Tikkasec tarjoaa tietosuojan ja tietoturvan kehittämiseen liittyviä palveluita asiakkaan tarpeiden pohjalta.
Tietosuojan kehittämisprojekti
Tietosuojan kehittämisprojekti toteutetaan usein työpajoina asiakkaan luona.
Tarjoamme tietosuojan kehittämisprojektillenne työkaluja tueksi
Tietosuojan kehittämishanke etenee nopeasti tietosuojatyökalun avulla!
Tietoturvan ja tietosuojan kehittäminen
EU:n yleistä tietosuoja-asetusta on sovellettu toukokuusta 2018 alkaen. Osoitusvelvollisuus on yksi tietosuoja-asetuksen oleellisimpia muutoksia. Enää ei riitä, että lakia noudatetaan, vaan se pitää pystyä myös osoittamaan. Mikäli tietosuoja-asetusta ei noudateta, voi valvontaviranomainen määrätä erilaisia sanktioita, kuten henkilötietojen käsittelyn keskeyttämistä, tai vakavissa tapauksissa myös hallinnollisia sakkoja. Organisaatioiden onkin syytä ottaa tietosuoja-asetuksen vaatimukset vakavasti.
Tyypillinen tietosuojan kehittämisprojekti sisältää seuraavat päävaiheet:
Nykytilan kartoitus ja tietoinventaario
Nykytilan kartoitus ja tietoinventaario on lähtökohta tietosuojan kehittämiselle.
Tietoinventaariossa tarkastellaan tiedon elinkaaren kautta mm. mitä ja miten henkilötietoja kerätään, tallennetaan, käsitellään ja tuhotaan organisaation toiminnassa. Mitä tietojärjestelmiä henkilötietojen käsittelyyn käytetään, huomioiden myös manuaalisen järjestelmät, kuten mappiarkistot. Kuinka on huolehdittu henkilötietojen turvallisesta käsittelystä, niin järjestelmien, kuin tiedon käsittelijöiden, eli ihmisten näkökulmasta.
Riskien arviointi & toimenpidesuunnitelma
Riskien arviointi on pakollinen vaihe ennen varsinaisiin kehittämistoimenpiteisiin ryhtymistä. Tietosuoja-asetuksen myötä henkilötietojen käsittelyyn liittyvät suojaustoimenpiteet tulee valita riskilähtöisesti. Laitetaan siis paukkuja sinne, missä ne on tarpeen.
Riskianalyysin pohjalta saadaan organisaatiolle luotua toimenpidesuunnitelma. Toimenpidesuunnitelmassa huomioidaan tarpeelliset muutokset niin henkilötietojen käsittelyn prosesseissa, kuin järjestelmissäkin.
Sopimusten tarkistaminen
Sopimusten tarkistaminen henkilötietojen käsittelijöiden kanssa on oleellinen osa kehittämisprojektin toimenpiteitä. Rekisterinpitäjän tulee varmistaa henkilötietojen käsittelyä toteuttavien sopimuskumppaneidensa kyky huolehtia tietosuojasta. Asetus määrää myös tiettyjä pakollisia asioita sopimukseen, kuten salassapidosta sopimisen. Usein onkin tarpeen käydä sopimusneuvotteluja esimerkiksi uusien henkilötietojen käsittelyn sopimusliitteiden lisäämiseksi nykyisiin sopimuksiin, tai vaihtoehtoisesti neuvotella kokonaan uudet sopimukset.
Dokumentointi
Osoitusvelvollisuuden vuoksi tulee laatia useita uusiakin dokumentteja. Henkilötietojen käsittelyn prosessit ja järjestelmät tulee dokumentoida, sekä laatia tietosuojaselosteet eri henkilörekistereille. Lisäksi tulee huolehtia siitä, että henkilötietojen käsittelystä on laadittu tarvittava ohjeistus ja mm. henkilöstö koulutettu uusien ohjeistuksien pohjalta.
Osana tietosuojan kehittämisprojektia saatte kauttamme tukea tietosuojan kehittämiseen mm. työpajatyöskentelyn muodossa.
Toteuttamiamme työpajoja ovat mm. tietoinventaarion työpaja, jossa käydään läpi organisaation henkilötietojen käsittelyn prosessit ja järjestelmät. Tämän jälkeen voidaan toteuttaa yhdessä riskianalyysin työpaja, jossa henkilötietojen käsittelyyn liittyviä riskejä arvioidaan, ja tunnistetaan tarpeellisia riskien käsittelyn toimenpiteitä. Näiden vaiheiden pohjalta päästäänkin tietosuojan kehittämisprojektissa varsinaiseen toteutusvaiheeseen.
Onko tietosuojan kehittäminen ajankohtaista?
Tietosuojan kehittäminen myGDPR-palvelun avulla
Tikkasec tarjoaa käyttöönne Citruksen myGDPR-palvelun, jonka avulla tietosuojan kehittämishanketta voidaan viedä tehokkaasti eteenpäin. Palvelun avulla saatte jopa kymmeniä eri mallidokumentteja käyttöönne tukemaan pakollista dokumentointityötä.
myGDPR-palvelun hyötyjä:
Lähtötietoselvitys
myGDPR-palvelun avulla selvitätte nopeasti organisaationne nykytilan suhteessa muuttuneeseen lainsäädäntöön.
Tehtävälista
Konkreettinen tehtävälista sisältää selkeitä ohjeita tietosuoja-asetuksen velvoitteiden suorittamiseksi.
Mallidokumentit
Saatte myGDPR-palvelun avulla luotua nopeasti jopa kymmeniä erilaista tietosuoja-asetuksen vaatimia dokumentteja, joiden pohjalta voitte tehokkaasti täyttää asetuksen osoitusvelvollisuutta.
Ylläpito
Dokumenttien ja tehtävien vastuuttaminen, ylläpito ja auditointi on tehty myGDPR-palvelussa helpoksi. Voitte lisätä joustavasti uusia käyttäjiä myGDPR-palveluun ja sen jälkeen vastuuttaa ja aikatauluttaa heille kuuluvat tehtävät palvelun avulla. Sitä kautta tietosuojaprojektin seuranta tehostuu ja tulee läpinäkyvämmäksi organisaation sisällä.
Dokumentointi ja rekisterit
Tietosuojatoimenpiteinä myGDPR-palvelussa voidaan mm. tehdä prosessien ja järjestelmien osalta oleellisten tietosuojaan liittyvien osa-alueiden dokumentointi. Lisäksi voidaan pitää yllä tietosuoja-asetuksen vaatimia tietoturvaloukkausten sekä rekisteröityjen tietopyyntöjen rekistereitä.
Tietotilinpäätös
myGDPR-palvelun avulla saatte tietotilinpäätöksen, joka on tietosuojavaltuutetun suosittelema tapa osoittaa tietosuojan toteutuminen organisaatiossanne. Tietotilinpäätöstä voidaan hyödyntää laajemminkin liiketoiminnan kehittämisessä.