computer-3233754_1280.jpg

Hei, miten menee GDPR? – Ensimmäinen vuosi takana!

EU:n tietosuoja-asetus herätti suuria tunteita ja paljon turhaakin pelottelua viime vuonna tai oikeastaan jo vuosi ennen asetuksen voimaan astumista. Ainakin konsultit ja tietoturva-asiantuntijat saivat asian näyttämään suurelta möröltä, vaikka lopulta kyseessä olivatkin aika yksinkertaiset asiat noin yleisellä tasolla puhuttaessa. Tietosuoja-asetushan on luotu parantamaan EU:n kilpailukykyä, ei haittaamaan sitä. Tietosuojan kehittämisen tarve on huomattu myös useissa EU:n ulkopuolisissa valtioissa, joissa on nähty tarve lähteä kehittämään tietosuojaa eurooppalaiseen suuntaan.

marius-niveri-1593206-unsplash.jpg

Tietosuoja-asetuksen voimaan astumisen jälkeen moni odotti valtavaa kyselyiden tsunamia, mutta valtaosassa yrityksiä aalto jäi hyvin vaimeaksi, jopa mökkirannan matalien aaltojen liplatukseksi. Toisaalta tietosuojavaltuutetun toimisto on vastaanottanut kasvavan määrän ilmoituksia tietoturvaloukkauksista, mikä kertoo karua kieltä siitä, ettei kukaan ole turvassa tietomurroilta ja tietojen kalastelun riskeiltä.

GDPR:n vaatimuksia sovellettaessa on aina otettava huomioon yrityksen toimiala sekä se, toimiiko yritys pääsääntöisesti B2B- vai B2C-segmentissä. Olennaista on se, miten ja millaista tietoa liiketoiminnassa kerätään ja käsitellään.

gdpr-3438468__480.jpg

On erittäin hyvä asia, että tietosuoja on otettu vakavasti, ja että siitä on tullut osa yritysten arkipäiväistä toimintaa. Lähtökohtaisesti asetuksen vaatimukset tulee huomioida kaikessa toiminnan suunnittelussa – näin lunastetaan sekä asiakkaiden että oman henkilöstön luottamus. Suunniteltaessa tiedonkäsittelyn ja liiketoiminnan uusia prosesseja Privacy by Design on uusi normaali.

Tietosuoja-asioissa pienillä, päivittäisillä asioilla on suuri merkitys. Henkilökuntaa on tärkeää kouluttaa ja muistuttaa tietosuojan perusasioista säännöllisesti. Suurin tietoturvariski on aina ihmisen huolimaton, osaamaton tai ajattelematon toiminta.

Tietosuojan tasoa voidaan myös korottaa teknisillä välineillä ja toimintatavoilla. Tällaisia asioita voivat olla vaikkapa tietoturvasuojien käyttäminen tietokoneen näytöissä, korkean turvaluokituksen saaneiden paperisilppurien käyttäminen toimistotiloissa sekä työntekijöiden ohjaaminen käyttämään riittävän vahvoja salasanoja käyttäjätunnuksissaan ja lukitsemaan työasemansa aina työpisteeltään poistuessaan.

Tietosuojan ja henkilötietojen käsittelytapojen kehittäminen on jatkuva prosessi. Se on ennen kaikkea uusi tapa toimia, ja koko organisaatio on saatava siihen mukaan.

Pasi.png

 

 

Pasi Vesterinen

IS MANAGER