AJANKOHTAISTA

27.4.2018

GDPR siirtymäaika umpeutuu - mitä seuraavaksi?

Nyt kun EU:n tietosuoja-asetuksen (GDPR) siirtymäajan takaraja on enää kuukauden päässä, pitää organisaatioiden olla valmiita ottamaan GDPR osaksi päivittäistä toimintaansa. Työkaluamme kehitetään jatkuvasti tukemaan myös ”takarajan jälkeistä elämää”. Olemme valmistautuneet tukemaan asiakkaitamme myös toukokuun jälkeen lisäämällä joitain uusia ominaisuuksia.

Tekemiämme parannuksia ovat:

  • Organisaation henkilörekisterit: Tänne voidaan vaivatta kirjata yhteen paikkaan mitä henkilötietoja sisältäviä rekisterejä organisaatiolla on käytössä. Näiden kirjaaminen helpottaa reagoimaan rekisteröidyn mahdollisesti esittämiin pyyntöihin.
  • Tietosuojaloki: GDPR edellyttää kykyä osoittaa kuinka rekisteröidyn esittämiin pyyntöihin on vastattu organisaatioissa. Tämä lisätyökalu mahdollistaa sekä rekisteröityjen pyyntöjen dokumentoinnin ja myös tietosuojarikkeiden kirjauksen.

Nämä uudet ominaisuudet luonnollisesti ilman eri veloitusta.

8.4.2018

Dig1 GDPR Online Assessment Tool – matalan kynnyksen GDPR-työkalu

Pelkästään se, että Dig1 GDPR Online Assessment Tool pääsi mukaan Petteri Järvisen tekemään GDPR-työkaluvertailuun huhtikuun TIVI:ssä, sai hyvälle mielelle. Puhumattakaan siitä, että se menestyi mukavasti, ollen toisella sijalla ihan kovassa seurassa. Olimme lisäksi vertailun kirkkaasti edullisin vaihtoehto.

"Todella matala aloituskynnys pienelle yritykselle"

Järvinen löysi rautaisena ammattilaisena nopeasti vertailussa ohjelmistomme keskeisen filosofian: Se tuotiin markkinoille ennen kaikkea pienille ja keskisuurille yrityksille madaltamaan GDPR-selvityksen aloittamisen kynnystä. Hän kritisoi lähinnä sovelluksen kysymysten mekaanisuutta ja toistuvuutta. Oikeutetustikin, mutta onneksi useat kysymykset voi ohittaa vastaamalla, ettei ko. järjestelmää ole organisaation käytössä. Koska sovelluksemme keskeisenä ajatuksena on ohjata näillä kysymyksillä organisaatioiden vastuuhenkilöitä (joilla ei välttämättä ole IT-osaamista) löytämään kovinkin erilaisia henkilörekistereitä, niin kysymysten toistuvuus ja mekaanisuus on ehkä osittain ”välttämätön paha”.

Olemme ketteränä toimijana tarkentaneet ohjeistusta myös Järvisen kommentoimien epäkohtien osalta. Ja korjanneet yhden logiikkavirheen.

Testin tekemisen jälkeen olemme muute lisänneet Dig1 GDPR Online Assessment Tool: iin tärkeän osion, jolla organisaatiot voivat dokumentoida käytössään olevia henkilörekistereitä tarkemmalla tasolla. Lisäksi seuraavien päivien aikana lisätään osio rekisteröidyn tekemien pyyntöjen kirjaamiseen, joka muuten on kaikkien organisaatioiden pakollinen tehtävä.

Työkalulla voi siis tehdä nopean kertaluonteisen analyysin oman organisaation osalta tuon 14-päivän koekäyttöjakson aikana, kuten Järvinen mainitsee, mutta lisäarvo saadaan sovelluksen pidempiaikaisesta käytöstä, kun asioita laitetaan kuntoon, dokumentoidaan ja erilaiset pyynnöt rekisteröidään. Kiitos Petteri Järviselle ja TIVI:lle. Saadaan tästä puhtia tehdä sovelluksesta entistäkin parempi!

18.3.2018

Pitäkää kirjaa käytössänne olevista henkilörekistereistä

Dig1 GDPR Online Assesment Tool sai uuden ominaisuuden! Nyt asiakkaamme voivat listata kaikki henkilötietorekisterinsä Suoraan Dig1 Online Assessment Toolissa. Tämä on tärkeä ominaisuus jatkuvuuden kannalta. Organisaation tulee tietää koko ajan, missä se käsittelee henkilötietoja.

Testaa itse ilmaisella 14 päivänkokeiluversiolla!

19.2.2018

Osoitusvelvollisuus

Henkilötietojen käsittelyä koskevien periaatteiden mukaisesti niitä on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”).
  • Ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”)
  • henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”)
  • henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”)
  • Ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.(”säilytyksen rajoittaminen”);
  • Niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että edellä mainittuja vaatimuksia on noudatettu.

Organisaation on siksi syytä varmistaa, että:

  1. Henkilötietojen käsittely on suunniteltua, dokumentoitua ja ohjeistettua
  2. Henkilötietojen käsittelyyn liittyvät toimet, kuten rekisteröityjen esittämät pyynnöt, koulutuksien osallistujalistat ja viestintä on dokumentoitu
  3. Henkilötietojen käsittelyyn liittyvät sopimukset ovat päivitetty
  4. Rekisteröityjen (esim asiakkaat ja työntekijät) informointi aina heidän tietosuojaa koskevissa asioissa
  5. Tietosuojaselosteet ovat kunnossa.

31.1.2018

Lisäämme asiakkaillemme GDPR-valmistautumista helpottavia työkaluja. Tänään on työkaluun lisätty dokumenttipohja "Toimintasuunnitelma tietosuojaloukkauksen tapahtuessa", jossa kerrotaan mitkä roolit ja toiminnot on syytä suunnitella ja dokumentoida etukäteen.

GDPR - Sananen sanktioista

17.1.2018

Käsi pystyyyn, jos olet nähnyt esityksen GDPR:stä, jossa ei mainita sanktiota, joka voi olla 4% globaalista liikevaihdosta! Usein tätä ei kukaan avaa sen tarkemmin, joten tässä tietosuojavaltuutettu Reijo Aarnion 11 kriteerin listaus millä perusteilla tulee viranomainen päättämään sanktioiden määräämisestä ja niiden määrästä:

1. Rikkomisen luonne, vakavuus ja kesto, kyseisen tietojen käsittelyn luonne, laajuus ja tarkoitus huomioon ottaen sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa ja heille aiheutuneen vahingon suuruus.

2. Rikkomuksen tahallisuus tai tuottamuksellisuus

3. Toimet rekisteröidylle aiheutuneen haitan lieventämiseksi

4. Vastuun aste, ottaen huomioon 25 (Sisäänrakennettu ja oletusarvoinen tietosuoja) ja 32 (Tietosuojaa koskeva vaikutustenarviointi) artiklan nojalla toteutut tekniset ja organisatooriset toimenpiteet

5. Aiemmat vstaavat rikkomiset

6. Yhteistyö valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja haittavaikutusten lieventämiseksi

7. Henkilötietoryhmät, joihin rikkominen vaikuttaa

8. Tapa, jolla rikkominen tuli valvontaviranomaisten tietoon. Ilmoittiko rekisterinpitäjä ja käsittelijä ja missä laajuudessa.

9. Onko määrätty aiemmin muita 58.2 (valvontaviranomaisen korjaavat toimivaltuudet) artiklassa tarkoitettuja toimenpiteitä? Onko määräyksiä noudatettu?

10. Käytännesääntöjen ja sertifikaattien noudattaminen

11. Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edit tai rkkomisella vältetyt tappiot.

Muistilista mielestäni tärkeistä asioista:

1. Dokumentointi – Dokumentoikaa käytössänne olevat henkilörekisterit, ohjeistakaa niitä käyttävät henkilöt kirjallisin ohjein, katselmoikaa suostumusten keräämistavat ja tehkää Tietosuojaa koskeva vaikutustenarviointi (DPIA)

2. Sopimukset – käykää läpi sopimukset. Onko niissä GDPR:ää tukevat lausekkeet (käytä dokumenttipohjaa Dig1 GDPR Online Assessment työkalusta, jos olet asiakas)

3. Laatikaa kriisisuunnitelma tietosuojarikkeen varalle (malli tulossa Dig1 GDPR Online Assessment työkaluun lähipäivinä). Tämä on erittäin tärkeää (Aarnion lista #8)

4. Kouluttakaa henkilöstö ja johto

GDPR: Tuskin meidän organisaatiomme tietoja kukaan……

Onko organisaatiossanne mietitty minkälaisia tietosuojaloukkausuhkia saattaa kohdistua henkilötietoihin, joita käsittelette tai omistatte? Uskon että on mietitty, mutta oletteko myös dokumentoineet toimintasuunnitelman sellaisen varalle?

Itse sain ”herätyksen” aiheeseen kun osallistuin viime syksyn aikana tietoturvakurssille, jossa yksi jakso käsitteli maineenhallinta ja kriisiviestintää digitaalisessa ympäristössä. Kahden päivän vetovastuu oli Tekir Oy:n (http://tekir.fi/) Harri Saukkomaalla. Olipahan mukaansa tempaava kokonaisuus, joka nosti viestinnän tärkeyden vahvasti omalle agendalleni.

Tämän kurssin ansiosta olen jokaiselle asiakkaalle painottanut GDPR-asioiden yhteydessä, että yksi tärkeimmistä asioista GDPR-valmiuksia läpikäydessä on luoda kriisisuunnitelma tietosuojalaukkauksen varalle. Tämä ei siis poista tarvetta luoda vastaavia esim. murto-, palo- tai luonnon katastrofien varalle, mutta täydentää niitä.

Suosittelen siis GDPR-projektireppuun siis seuraavia asioita:

Määritelkää ennakolta vastuuhenkilöt ja heidän varahenkilöt tietoturvaloukkauksen varalta. Rooleja on mm:

  • Kriisitiimin johtaja
  • Puhehenkilö
  • Ulkoisesta viestinnästä vastaava
  • Sisäisestä viestinnästä vastaava
  • Mediaseurannasta vastaava
  • Sosiaalisesta mediasta vastaava
  • IT- järjestelmistä vastaava. Huomatkaa, että tämä on vain osittain IT-ongelma.

Suunnitelman runko on syytä valmistella ennen mahdollista tietoturvaloukkausta, jotta vältetään kiireessä ja paineen alla tehtäviä virheitä.

Miettikää kriisitilanteen aktiviteetit ja viestinnän keinot jo etukäteen, esimerkiksi:

  • Kuka kutsuu koolle aloituspalaverin, jossa kaikille käydään läpi kaikki tiedossa oleva
  • Kuka laatii jarrulausunnon
  • Asiakastiedotus
  • Ohjeista asiakaspalvelu
  • Ohjeista henkilökunta
  • Julkinen viestintä
  • Viestintä sosiaalisessa mediassa
  • Tiedotus viranomaisille

Harjoitelkaa eri tilanteita, jos mahdollista!!!!

Tässä asiaan vain pintapuolinen raapaisu, mutta fakta on, että huonolla viestinnällä voi menettää organisaation maineen todella nopeasti!