Tikkasec Oy

Tekoälyasetus: Tekoälyn vastuullinen käyttö – mitä yritysten on syytä ymmärtää?

Pekka Vepsäläinen — Fri, 13 Feb 2026 11:13:59 +0000

EU:n tekoälyasetus tuo tekoälyn käyttöön yhteiset pelisäännöt ja haastaa yritykset tarkastelemaan tekoälyä vastuullisuuden, tietoturvan ja osaamisen näkökulmista. Lue artikkelista, mitä tämä käytännössä tarkoittaa ja miten voit kääntää vaatimukset kilpailueduksi.

Elokuusta 2026 täysimääräisesti sovellettava EU:n tekoälyasetus on tuonut tekoälyn käyttöön yhteiset pelisäännöt, joiden ytimessä on vastuullisuus. Yrityksille, jotka jo hyödyntävät tai suunnittelevat tekoälyn käyttöönottoa, asetus ei ole pelkkä sääntelykysymys, vaan myös mahdollisuus rakentaa luottamusta asiakkaisiin, henkilöstöön ja sidosryhmiin. Vastuullinen tekoälyn käyttö tarkoittaa sitä, että teknologian hyödyt tunnistetaan, mutta samalla ymmärretään sen vaikutukset ihmisiin, liiketoimintaan ja yhteiskuntaan.

Riskien tunnistaminen on osa vastuullisuutta

Tekoälyasetus perustuu riskiperusteiseen ajatteluun. Kaikki tekoälyratkaisut eivät ole samanlaisia, eikä niitä tule käsitellä yhtenä kokonaisuutena. Osa sovelluksista on käytännössä vähäriskisiä, kun taas korkeariskiset käyttötapaukset, esimerkiksi ihmisten arviointiin, päätöksentekoon tai valvontaan liittyvät ratkaisut, edellyttävät huomattavasti tiukempaa hallintaa.

Vastuullinen toimija pysähtyy arvioimaan, mihin tarkoitukseen tekoälyä käytetään ja millaisia vaikutuksia sillä voi olla yksilöihin tai päätöksentekoon. Kun käyttötarkoitus ja vaikutukset on hyvin määritetty, myös vaatimusten täyttäminen on huomattavasti helpompaa. Sen pohjalta riskit voidaan tunnistaa ajoissa, jolloin tekoälyä voidaan käyttää hallitusti ja läpinäkyvästi. Tämä tukee paitsi sääntelyn noudattamista, myös eettisesti kestävää liiketoimintaa.

Tietoturva ja tietosuoja luottamuksen perustana

Tekoäly ei ole irrallinen teknologia, vaan se rakentuu datan, järjestelmien ja prosessien varaan. Siksi tietoturva ja tietosuoja ovat keskeinen osa vastuullista tekoälyn käyttöä, eivät erillinen tekninen yksityiskohta. Tekoälymallien kouluttamiseen käytettävä data, tekoälypalveluiden integraatiot sekä ulkopuoliset toimittajat edellyttävät selkeitä vastuita ja hallintamalleja.

Samalla henkilötietojen käsittely tekoälyn yhteydessä vaatii erityistä huolellisuutta. Läpinäkyvyys, käyttötarkoitussidonnaisuus ja minimointi eivät katoa tekoälyn myötä, vaan päinvastoin. Hyvin hallittu tekoälyn käyttö tukee myös tietosuojavaatimusten täyttämistä, kun vastuut, roolit ja käsittelyperusteet on määritelty selkeästi. Yritykset, jotka huomioivat tietosuojan ja tietoturvan jo tekoälyratkaisujen suunnitteluvaiheessa, pystyvät vähentämään riskejä ja vahvistamaan luottamusta niin asiakkaiden kuin viranomaisten suuntaan.

Tekoälylukutaito – uusi perustaito organisaatioille

Tekoälyasetuksessa korostuu myös tekoälylukutaito. Kyse ei ole siitä, että kaikkien pitäisi osata rakentaa tekoälymalleja, vaan siitä, että tekoälyä käyttävät ymmärtävät, miten tekoäly toimii, mihin sitä käytetään ja missä sen rajat kulkevat.

Johdon on kyettävä arvioimaan tekoälyn käyttöä strategisesta ja eettisestä näkökulmasta. Asiantuntijoiden ja käyttäjien taas on tunnistettava, milloin tekoälyn tuottama lopputulos vaatii kriittistä arviointia tai ihmisen tekemää päätöstä. Koulutus ja osaamisen ylläpito ovat keskeinen osa vastuullista tekoälyn hyödyntämistä.

Vastuullisuus kilpailuetuna

Tekoälyasetus ei ole innovoinnin este, vaan keino rakentaa luottamusta ja kehys vastuulliselle kasvulle. Yritykset, jotka ottavat tekoälyn riskit, tietoturvan, tietosuojan ja osaamisen systemaattisesti haltuun, luovat samalla pohjaa kestävälle ja luottamusta herättävälle liiketoiminnalle. Selkeät pelisäännöt mahdollistavat kestävän ja vastuullisen tekoälyn hyödyntämisen ja samalla vähentävät ikäviä yllätyksiä myöhemmin.

Nyt onkin hyvä hetki tarkastella omaa tekoälyn käyttöänne: ei peläten, vaan suunnitelmallisesti ja ennakoiden.

Yhteenveto

EU:n tekoälyasetus ohjaa yrityksiä kohti vastuullista ja hallittua tekoälyn käyttöä. Käytännössä tämä tarkoittaa riskiperusteista ajattelua, tietoturvan ja tietosuojan huomioimista jo suunnitteluvaiheessa sekä riittävän tekoälylukutaidon varmistamista koko organisaatiossa. Yrityksille, jotka tarttuvat näihin teemoihin ennakoivasti, tekoälyasetus ei ole pelkkä velvoite, vaan mahdollisuus rakentaa luottamusta, vähentää riskejä ja luoda kestävää kilpailuetua. Palaan aiheeseen syventäen tekoälyn tietoturvanäkökulmia seuraavassa artikkelissani Kauppakamarin toukokuun lehdessä, jonka teemana on kyberturvallisuus.

P.S. Tämä artikkeli oli pääosin tekoälyn avulla (ChatGPT) kirjoitettu. Myös kirjoittajan kuva, vierailuni EU:n parlamentissa, on muokattu tekoälyn avulla karikatyyriksi. Oliko onnistunut kokonaisuus? Pohdi, millä tavoin tekoäly on muuttanut teidän yrityksenne työskentelyä ja toimintaympäristöä.

The post Tekoälyasetus: Tekoälyn vastuullinen käyttö – mitä yritysten on syytä ymmärtää? appeared first on Tikkasec Oy.

Kyberturvallisuuslaki on täällä, mikä on muuttunut?

Pekka Vepsäläinen — Wed, 10 Sep 2025 09:30:33 +0000

Suomen uusi kyberturvallisuuslaki, joka toimeenpanee EU:n NIS2-direktiivin, on ollut voimassa nyt puolisen vuotta ja on jo muuttanut toimintatapoja erityisesti suurissa organisaatioissa ja niiden toimitusketjuissa.. Lain tarkoituksena on vahvistaa kriittisten toimialojen kyberturvallisuutta ja varmistaa, että organisaatioilla on käytössään riittävät riskienhallinta- ja tietoturvakäytännöt. Lain myötä kyberturvallisuus ei ole enää vain tietohallinnon asia, vaan ylimmän johdon vastuulla oleva tärkeä osa riskienhallintaa. Johdon on pystyttävä osoittamaan, että kyberturvallisuus on huomioitu strategisesti ja siihen on varattu riittävät resurssit.

Ensimmäiset vaikutukset näkyvät jo: suuremmat toimijat ovat kiristäneet vaatimuksiaan myös toimitusketjussaan. Tämä on havaintojeni mukaan tuonut auditointeja ja tietoturvallisuuteen liittyviä kyselyjä pienemmillekin toimittajille. Jopa startup-yritykset ovat olleet suuremman asiakkaan auditoinnin kohteena, kun niiden ratkaisut tai palvelut liittyvät ohjelmistoihin, dataan tai tietojärjestelmiin. Käytännössä laki koskettaa siis moninkertaisesti suurempaa yritysjoukkoa kuin pelkät suoraan lain piiriin kuuluvat organisaatiot.

Viranomaiset vielä ohjaavassa roolissa

Moni organisaatio ei ole täysin valmis lain vaatimuksiin, mutta onneksi viranomaisetkaan eivät ole ottaneet heti tiukinta tulkintalinjaa. Tähän mennessä linja on ollut enemmän ohjaava kuin sanktioiva: viranomaiset neuvovat ilmoittautumaan toimijarekisteriin ja tukevat vaatimusten käytännön jalkauttamisessa. Lain määräajat kuitenkin pysyvät. Esimerkiksi riskienhallinnan toimintamallit on laadittava kolmen kuukauden kuluessa siitä, kun organisaation NIS2-toimijan kriteerit ovat täyttyneet.

Kehittämiseen on myös rahoitustukea tarjolla

Uuden lain toimeenpano ei tarkoita pelkästään kustannuksia, vaan se tarjoaa myös tilaisuuden hakea julkista tukea kyberturvallisuuden kehittämiseen. Traficomin Kyberturvallisuuskeskus on avannut rahoitustuen, josta mikro-, pienet ja keskisuuret organisaatiot (NIS2-toimijat ilmoittautuneena toimijaluetteloon) voivat hakea enintään 100 000 € tukea, joka kattaa puolet kehittämishankkeen kustannuksista. Haku on auki 16.10.2025 asti, ja tukikelpoisia toimia ovat lain vaatimat kyberturvallisuuden arviointi- ja kehittämistoimenpiteet. Tämä on loistava mahdollisuus vahvistaa yrityksen resilienssiä ja saada konkreettista tukea kyberriskien hallintaan.

Mihin yritysten kannattaa panostaa nyt?

Kyberturvallisuuslain ensimmäiset kuukaudet ovat osoittaneet, että suurimmat haasteet liittyvät käytännön toimintamallien rakentamiseen. Moni yritys on vielä lähtökuopissa, ja siksi on tärkeää keskittyä perusasioihin, joilla lain velvoitteet voidaan täyttää ja samalla vahvistaa koko liiketoiminnan resilienssiä.

Ensimmäinen askel on riskienhallinnan perustan laittaminen kuntoon. Organisaatiolla on oltava systemaattinen malli, jossa kyberriskit tunnistetaan, arvioidaan ja dokumentoidaan. Tämä ei voi olla vain IT-osaston tehtävä, vaan osa johdon vastuullista päätöksentekoa.

Toinen painopiste liittyy toimitusketjuun. Yrityksen on pystyttävä osoittamaan, että sen kumppanit ja alihankkijat noudattavat samoja turvallisuusvaatimuksia. Tämä tarkoittaa sopimuksiin kirjattuja velvoitteita, auditointeja ja säännöllistä seurantaa.

Arjen käytännöt muodostavat kolmannen kokonaisuuden. Käytännössä kyse on muun muassa siitä, että pääsynhallinta on kunnossa, tieto kulkee salattuna, varmuuskopiot ovat ajantasaisia ja palautumissuunnitelmat testattuja. Yhtä tärkeää on johdon ja henkilöstön kouluttaminen, sillä ihminen on usein tietoturvan heikoin lenkki.

Neljäs keskeinen asia on raportointivalmius. Yrityksellä on oltava selkeä prosessi poikkeamien havaitsemiseen ja niiden ilmoittamiseen viranomaisille 24 tunnin kuluessa. Tämä edellyttää nimettyjä vastuuhenkilöitä ja valmiiksi harjoiteltuja toimintamalleja.

Viimeisenä, mutta ehkä tärkeimpänä, on johdon sitoutuminen. Kyberturvallisuus on noussut strategiseksi kysymykseksi, joka vaatii resursointia ja jatkuvaa seurantaa. Vain näin voidaan varmistaa, että kyberturvallisuus on aidosti osa yrityksen johtamisjärjestelmää eikä irrallinen ”tekninen lisäosa”.

Velvoite vai mahdollisuus?

Kyberturvallisuuslaki on ennen kaikkea velvoittava sääntelykehys, mutta se tarjoaa myös yrityksille merkittäviä mahdollisuuksia. Kyky osoittaa tietoturvallisuuden taso vahvistaa asiakkaiden ja kumppaneiden luottamusta, ja voi ratkaista kilpailutilanteessa toimittajavalinnan. Systemaattinen riskienhallinta pienentää häiriöiden kustannuksia ja parantaa liiketoiminnan jatkuvuutta.

Vaatimukset eivät tule keventymään, vaan todennäköisesti vain laajenemaan erityisesti toimitusketjuihin liittyvien vaatimusten vuoksi. Siksi nyt tehty työ on sijoitus tulevaisuuteen.

Yhteenveto

Kyberturvallisuuslaki on jo muuttanut pelikenttää. Toimitusketjujen vaatimukset kiristyvät, ja yritysten on nostettava oma kyberturvallisuutensa uudelle tasolle. Viranomaiset suhtautuvat alkuvaiheessa ohjaavasti, mutta vastuu lain velvoitteiden täyttämisestä on organisaatioilla itsellään.

Ne yritykset, jotka tarttuvat toimeen nyt, eivät ainoastaan täytä lain velvoitteita, vaan myös rakentavat luottamusta, turvaavat jatkuvuutta ja luovat itselleen kilpailuetua.

The post Kyberturvallisuuslaki on täällä, mikä on muuttunut? appeared first on Tikkasec Oy.

Kyberturvallisuuslaki tulee, oletko valmis?

Pekka Vepsäläinen — Mon, 17 Mar 2025 10:00:11 +0000

Johdolla on vastuu suojata organisaation digitaalista toimintaympäristöä

Eduskunnassa on hyväksyttävänä uusi kyberturvallisuuslaki, joka tuo merkittäviä muutoksia suurempien organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa lain piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita, vastuuta koko toimitusketjusta ja yhteistyötä viranomaisten kanssa.

Voimakkaasti digitalisoituneessa ja verkottuneessa maailmassa kyberturvallisuuden merkitys kasvaa yhä enemmän. Tietoverkoissa ja digitaalisissa palveluissa käsitellään arkaluontoista tietoa ja kyberhyökkäykset voivat aiheuttaa organisaatioille katastrofaalisia seurauksia. Tietovuodot, tietojenkalastelu, palvelunestohyökkäykset ja ransomware-hyökkäykset voivat vahingoittaa mainetta, häiritä liiketoimintaa ja johtaa merkittäviin taloudellisiin tappioihin.

Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuudesta. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys ja osaaminen kyberturvallisuutta koskevaan riskienhallintaan.

Tämä tarkoittaa käytännössä mm. seuraavia asioita:

Kyberturvallisuuden priorisointi: Sen on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja -järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelmat.
Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, kuinka turvata organisaation käsittelemää luottamuksellista tietoa.
Raportointivelvoitteet: Merkittävistä kyberuhista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös asiakkaille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tulee olemaan huomattavasti enemmän kuin GDPR:n osalta.
Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Kyberturvallisuuslaki koskee lähtökohtaisesti yhteiskunnan toiminnan kannalta kriittisten toimialojen organisaatioita, joissa on yli 50 työntekijää. Näitä organisaatioita arvioidaan olevan Suomessa noin 5000. Koska kyseiset toimijat ovat vastuussa myös toimitusketjustaan, tulevat lainsäädännön velvoitteet sopimusvaatimusten kautta käytännössä koskemaan moninkertaista joukkoa yrityksiä. Jokaisen suuremmille yrityksille tai esimerkiksi hyvinvointialueille jollain tavoin tiedonhallintaan liittyviä palveluita, kuten tietojärjestelmiä tai IT-palveluita, tarjoavien yritysten onkin syytä varautua lainsäädännön vaatimuksiin.

Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.

Kuinka kyberturvallisuuslain voimaantuloon tulisi valmistautua?

Viimeisimmän lakiluonnoksen mukaan lain voimaan tullessa sen piiriin kuuluvilla toimijoilla on kuukausi aikaa ilmoittautua valvovalle viranomaiselle. Riskienhallintajärjestelmä taas tulee olla laadittuna kolmen kuukauden kuluessa lain voimaan tulosta. Molempiin liittyy myös mahdollinen hallinnollinen sakko, mikäli asia ei ole määräaikaan mennessä kunnossa. Hyvä tapa valmistautua kyberturvallisuuslain velvoitteisiin on rakentaa lainsäädännön velvoitteet täyttävä tietoturvallisuuden hallintajärjestelmä. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta ei ole vain tietohallinnon tehtävä, vaan se on lopulta koko liiketoiminnan ja ylimmän johdon vastuulla.

The post Kyberturvallisuuslaki tulee, oletko valmis? appeared first on Tikkasec Oy.

Kyberturvallisuuslaki: Johdolla on vastuu tietoturvallisesta toimintaympäristöstä

Pekka Vepsäläinen — Fri, 28 Jun 2024 10:00:47 +0000

Voimakkaasti digitalisoituneessa ja verkottuneessa maailmassa kyberturvallisuuden merkitys kasvaa yhä enemmän. Tietoverkoissa ja digitaalisissa palveluissa käsitellään arkaluontoista tietoa, ja kyberhyökkäykset voivat aiheuttaa organisaatioille katastrofaalisia seurauksia. Tietovuodot, tietojenkalastelu, palvelunestohyökkäykset ja ransomware-hyökkäykset voivat vahingoittaa mainetta, häiritä liiketoimintaa ja johtaa merkittäviin taloudellisiin tappioihin. Kyberturvallisuuslaki velvoittaa organisaatioita varautumaan erilaisiin kyberuhkiin.

Vuonna 2024 voimaan astuva uusi kyberturvallisuuslaki tuo mukanaan merkittäviä muutoksia organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa sen piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita ja yhteistyötä viranomaisten kanssa.

Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuuden varmistamisessa. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.

Tämä tarkoittaa käytännössä mm. seuraavia asioita:

Kyberturvallisuuden priorisointi: Kyberturvallisuuden on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, miten toimia turvata organisaation käsittelemää luottamuksellista tietoa.
Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja –järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelma.
Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
Raportointivelvoitteet: Merkittävistä kyberuhkista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös organisaation tarjoaman palvelun vastaanottajille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tullee olemaan huomattavasti enemmän kuin GDPR:n osalta.
Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Miten organisaatiot voivat valmistautua kyberturvallisuuslain voimaantuloon?

Paras tapa valmistautua kyberturvallisuuslain velvoitteisiin on ottaa käyttöön ISO 27001 standardin mukainen tietoturvallisuuden hallintajärjestelmä. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta on koko liiketoiminnan vastuulla, ei pelkästään tietohallinnon. Kysy lisätietoja,

Ota yhteyttä, niin keskustellaan kuinka organisaationne voi valmistautua kyberturvallisuuslain voimaantuloon ISO 27001 standardin mukaisella tietoturvallisuuden hallintajärjestelmällä!

The post Kyberturvallisuuslaki: Johdolla on vastuu tietoturvallisesta toimintaympäristöstä appeared first on Tikkasec Oy.

Häiriötilanteisiin varautuminen lähtee avainprosessien tuntemisesta

Pekka Vepsäläinen — Wed, 25 Mar 2020 11:00:47 +0000

Koronavirus on aiheuttanut globaalisti ennennäkemättömän laajan häiriötilanteen, johon reagoiminen on ollut haastavaa. Valtaosa organisaatioista on joutunut sulkemaan äkisti toimintojaan, viemään vähintään osan töistä etänä tehtäväksi ja pahimmillaan keskeyttämään liiketoimintansa jopa kokonaan. Voiko tällaisiin kriiseihin ylipäätään varautua?

Globaalia pandemiaa ei tyypillisesti ole huomioitu uhkaskenaariona kuin suurempien julkisten ja yksityisten organisaatioiden valmiussuunnitelmissa. Koronaviruksen tyyppiset pandemiat ovat vuosien saatossa olleet varmasti myös useissa valmiusharjoituksissa osana taustaskenaarioita. Pk-yrityksissä on kuitenkin harvemmin totuttu valmiussuunnittelussa tarkastelemaan näin laajoja uhkakuvia.

Mutta kuinka yrityksissä on ylipäätään tehty valmiussuunnittelua erilaisten uhkien varalle? Oman havaintoni mukaan koronaviruksen aiheuttama äkkipysähdys on tullut lähes jokaiselle, myös allekirjoittaneelle, yllätyksenä. Aivan näin laajoihin yhteiskunnallisiin vaikutuksiin – ja vieläpä näin nopealla aikataululla – en olisi itsekään uskonut, jos joku olisi vuoden alussa näin väittänyt tapahtuvan. Kuitenkin varautumalla pienempiinkin uhkiin voidaan edesauttaa liiketoiminnan selviytymistä myös laajemmissa häiriötilanteissa.

Pystytäänkö teidän organisaatiossanne maksamaan palkat ajallaan, jos palkanlaskennasta vastaava henkilö ei pääsekään enää töihin?

Tarkastellaanpa varautumista yhden tyypillisen avainprosessin, eli palkanlaskennan kautta. Se, että organisaatioissa pystytään ylipäätään palkkoja maksamaan, koskettaa käytännössä kaikkia työntekijöitä. Olen havainnut, että välttämättä esimerkiksi palkanlaskennan prosesseja ei ole kuitenkaan sillä tavoin dokumentoitu, että palkanlaskennasta vastaavan henkilön äkillisestä poissaolosta huolimatta se toimisi normaalisti. Koronapandemia on lisännyt poissaoloihin liittyviä riskejä hyvin laajasti, koska kuka tahansa työntekijä on saattanut hyvin lyhyellä varoitusajalla joutua karanteeniin, tai jopa sairaalahoitoon.

Koronapandemian arvioidaan tällä hetkellä kestävän vielä useita kuukausia. Tämä tarkoittaa sitä, että äkillisiä poissaoloja joko koronaan sairastumisesta tai karanteeniin joutumisesta johtuen voi tapahtua yllättäen hyvin monessa organisaatiossa. Mikäli organisaatiossanne ei ole valmiussuunnitelmia tehty, tai edes käyty läpi liiketoiminnan avainprosesseja, kuten palkanlaskentaa, nyt on vielä hyvää aikaa näitä tehdä ja siten varautua tuleviin häiriöihin. Palkanlaskennan kaltaisia prosesseja voi myös osin ulkoistaa, jolloin ulkoistuskumppanilta usein löytyy kattavammat varajärjestelyt. Nämäkin on syytä kuitenkin huomioida ulkoistuksesta sovittaessa.

Palkanlaskennan lisäksi tulisi tunnistaa muutkin organisaation avainprosessit, niistä vastaavat henkilöt, sekä niihin käytetyt tietojärjestelmät ja muut resurssit. Kullekin avainroolille pitäisi pystyä ylläpitämään riittävää osaamista organisaatiossa esimerkiksi varahenkilöjärjestelyin. Nämä prosessit tulee dokumentoida ja ohjeistaa siten, että niitä voidaan vähintään perustasolla suorittaa, vaikka kyseisestä tehtävästä vastuullinen työntekijä ei pääsisikään hetkeen töihin.

Valjasta vapaita resursseja jatkuvuuden kehittämiseen

Usein varautuminen, kuten erilaisten uhkien pohtiminen ja niihin liittyvien riskien arviointi, jää muun liiketoiminnan kehittämisen jalkoihin. Etenkin juuri tällä hetkellä, kun monissa yrityksissä on kevään osalta peruuntunut töitä valtavasti, johdon huomio kiinnittyy perusliiketoiminnan pelastamiseen liittyviin toimenpiteisiin. Toisaalta organisaatioissa saattaa olla paljonkin työntekijöitä pienemmällä työkuormalla töiden vähentyessä. Näitä vapaita resursseja on varmasti syytä käyttää uuden liiketoiminnan kehittämiseen, mutta heitä voi hyödyntää myös jatkuvuuden kehittämisessä.

Kannattaakin valjastaa organisaationne vapaita resursseja käymään läpi avainprosessejanne, ja pohtimaan, kuinka niitä voidaan edelleen suorittaa, jos avainresurssit eivät olekaan käytettävissä. Mikäli jotain avainprosessianne tällä hetkellä suorittavalla on yhtään luppoaikaa, hänet kannattaa vähintäänkin pyytää kuvaamaan oma toimenkuvansa ja siihen liittyvät ydintehtävät mahdollisimman selkeästi.

Kriisitilanteita voi organisaatioihin syntyä muistakin syistä kuin nykyisenkaltaisesta pandemiasta. Jos esimerkiksi tietojärjestelmätoimittaja päättääkin yllättäen irtisanoa sopimukset lopettaessaan järjestelmän ylläpidon, voi etenkin suuremmissa organisaatioissa aiheutua ongelmia liiketoiminnan jatkuvuudelle. Uuteen järjestelmään siirtyminen kun ei tapahdu sormia napsauttamalla, vaan saattaa vaatia jopa kuukausien työn järjestelmän käyttöönotossa osaksi sujuvaa arkea.

Ota yhteyttä, mikäli kaipaat sparrausta varautumiseen liittyvään kehittämiseen! Pystymme auttamaan avainprosessien kartoittamisessa, riskien arvioinnissa ja tarvittavien toimenpiteiden tunnistamisessa myös etäyhteyksien kautta.

The post Häiriötilanteisiin varautuminen lähtee avainprosessien tuntemisesta appeared first on Tikkasec Oy.

Hankintavaiheessa voidaan ratkaista tietoturvaa ja tietosuojaa kustannustehokkaasti

Pekka Vepsäläinen — Fri, 13 Dec 2019 09:00:47 +0000

Tietoturva ja tietosuoja ovat olleet pinnalla viimeisen parin vuoden ajan erityisen paljon GDPR:stä eli EU:n yleisestä tietosuoja-asetuksesta johtuen. Niin yritykset kuin julkiset organisaatiot ovat joutuneet kehittämään toimintaansa ottaen huomioon uuden lainsäädännön vaatimukset. Samalla on herätty kehittämään tietoturvaa laajemminkin kuin vain henkilötietojen käsittelyn osalta. Tietojärjestelmien ja palveluiden hankintavaiheessa voidaan vaikuttaa tietoturvan ja tietosuojan toteutumiseen kustannustehokkaammin kuin jättämällä niiden huomiointi myöhempään ajankohtaan.

Marraskuussa julkaistun Keskuskauppakamarin juridiikkakatsauksen mukaan EU-alueella on annettu yhteensä jo lähes 100 sakkoa organisaatioille, jotka eivät ole huomioineet Tietosuoja-asetuksen vaatimuksia riittävällä tasolla. Sakkoja on jaettu niin huonosti toteutetun tietoturvan vuoksi kuin myös rekisteröityjen oikeuksien laiminlyönnistä tai ilmoitusvelvollisuuden rikkomisesta. Suurimmat sakot ovat olleet yli 200 miljoonaa euroa.

Tietoturvaa ja tietosuojaa kehitettäessä tuleekin tarkastella niin sisäisiä prosesseja, kuin tiedonkäsittelyyn käytettäviä tietojärjestelmiä ja ulkoisia palvelutoimittajia. Kun organisaatiossa ollaan hankkimassa esimerkiksi uutta tietojärjestelmää, tulee tietoturvaa ja tietosuojaa tarkastella erityisellä huolellisuudella. Hankintavaiheessa voidaan saavuttaa myös taloudellisiakin hyötyjä, sillä järjestelmän toimittajalle voidaan asettaa vaatimuksia tietoturvan ja tietosuojan osalta siten, että niiden aiheuttamiin kustannuksiin on vielä mahdollista vaikuttaa.

Riskienhallinta on pohjana tietoturvan ja tietosuojan kehittämiselle

Niin tietosuoja-asetuksessa kuin tietoturvaan liittyvissä standardeissakin korostetaan riskilähtöistä toimintamallia. Tämä tarkoittaa sitä, että kaikessa tietojen käsittelyyn liittyvässä toiminnassa tulee arvioida tiedon turvallisuutta vaarantavia riskejä, ja pyrkiä löytämään niiden aiheuttamille uhkille erilaisia hallintakeinoja jo etukäteen. Näiden hallintakeinojen avulla voidaan joko ennaltaehkäistä riskien toteutumista, tai riskin toteutuessa voidaan siitä aiheutuvia haittavaikutuksia pienentää reagoimalla uhkaan oikealla tavalla.

Riskienarviointia tulee tehdä niin sisäisen toiminnan, kuin ulkoistettujen palvelujen ja tietojärjestelmien osalta. Sisäisessä toiminnassa tyypillisiä uhkatekijöitä ovat työntekijöiden turhan laajat pääsyoikeudet eri tietojärjestelmiin ja niiden kautta esimerkiksi arkaluonteisiin henkilötietoihin. Tällöin työntekijä voi omalla toiminnallaan, joko vahingossa tai tahallisesti, aiheuttaa erilaisia tietosuojaongelmia, kuten muuttaa tai tuhota tietoja, tai vaikkapa tarpeettomasti katsella asiakastietoja.

Ulkoistettujen palvelu- tai järjestelmätoimittajien osalta uhkakenttä laajenee nopeasti oman organisaation ulkopuolelle, pilvipalvelujen kautta jopa globaalisti. Tällöin organisaation sisäisillä toimenpiteillä ei välttämättä pystytä enää hallitsemaan kaikkia riskejä, vaan niitä tulee pystyä hallitsemaan myös ulkoisten sidosryhmien näkökulmasta. Ulkoisten uhkien suhteen riskienhallinnassa tuleekin kiinnittää erityistä huomiota siihen, millä tavoin näihin uhkiin voidaan sopimuksellisesti varautua jo järjestelmän tai palvelun hankintavaiheessa.

Hankintavaihe on otollinen hetki kehittää tietosuojaa ja tietoturvaa kustannustehokkaasti

Asettamalla järjestelmätoimittajalle tietoturvaa ja tietosuojaa koskevia vaatimuksia jo kilpailutusvaiheessa, voidaan potentiaalisten toimittajien ratkaisuja arvioida ja vertailla helpommin myös turvallisuuden näkökulmasta. Vertailun vuoksi, jos vaaditaan yksinkertaisesti vain, että ”järjestelmän tietoturvan tulee olla kunnossa”, on toimittajan vastauskin usein niin yleisluontoinen, ettei tarjotun järjestelmän turvallisuudesta voida vetää kunnollisia johtopäätöksiä. Kun vaatimukset pureutuvat yksityiskohtaisemmin eri tietoturvan osa-alueisiin, kuten tiedon salaukseen tai varmuuskopiointiin liittyviin suojauskeinoihin, päästään toimittajan kanssa keskustelemaan konkreettisemmin ratkaisun turvallisuuteen liittyvistä kysymyksistä.

Tuomalla tietoturvaan liittyvät vaatimukset keskusteluun jo hankintavaiheessa, voidaan vaikuttaa myös hankinnan kohteen koko elinkaaren aikaisiin kustannuksiin. Usein tietoturvaan liittyviä ominaisuuksia voidaan kyllä ottaa järjestelmässä helposti käyttöön jälkikäteenkin, mutta hankinnan jälkeen toimittajan on helpompi pyytää siitä ylimääräistä lisähintaa, koska järjestelmä on jo organisaatiolla aktiivisessa käytössä. Neuvotteluvoimaa on tällöin turhaan luovutettu järjestelmän toimittajalle.

Aina ei kuitenkaan saada kaikkia vaatimuksia täyttävää järjestelmää hankittua. Organisaation sisäisen riskienhallinnan kannalta onkin tärkeää ymmärtää, mitä tietoturvavaatimuksia toimittajan ratkaisu täyttää. Tällöin jäljelle jääneitä riskejä voidaan tarvittaessa hallita omaa toimintaa tai ICT-ympäristöä kehittämällä, esimerkiksi ottamalla korvaavia tai täydentäviä tietoturvaratkaisuja käyttöön hankittavan järjestelmän ympärille.

Kyberturvallisuuskeskus on julkaissut uusia työkaluja hankintojen tietoturvaan

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on juuri julkaissut konkreettisen työkalun, jonka avulla tietoturva- ja tietosuojavaatimuksia voidaan ottaa käyttöön kaikissa organisaatiossa. Vaatimuslistaa on kehitetty Huoltovarmuuskeskuksen kehityshankkeissa vuosien varrella useiden asiantuntijoiden toimesta eri toimialoille. Viimeisin kehittämistyö on tehty sosiaali- ja terveydenhuollon toimialalle Kyber-Terveys-hankkeessa. Vaatimuslista löytyy Kyberturvallisuuskeskuksen sivuilta ”Ohjeet ja oppaat”-osiosta.

Kuinka näitä tietoturva- ja tietosuojavaatimuksia voidaan sitten paremmin ottaa huomioon omassa organisaatiossa? Työ vaatii organisaatiolta paneutumista ja osaamista tietoturvaan ja riskienhallintaan liittyvissä asioissa. Tarvittaessa voidaan käyttää ulkoista asiantuntijaa esimerkiksi hankintavaiheessa näitä asioita määrittelemään. Panostus tietoturvavaatimusten parempaan huomiointiin voi kuitenkin tuottaa nopeitakin hyötyjä organisaatiolle niin parantuneen tietoturvan ja tietosuojan kuin niihin liittyvien kustannustenkin näkökulmasta.

Ota yhteyttä niin keskustellaan, kuinka voimme laittaa yhdessä teidän hankintaprosessinne kuntoon huomioimaan paremmin tietoturva- ja tietosuojavaatimukset hankinnoissanne! Meillä on fokus tietoturvan ja tietosuojan kehittämisessä.

The post Hankintavaiheessa voidaan ratkaista tietoturvaa ja tietosuojaa kustannustehokkaasti appeared first on Tikkasec Oy.

Harjoitus tekee mestarin – tietosuojassakin

Pekka Vepsäläinen — Wed, 25 Apr 2018 09:00:53 +0000

Tietosuojaprojekteissani olen usein törmännyt kysymyksiin, kuten ”Ei meiltä kukaan rekisteröity ole aiemmin tietojaan pyytänyt tarkistaa. Mitä meidän pitää nyt tähän pyyntöön vastata?”. Asetuksen täytäntöönpanon myötä kohdataankin usein tilanteita, joihin ei ole aiemmin törmätty. Mutta tässäkin asiassa toimii erittäin hyvin vanha viisaus ”Harjoitus tekee mestarin”. Avaan tässä artikkelissa rekisteröidyn tietopyyntöä esimerkkinä käyttäen tuota vanhaa viisautta.

Yhä useammin rekisteröidyt, kuten yrityksen asiakkaat, ovat havahtuneet siihen, että heillähän on yhä enemmän oikeuksia koskien omia henkilötietojaan. Hyvänä esimerkkinä on eräälle asiakkaalleni heidän markkinointirekisterissään olleen henkilön tekemä tietopyyntö, joka tosin noudatti vielä vanhaa lainsäädäntöä, mutta jonka sisältö oli pitkälti sama tietosuoja-asetuksen vastaavan tietopyynnön kanssa. Heille tämä oli yrityksen historiassa ensimmäinen tällainen tietopyyntö.

”Pyydän, että toimitatte minulle kirjallisena minua koskevat rekisteritietonne.”

”Pyydän samalla kertomaan, millä perusteella olette säilyttäneet yhteystietojani”. Jo näihin peruskysymyksiinkin vastaaminen voi olla vaikeaa, mikäli rekisteröityjen tietopyyntöihin vastaamisen prosesseja ei ole huolella mietitty läpi. Miten sitten vastaamisessa onnistutaan?

Ensinnäkin organisaation henkilötietojen käsittelyn kokonaisuus tulee tuntea läpikotaisin, jotta ylipäätään pystytään selvittämään, mitä henkilötietoja on mahdollisesti eri tietojärjestelmiin ja paperiarkistoihinkin kerätty ja tallennettu. Toiseksi kunkin käsittelytarkoituksen tulee olla selkeästi määritelty – kuhunkin eri käsittelytarkoitukseen tulee löytyä tietosuoja-asetuksen 6. artiklan mukainen oikeusperuste, muuten käsittely on laitonta. Näistä asioista olen kirjoittanut aiemmassa artikkelissani https://tikkasec.fi/gdpr-tietosuoja-asetus-toimenpiteet/

Edellisten lisäksi on tärkeää, että tietopyyntöihin vastaamisen käytännöt on suunniteltu huolellisesti. Vastaamiseen liittyy toisaalta muotoseikkoja, kuten mitä tietoja vastauksen tulee sisältää, jotta se on asetuksen vaatimusten mukainen. Toisaalta vastaamisessa on hyvin olennaisesti kyse yrityksen ulkoisesta viestinnästä, jossa on aina mahdollista onnistua erinomaisesti tai epäonnistua huolella. Tilanteessa onkin usein kyse yrityksestä saatavan positiivisen tai negatiivisen mielikuvan luomisesta tai vahvistamisesta. Jo yrityksen imagon kannalta on tärkeää, että viestinnässä ollaan huolellisia.

Harjoitus tekee mestarin!

”No miten näitä asioita pitäisi sitten käytännössä tehdä?” Vastaus on yksinkertainen: Harjoitelkaa! Simuloikaa harjoitustilanne, jossa joku asiakkaanne lähestyy teitä vaikkapa sähköpostilla, ja pyytää nähtäväkseen hänestä kerätyt henkilötiedot. Tässä kohdassa tuleekin tarkastella huolellisesti asetuksen artiklan 15 sääntöjä ”Rekisteröidyn oikeus saada pääsy tietoihin”.

Harjoitellessanne tietopyyntöön vastaamista, käyttäkää mieluummin esim. CRM:ään lisättyä testidataa. Näin harjoituksesssa ei vahingossa käsitellä asiattomasti todellisen asiakkaan tietoja. Pyrkikää kuitenkin siihen, että tilanne olisi mahdollisimman aito. Toisin sanoen tietopyyntö olisi hyvä lähettää siitä etukäteen muille organisaation työntekijöille kertomatta ja toisaalta testidatasta ei pitäisi heti käydä ilmi, ettei kyseessä ole todellinen henkilö. Näin nähdään hyvin nopeasti, ovatko kaikki tietopyyntöprosessiin työroolinsa puolesta joutuvat henkilöt ajan tasalla siitä, miten tilanteessa tulee toimia.

Rekisteröidyn tietopyyntö on vain yksi esimerkki niistä tilanteista, joissa harjoitus auttaa kehittämään toimintaa. Muita aiheita voivat olla mm. rekisteröidyn pyyntö poistaa hänen tietonsa tai vaikkapa ilmoituksen tekeminen viranomaiselle ja rekisteröidyille henkilötietoihin kohdistuneen tietoturvaloukkauksen tapahtuessa. Tietoturvaan liittyviä tärkeitä harjoituksen kohteita ovat esimerkiksi varmuuskopioista tietojen palauttamiseen liittyvät käytännöt. Näistä aiheista kirjoitan lisää tulevissa artikkeleissa.

The post Harjoitus tekee mestarin – tietosuojassakin appeared first on Tikkasec Oy.

5 steppiä, jotka pk-yrittäjän tulee tehdä ennen toukokuuta 2018

Miia Ylinen — Tue, 19 Dec 2017 11:53:46 +0000

5 steppiä, jotka pk-yrittäjän tulee tehdä ennen toukokuuta 2018

Tietosuoja-asetus koskettaa valtaosaa organisaatioita, eikä sitä voi jättää huomiotta jo pelkästään mahdollisen sanktiouhan vuoksi. Vielä on vajaa puoli vuotta aikaa ennenkuin EU:n yleistä tietosuoja-asetusta aletaan soveltaa. Mutta miten asetuksen vaatimuksia tulisi lähestyä, ja mitä konkreettisia toimenpiteitä tulisi organisaatioissa sitten tehdä?

Aivan ensiksi tulisi ymmärtää, mikä on organisaation tämän hetken tilanne suhteessa tietosuoja-asetuksen vaatimuksiin. Sen jälkeen voidaan tarttua toimeen ja lähteä kehittämään asioita pienemmin ja suuremmin askelin. Tässä kirjoituksessa tarkastelen viittä konkreettista steppiä kohti tietosuoja-asetuksen velvoitteiden toteuttamista.

Perusperiaatteet henkilötietojen käsittelyssä

Tietosuoja-asetuksen 5. artikla on oikeastaan tiivistelmä asetuksen oleellisista vaatimuksista ja perusperiaatteista. Sisäistämällä tämän artiklan sisällön hyvin, on jo varsin pitkälle ymmärtänyt tietosuoja-asetuksen pääkohdat.

5. artiklan sisällön voisikin tiivistää seuraavasti:

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

Henkilötietojen käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Käyttötarkoitussidonnaisuus – mihin tarkoitukseen tietoja kerätään?
Tietojen minimointi – ei kerätä ja säilytetä turhaa tietoa
Täsmällisyys – pidetään tiedot ajan tasalla
Säilytyksen rajoittaminen – vain niin kauan kuin on tarpeen
Eheys ja luottamuksellisuus – käsittelyn turvallisuus

2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu, mistä seuraakin ns. ”osoitusvelvollisuus”.

Mitä se sitten vaatii, että päästään tilanteeseen, jossa 5. artiklan periaatteita noudatetaan, ja voidaan vieläpä osoittaa, että näin on tehty? Tarkastelen seuraavaksi viittä steppiä, jotka minimissään tulisi jokaisen organisaation tehdä oman toimintansa sovittamisessa tietosuoja-asetuksen vaatimuksiin.

1. Kartoita nykytila

Ennen varsinaisia kehittäviä toimenpiteitä on ehdottoman välttämätöntä ymmärtää organisaation nykytila ja toimintaympäristö henkilötietojen käsittelyn kannalta. Käytännössä tämä tarkoittaa henkilötietojen käsittelyn tarkastelua niin prosessien kuin tietojärjestelmienkin näkökulmasta, huomioiden juurikin mm. 5. artiklan vaatimukset.

Kartoituksessa tulee kiinnittää huomiota erityisesti henkilötietojen elinkaareen; miten henkilötietoja kerätään, tallennetaan, käsitellään ja tuhotaan, sekä missä (tieto)järjestelmissä kaikki tuo tapahtuu. Järjestelmiä kartoittaessa ei pidä unohtaa ns. manuaalisia järjestelmiä, eli tyypillisesti esimerkiksi taloushallinnon mappiarkistoja ja vastaavia. Lisäksi tulee kiinnittää huomiota siihen, miten käsittelyn turvallisuudesta, kuten laitteiden ja järjestelmien tietoturvasta, on tällä hetkellä huolehdittu.

2. Tee riskien arviointi

Rekisterinpitäjän vastuulla on suojata henkilötietoja tarpeellisin teknisin ja hallinnollisin toimenpitein ottaen huomioon mm. rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Riskejä vastaavan turvallisuustason toteuttamiseksi tarvittavat toimenpiteet tulee toteuttaa huomioiden myös uusin tekniikka ja toteuttamiskustannukset. Laitetaan siis panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin. Jotta näin voidaan tehdä, tulee henkilötietojen käsittelyn riskejä arvioida huolellisesti.

Edellisen vaiheen pohjalta tulisikin suorittaa seuraavat stepit, joilla riskien arviointi voidaan toteuttaa:

Tunnista henkilötietoihin kohdistuvat riskit
Analysoi riskien merkitystä, ja mahdollisia seurauksia/vaikuttavuutta
Priorisoi, eli valitse vaikuttavuudeltaan merkittävimmät riskit, joille tulee tehdä jotain toimenpiteitä
Tunnista ja toteuta riskien käsittelyn vaatimia toimenpiteitä
Varaudu reagoimaan ja ota opiksi, jotta voit kehittää toimintaa jatkuvasti

Riskien arviointi tulisikin olla jatkuvaa toimintaa, jolla pyritään alati muuttuvassa toimintaympäristössä ennaltaehkäisemään ei-toivottuja asioita tapahtumasta ja toisaalta reagoimaan, jos jotain ikävää kaikesta huolimatta tapahtuu.

3. Päivitä prosessit ja järjestelmät

Riskien arvioinnin pohjalta pitäisi nyt olla tunnistettuna niitä toimenpiteitä, joilla rekisteröityjen yksityisyyteen kohdistuvia riskejä pystytään pienentämään tai poistamaan. Toimenpiteet tarkoittavat useimmiten vähintään jonkintasoisia päivityksiä henkilötietojen käsittelyn prosesseihin, mutta usein on tarpeen tehdä muutoksia myös käytettyihin tietojärjestelmiin.

Prosessipuolella voi olla tarpeen muuttaa esimerkiksi manuaalisten aineistojen käsittelyä, kuten vaikkapa pöydällä lojuvien paperien siirtäminen lukkojen taakse, tai jätetäänkö tietokone lukitsematta, kun poistutaan työpisteeltä. Järjestelmäpuolella toimenpiteet voivat kohdistua niin tietojärjestelmien pääsynhallinnan kehittämiseen, kuin esimerkiksi tietojen käsittelyyn käytettyjen päätelaitteiden tietoturvan kehittämiseen. Tietoturvatoimenpiteitä voivat olla esimerkiksi vahvojen salasanojen käyttöönotto tai vaikkapa kannettavan tietokoneen kovalevyn salaus.

4. Tarkista sopimukset

Tietosuoja-asetuksen 28. artikla määrää henkilötietojen käsittelijästä. Rekisterinpitäjä saa käyttää vain sellaisia tietojen käsittelijöitä, jotka toteuttavat asianmukaiset tekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely olisi asetuksen mukaista. Lisäksi henkilötietojen käsittelystä tulee laatia kirjallinen sopimus, jossa tulee sopia mm. tietojen käsittelyn ohjeistuksesta, salassapidosta ja käsittelyn turvallisuuden varmistamisesta.

Lisäksi on tärkeä havaita, että myös ne tahot, jotka esimerkiksi tuottavat SaaS-palveluna henkilötietojen käsittelyn järjestelmiä, ovat henkilötietojen käsittelijöitä, vaikka eivät suoranaisesti käsittelytoimenpiteitä suorittaisikaan. Näinollen sopimuksia pitääkin tarkistaa usean eri tahon kanssa. Käytännössä tulee varmistaa, että tietosuoja-asetuksen vaatimukset on huomioitu sopimuksessa.

5. Laita dokumentaatio kuntoon

Tässä kohtaa palataan 5. artiklan kohtaan 2, jossa todetaan, että rekisterinpitäjän pitää pystyä osoittamaan, että asetuksen velvoitteita noudatetaan. Käytännössä osoitusvelvollisuus tarkoittaakin erilaisten henkilötietojen käsittelyyn liittyvien prosessien sekä muiden asetuksen vaatimusten mukaisten toimenpiteiden dokumentointia. Mm. edellämainitut stepit, kuten riskianalyysi, tulee dokumentoida, jotta voidaan osoittaa, että ollaan toteutettu asetuksen vaatimia toimenpiteitä siihen valmistauduttaessa. Lisäksi mm. rekisteröityjen oikeuksien toteuttamiseksi tulee huolehtia mm. läpinäkyvästä informoinnista rekisteröidyille esimerkiksi rekisteriselosteiden muodossa.

Ovatko asetuksen vaatimukset sitten aivan mahdottomia toteuttaa?

Etenkin pienempiä yrityksiä usein kauhistuttaa asetuksen vaatima työmäärä. Turha asiaa on kaunistellakaan; asetus vaatii jokaiselta organisaatiolta panostusta ja toimenpiteitä, jotka voivat olla hyvinkin työläitä. Toisaalta pienemmissä yrityksissä on tyypillisesti suoraviivaisemmat prosessit ja vähemmän erilaisia tietojärjestelmiä käytössä henkilötietojen käsittelyä varten. Lisäksi moni toimenpide on usein sinänsä “ilmainen”, jos kyseessä on vaikkapa toiminnan muuttaminen, mutta se saattaa tietysti aiheuttaa muutosvastarintaa. Muutosten toteuttaminen tuleekin perustella hyvin; haluammehan kaikki kuitenkin toimia lakien ja asetusten mukaisesti?

Vaikka esimerkiksi käsittelyn turvallisuuteen panostaminen vaatii usein tietoturvan kehittämiseen liittyviä toimenpiteitä ja tämä tuo mahdollisesti “lisävaivaa” jokapäiväisen työn tekemiseen, voidaan kehittämistoimenpiteillä saada joskus aikaan myös toiminnan tehostamista ja järkevöittämistä. Lisäksi henkilötietojen käsittelyn turvaamisen ohella saadaan usein lopputuloksena kokonaisuutena parempi yrityksen turvallisuusympäristö.

The post 5 steppiä, jotka pk-yrittäjän tulee tehdä ennen toukokuuta 2018 appeared first on Tikkasec Oy.

EU:n tietosuoja-asetus tulee olla johtoryhmän agendalla

Miia Ylinen — Fri, 15 Sep 2017 11:20:58 +0000

EU:n tietosuoja-asetus tulee olla johtoryhmän agendalla

EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Ylimmän johdon tulee olla tietoinen, miten tietosuoja-asetus vaikuttaa organisaation arkipäivään ja millaisia käytännön kehittämistoimia tulisi talven aikana toteuttaa tietosuoja-asetuksen velvoitteiden täyttämiseksi. Mutta kuinka aihetta tulisi käytännössä lähestyä, jotta tietosuojan kehittämisessä päästään alkuun? Tietosuojatoiminnan kehittämistä tulee tarkastella strategiselta tasolta aina tietosuojapolitiikan ja -käytännön määrittämiseen ja toteuttamiseen. Tarkastelenkin alla lyhyesti tietosuoja-asetuksen velvoitteita ja kuinka niitä tulisi organisaation toiminnassa jatkossa huomioida.

Rekisteröityjen oikeudet lisääntyvät

Rekisteröidyillä on jatkossa yhä enemmän oikeuksia saada tietoa omien henkilötietojensa keräämisestä ja käsittelystä, sekä vaikuttaa henkilötietojen keräämiseen ja poistamiseen. Rekisteröityjä tulee jatkossa mm. selkeämmin informoida, mitä henkilötietoja hänestä rekistereihin kerätään, sekä miten ja mihin tarkoituksiin niitä käytetään. Jo nykyisessä henkilötietolaissa on määrätty informointivelvollisuudesta, mutta jatkossa nämä velvollisuudet ovat yhä laajempia ja yksityiskohtaisempia. Myös oikeudesta tietojen oikaisuun, poistamiseen ja siirtämiseen säädetään asetuksessa tarkemmin kuin aiemmin.

Myös rekisterinpitäjän velvollisuudet lisääntyvät

Yksi merkittävimpiä muutoksia nykyiseen henkilötietolainsäädäntöön on organisaation tilivelvollisuus. Kun aiemmin henkilötietolakia on tullut ”vain” noudattaa, jatkossa tietosuoja-asetuksen osalta tulee organisaation pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä noudatetaan asetuksen velvoitteita. Tyypillisesti tämä tarkoittaa dokumentoituja toimintamalleja tai esimerkiksi tiedonantoja rekisteröidyille koskien heidän oikeuksiaan omien tietojensa osalta, sekä kuinka heidän tietojaan käsitellään.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Tietosuoja-asetus lähtee sisäänrakennetun ja oletusarvoisen tietosuojan periaatteesta. Sisäänrakennetun tietosuojan periaatteen mukaisesti tietosuoja otetaan tehokkaasti osaksi henkilötietojen käsittelyä kaikissa vaiheissa. Oletusarvoisen tietosuojan periaatteen mukaisesti rekisterinpitäjä käsittelee vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja. Käytännössä tuleekin pohtia, mitä tietoja tarvitaan, missä laajuudessa niitä käsitellään ja kuinka kauan niitä säilytetään. Lisäksi henkilötietojen suojaamisessa tulee kiinnittää huomiota siihen, että tietoihin pääsevät käsiksi vain ne henkilöt, joille tietojen käsittely on esimerkiksi työtehtävän tai roolin puitteissa tarpeellista.

Millä konkreettisilla toimenpiteillä tietosuoja-asetuksen velvoitteita voidaan lähteä toteuttamaan?

Ensin tulisi ymmärtää henkilötietojen käsittelyn nykytila.Nykytilakartoituksen avulla voidaan selvittää, mitä muutoksia henkilötietojen käsittelyyn ja henkilörekisterien suojaamiseen liittyen tulee toteuttaa. Kun henkilötietojen käsittelyn nykytila on selvillä, tulisi selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tarvitaan, jotta tietosuoja-asetuksen mukaiset velvoitteet voidaan täyttää. Usein on tarpeen mm. päivittää sopimuksia niin rekisteröityjen, kuin myös henkilötietoa käsittelevien palveluntarjoajien kanssa.

Riskienhallinta on pohjana tietosuojan kehittämiselle. Tietosuoja-asetuksessa korostetaan riskilähtöistä toimintamallia, jossa henkilötietoja suojataan huomioiden mm. käsittelyn luonne ja laajuus, asiayhteys ja tarkoitukset, sekä henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Riskien arviointi onkin yksi konkreettisia toimenpiteitä, joita jokaisen organisaation tulisi jatkossa säännöllisesti toteuttaa myös henkilötietojen käsittelyn osalta.

Tietoturva on olennainen osa tietosuojan toteutumista.Henkilötietojen käsittelyn turvallisuuden kannalta tulee suunnitella tarpeelliset keinot toteuttaa tietoturvallisuutta erilaisissa tilanteissa ottaen huomioon henkilötietojen käsittelyn riskit ja toteuttamiskustannukset. Riskiä vastaavan turvallisuustason varmistamiseksi organisaation tulee toteuttaa asianmukaisia teknisiä ja hallinnollisia toimenpiteitä. Suojaustoimenpiteinä voidaan käyttää mm. henkilötietojen pseudonymisointia ja salausta. Organisaatiolla tulee olla myös kyky toipua ongelmatilanteista niin, että tietojen saatavuus ja pääsy tietoihin on ongelmien sattuessa mahdollisimman nopeaa.

Tietotilinpäätös on yksi keino saada kokonaiskuva organisaation tietosuojan tasosta. Tietotilinpäätöstä voidaan hyödyntää tietosuojan kehittämisen alkuvaiheessa niin tietosuojan kehittämistoimien tunnistamisessa kuin priorisoinnissakin, mutta myös osana jatkuvaa kehittämistä tuomalla tietosuojan tilannekuvaa näkyväksi. Tietotilinpäätöksessä voidaan mm. kuvata, mitä henkilörekistereitä organisaatiolla on, miten tietosuojaperiaatteet on henkilörekistereissä ja toiminnassa otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu.

Automatisointi tehostaa toimintaa. Tietosuojaan liittyvien menettelyjen automatisoinnilla voidaan usein saada huomattavia hyötyjä varsinkin pitemmällä tähtäimellä. Esimerkiksi rekisteröidyn oikeus saada tietonsa poistetuksi voi pahimmillaan tarkoittaa yksittäisten tietokenttien poistamista useista eri tietojärjestelmistä. Mikäli tietojen poistoa ei ole automatisoitu ”yhden napin painalluksen taakse”, voi yksittäinenkin poistovaatimus aiheuttaa valtavasti käsityötä. Lisäksi käsin tehtävissä muutoksissa virheen mahdollisuus on suuri, koska on helppo esimerkiksi unohtaa tietyn tietokentän poistaminen jonkin yksittäisen tietojärjestelmän syövereistä.

Onko tietosuoja-asetus uhka vai mahdollisuus?

Tietosuoja-asetus tuo viranomaisille mahdollisuuden määrätä merkittäviäkin sakkoja organisaatioille esimerkiksi tietoturvaloukkauksen tapahtuessa. Hallinnollisten sakkojen lisäksi voi tapauksesta riippuen organisaation vastuuhenkilöille tulla myös rikosoikeudellisia seuraamuksia. Lisäksi voidaan joutua maksamaan korvauksia niille rekisteröidyille, joille on aiheutunut vahinkoa asetuksen rikkomisesta. Toisaalta tietosuojaa kehittämällä voidaan positiivisen yrityskuvan lisäksi parantaa organisaation tietoturvan tasoa yleisemminkin ja siten pienentää liiketoiminnan riskejä. Ylimmän johdon onkin niin uhkien kuin mahdollisuuksien vuoksi syytä tiedostaa lainsäädännön muutos ja sen vaikutus organisaation toimintaan, sekä lähteä aktiivisesti viemään tietosuojan kehittämistä eteenpäin.

The post EU:n tietosuoja-asetus tulee olla johtoryhmän agendalla appeared first on Tikkasec Oy.