”, jos kyseessä on vaikkapa toiminnan muuttaminen, mutta se saattaa tietysti aiheuttaa muutosvastarintaa. Muutosten toteuttaminen tuleekin perustella hyvin; haluammehan kaikki kuitenkin toimia lakien ja asetusten mukaisesti?

Vaikka esimerkiksi käsittelyn turvallisuuteen panostaminen vaatii usein tietoturvan kehittämiseen liittyviä toimenpiteitä ja tämä tuo mahdollisesti “lisävaivaa” jokapäiväisen työn tekemiseen, voidaan kehittämistoimenpiteillä saada joskus aikaan myös toiminnan tehostamista ja järkevöittämistä. Lisäksi henkilötietojen käsittelyn turvaamisen ohella saadaan usein lopputuloksena kokonaisuutena parempi yrityksen turvallisuusympäristö.

The post 5 steppiä, jotka pk-yrittäjän tulee tehdä ennen toukokuuta 2018 appeared first on Tikkasec Oy.

EU:n tietosuoja-asetus tulee olla johtoryhmän agendalla

Miia Ylinen — Fri, 15 Sep 2017 11:20:58 +0000

EU:n tietosuoja-asetus tulee olla johtoryhmän agendalla

EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Ylimmän johdon tulee olla tietoinen, miten tietosuoja-asetus vaikuttaa organisaation arkipäivään ja millaisia käytännön kehittämistoimia tulisi talven aikana toteuttaa tietosuoja-asetuksen velvoitteiden täyttämiseksi. Mutta kuinka aihetta tulisi käytännössä lähestyä, jotta tietosuojan kehittämisessä päästään alkuun? Tietosuojatoiminnan kehittämistä tulee tarkastella strategiselta tasolta aina tietosuojapolitiikan ja -käytännön määrittämiseen ja toteuttamiseen. Tarkastelenkin alla lyhyesti tietosuoja-asetuksen velvoitteita ja kuinka niitä tulisi organisaation toiminnassa jatkossa huomioida.

Rekisteröityjen oikeudet lisääntyvät

Rekisteröidyillä on jatkossa yhä enemmän oikeuksia saada tietoa omien henkilötietojensa keräämisestä ja käsittelystä, sekä vaikuttaa henkilötietojen keräämiseen ja poistamiseen. Rekisteröityjä tulee jatkossa mm. selkeämmin informoida, mitä henkilötietoja hänestä rekistereihin kerätään, sekä miten ja mihin tarkoituksiin niitä käytetään. Jo nykyisessä henkilötietolaissa on määrätty informointivelvollisuudesta, mutta jatkossa nämä velvollisuudet ovat yhä laajempia ja yksityiskohtaisempia. Myös oikeudesta tietojen oikaisuun, poistamiseen ja siirtämiseen säädetään asetuksessa tarkemmin kuin aiemmin.

Myös rekisterinpitäjän velvollisuudet lisääntyvät

Yksi merkittävimpiä muutoksia nykyiseen henkilötietolainsäädäntöön on organisaation tilivelvollisuus. Kun aiemmin henkilötietolakia on tullut ”vain” noudattaa, jatkossa tietosuoja-asetuksen osalta tulee organisaation pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä noudatetaan asetuksen velvoitteita. Tyypillisesti tämä tarkoittaa dokumentoituja toimintamalleja tai esimerkiksi tiedonantoja rekisteröidyille koskien heidän oikeuksiaan omien tietojensa osalta, sekä kuinka heidän tietojaan käsitellään.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Tietosuoja-asetus lähtee sisäänrakennetun ja oletusarvoisen tietosuojan periaatteesta. Sisäänrakennetun tietosuojan periaatteen mukaisesti tietosuoja otetaan tehokkaasti osaksi henkilötietojen käsittelyä kaikissa vaiheissa. Oletusarvoisen tietosuojan periaatteen mukaisesti rekisterinpitäjä käsittelee vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja. Käytännössä tuleekin pohtia, mitä tietoja tarvitaan, missä laajuudessa niitä käsitellään ja kuinka kauan niitä säilytetään. Lisäksi henkilötietojen suojaamisessa tulee kiinnittää huomiota siihen, että tietoihin pääsevät käsiksi vain ne henkilöt, joille tietojen käsittely on esimerkiksi työtehtävän tai roolin puitteissa tarpeellista.

Millä konkreettisilla toimenpiteillä tietosuoja-asetuksen velvoitteita voidaan lähteä toteuttamaan?

Ensin tulisi ymmärtää henkilötietojen käsittelyn nykytila.Nykytilakartoituksen avulla voidaan selvittää, mitä muutoksia henkilötietojen käsittelyyn ja henkilörekisterien suojaamiseen liittyen tulee toteuttaa. Kun henkilötietojen käsittelyn nykytila on selvillä, tulisi selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tarvitaan, jotta tietosuoja-asetuksen mukaiset velvoitteet voidaan täyttää. Usein on tarpeen mm. päivittää sopimuksia niin rekisteröityjen, kuin myös henkilötietoa käsittelevien palveluntarjoajien kanssa.

Riskienhallinta on pohjana tietosuojan kehittämiselle. Tietosuoja-asetuksessa korostetaan riskilähtöistä toimintamallia, jossa henkilötietoja suojataan huomioiden mm. käsittelyn luonne ja laajuus, asiayhteys ja tarkoitukset, sekä henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Riskien arviointi onkin yksi konkreettisia toimenpiteitä, joita jokaisen organisaation tulisi jatkossa säännöllisesti toteuttaa myös henkilötietojen käsittelyn osalta.

Tietoturva on olennainen osa tietosuojan toteutumista.Henkilötietojen käsittelyn turvallisuuden kannalta tulee suunnitella tarpeelliset keinot toteuttaa tietoturvallisuutta erilaisissa tilanteissa ottaen huomioon henkilötietojen käsittelyn riskit ja toteuttamiskustannukset. Riskiä vastaavan turvallisuustason varmistamiseksi organisaation tulee toteuttaa asianmukaisia teknisiä ja hallinnollisia toimenpiteitä. Suojaustoimenpiteinä voidaan käyttää mm. henkilötietojen pseudonymisointia ja salausta. Organisaatiolla tulee olla myös kyky toipua ongelmatilanteista niin, että tietojen saatavuus ja pääsy tietoihin on ongelmien sattuessa mahdollisimman nopeaa.

Tietotilinpäätös on yksi keino saada kokonaiskuva organisaation tietosuojan tasosta. Tietotilinpäätöstä voidaan hyödyntää tietosuojan kehittämisen alkuvaiheessa niin tietosuojan kehittämistoimien tunnistamisessa kuin priorisoinnissakin, mutta myös osana jatkuvaa kehittämistä tuomalla tietosuojan tilannekuvaa näkyväksi. Tietotilinpäätöksessä voidaan mm. kuvata, mitä henkilörekistereitä organisaatiolla on, miten tietosuojaperiaatteet on henkilörekistereissä ja toiminnassa otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu.

Automatisointi tehostaa toimintaa. Tietosuojaan liittyvien menettelyjen automatisoinnilla voidaan usein saada huomattavia hyötyjä varsinkin pitemmällä tähtäimellä. Esimerkiksi rekisteröidyn oikeus saada tietonsa poistetuksi voi pahimmillaan tarkoittaa yksittäisten tietokenttien poistamista useista eri tietojärjestelmistä. Mikäli tietojen poistoa ei ole automatisoitu ”yhden napin painalluksen taakse”, voi yksittäinenkin poistovaatimus aiheuttaa valtavasti käsityötä. Lisäksi käsin tehtävissä muutoksissa virheen mahdollisuus on suuri, koska on helppo esimerkiksi unohtaa tietyn tietokentän poistaminen jonkin yksittäisen tietojärjestelmän syövereistä.

Onko tietosuoja-asetus uhka vai mahdollisuus?

Tietosuoja-asetus tuo viranomaisille mahdollisuuden määrätä merkittäviäkin sakkoja organisaatioille esimerkiksi tietoturvaloukkauksen tapahtuessa. Hallinnollisten sakkojen lisäksi voi tapauksesta riippuen organisaation vastuuhenkilöille tulla myös rikosoikeudellisia seuraamuksia. Lisäksi voidaan joutua maksamaan korvauksia niille rekisteröidyille, joille on aiheutunut vahinkoa asetuksen rikkomisesta. Toisaalta tietosuojaa kehittämällä voidaan positiivisen yrityskuvan lisäksi parantaa organisaation tietoturvan tasoa yleisemminkin ja siten pienentää liiketoiminnan riskejä. Ylimmän johdon onkin niin uhkien kuin mahdollisuuksien vuoksi syytä tiedostaa lainsäädännön muutos ja sen vaikutus organisaation toimintaan, sekä lähteä aktiivisesti viemään tietosuojan kehittämistä eteenpäin.

The post EU:n tietosuoja-asetus tulee olla johtoryhmän agendalla appeared first on Tikkasec Oy.