Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
Tietosuojamallin kehityskuulumisia 10/2017

Terveiset hyisiin loppusyksyn keleihin Tietosuojamallin tiimistä! Tässä postauksessa tärkeimpiä kehitysjuttuja syys- ja lokakuun varrelta. 

Tietosuojamallin sisällössä olemme kehittäneet etenkin riskienhallinnallista näkökulmaa, joka Tietosuojamallissa korostuu sekä tiettyjen esille nostettujen avainprosessien (esim. pääsyoikeudet, varmuuskopiointi), avainasioiden riskitasojen arvioinnin sekä vaikutustenarviointien kautta. Riskienhallinta on avainosassa tietosuojatyössä ja vieläkin varmasti hommaa riittää.

Lisäksi olemme tuoneet taas mukaan teknisiä uudistuksia sekä parannuksia tukitapoihin. Alla lyhyet koosteet tärkeimmistä jutuista.

P.s. Tässä kuvatut päivitykset tulevat pienellä viiveellä mukaan nykyisten Tietosuojamalli-käyttäjien tileihin.

Kysyäksesi tarkemmin, tavoitat meidät suoraan tai mm. Facebookista ja Twitteristä!

Tietosuojamallin sisällön kehittäminen

Kattavampi riskienhallinta

Hyvän tietosuojan rakentamisessa riskienhallinta on ytimessä. Olemme nostaneet Tietosuojamallissa esille yleisiä prosesseja, joilla voidaan henkilötietojen käsittelyn turvallisuutta parantaa. Vaikutustenarvioinnit ovat puolestaan tapa tehdä syvempää riskianalyysiä rajautuen vaikkapa tiettyyn käsittelytilanteeseen tai tietojärjestelmään.

Tietosuojamalli nostaa esille riskienhallinta-kategoriassa mm. pääsyoikeusroolit, tunnistautumistavat, jne. Nämä ovat asioita, joiden puutteellisesta hoitamisesta tietosuojariskien realisoituminen voi useasti johtua. Monesti nämä asiat jäävät turhan vähälle huomiolle, kun GDPR ei suoraa huomiota näihin kiinnitä niin paljoa artikloissaan.

Perinteiseen tyyliin jokainen näistä käsitellään Tietosuojamallin pohjakysymysten avulla ja linkitetään relevantteihin muihin osioihin. Luo siis esim. pääsyoikeusrooli kerran ja linkitä se jokaiseen järjestelmään, johon tämä rooli oikeuttaa pääsyn.

Tietosuojamalli auttaa lisäksi toteuttamaan ja dokumentoimaan vaikutustenarvioinnit sekä niiden avaintulokset. 

Tietosuojamallissa vaikutustenarviointi:

  • Arviointi linkitetään johonkin avaintietoon (esim. järjestelmä, käsittelytilanne)
  • Synnyttää tähän avaintietoon liittyviä riskejä
  • Riskiin linkitetään sitä hallitsevia toimenpiteitä

Vaikutustenarvioinnin avulla tulisi pystyä arvioimaan riskien vakavuutta ja tämän hyväksyttävyyttä. Mikäli riski on hyväksymättömällä tasolla, lisää turvallisuustoimenpiteitä tarvitaan, jotka esimerkiksi pienentävät vaikutuksia tai todennäköisyyttä.

Käsittelytilanteet tuovat dokumentaatioon konkretiaa

Henkilötietojen käsittelyn nykytilan kartoittaminen alkaa listaamalla tietojärjestelmiä, kumppaneita sekä rekistereitä. Käsittelytilanteet ovat kuitenkin se tapa, jolla hommaan saadaan konkretiaa! 

Esimerkiksi laskun lähettäminen voi olla yksi monista asiakasrekisteriin liittyvistä käsittelytilanteista, joka synnyttää omat tietovirtansa (omat järjestelmät, kumppanit, jne.) ja johon on selkeää kohdistaa tietty käsittelyn oikeusperuste (esim. sopimuksen olemassaolo). Uutiskirjeen lähettäminen voi liittyä samaan rekisteriin, mutta olla kaikin puolin erilainen käsittelytilanne.

Ymmärrystä henkilötietojen käsittelystä syntyy, kun sitä käydään läpi käsittelytilannetasolla, eikä huidella pelkästään rekisteritasolla ja ylätasoisten tietosuojaselosteiden parissa. Siksi olemme halunneet nostaa käsittelytilanteet selkeästi esiin Tietosuojamallissa.

Ulkoisten tietojen ja piilotietojen selvempi käsittely

Iso osa henkilötiedoistamme ei sijaitse fiksuissa tietojärjestelmissä. Tietojammeon paperiarkistoissa, paikallisissa Excel-tiedostoissa, tekstinä intranetissä, ja niin edelleen. Kutsumme näitä tietoja Tietosuojamallissa piilotiedoiksi.

Piilotietojen hyödyntämistä ei tule nähdä pelkästään pahana asiana, mutta usein tällaiselta käsittelyltä puuttuvat monet turvallisen henkilötietojen käsittelyn perusasiat, kuten kattavat lokit tai vaikkapa fiksu pääsynhallinta sekä varmuuskopiointi.

Joskus organisaatiomme myös käsittelee muiden omistamia henkilötietoja oman toimintamme toteuttamiseksi. Kutsumme näitä tietoja Tietosuojamallissa ulkoisiksi tiedoiksi.

Ulkoiset henkilötiedot on dokumentoitava ja niiden käsittely tiedostettava. Ne kuitenkin kannattaa listata selvästi erillaan itse hallinnoiduista henkilötiedoista.

Raportointi v. 1.0

Tulemme aina mahdollistamaan sen, että Tietosuojamallista kaikki sinne syötetyt tiedot saa ulos milloin tahansa.

Otimme nyt ensimmäisen askeleen automatisoitua raportointia kohden. Klikkaamalla missä tahansa kohdassa "Näytä raportti" -painiketta, Tietosuojamalli tulostaa koosteen tähän asiaan liittyvistä tiedoista.

Tulemme kehittämään tätä puolta pidemmälle. Tavoitteemme on, että Tietosuojamallista saa helposti sekä työn etenemistä kuvaavat raportit sekä kokonaisuutta kuvaavan "tietotilinpäätöksen", joihin voi itse tehdä haluttuja täydennyksiä ja muokkauksia.

Tekniset parannukset

Nopeampi toiminta

Teimme paljon hommia, jotta saimme yksittäisten korttien ja kysymysten avautumisajan laskettua murto-osaan aiemmasta. Käyttönopeuden ja sujuvuuden parantaminen tulee aina olemaan meille tärkeää. Sivujen latautumisen nopeuttaminen on vuorossa seuraavaksi.

"Lataussalmiakki" näyttäytyy nykyään lyhyempiä pätkiä. Siitä oli yllättävän vaikea saada edes kuvakaappausta... Parantamista nopeudessa silti riittää.

Uudistettu työpöytä

Työpyötä jaottelee asiat nyt kategorioittain ja kertoo lisäksi värien avulla, minne sinun kannattaa kiinnittää huomiota:

  • Vihreä = Kaikki OK
  • Sininen = Työ käynnissä
  • Keltainen = Sisältöä on, mutta työtä ei ole aloitettu
  • Punainen = Ongelma (jotain myöhässä)
  • Harmaa = Ei sisältöä

"Lisää toimenpide" -toiminto

Voit missä tahansa vaiheessa tietosuojatyötä kohdata ajatuksen "Tämä meidän pitää selvittää yhdessä", "Tätä pitää kysyä kumppanilta" tai muita selkeitä toimenpiteitä, jotka pitäisi muistaa hoitaa, jotta henkilötietojen käsittely olisi kunnossa. 

Näitä varten Tietosuojamalli sisältää nyt "Lisää toimenpide" -toiminnon. Kun lisäät uuden tehtävän tätä kautta, se kiinnitetään tähän asiakokonaisuudeen ja voit saman tien asettaa esimerkiksi omistajan ja määräpäivän, jotta tehtävä ei jää roikkumaan.

"Merkitse valmiiksi" -toiminto

Jotta Tietosuojamallin käyttösi olisi taas askeleen sujuvampaa, käytä "Merkitse valmiiksi" -toimintoa, joka merkkaa kyseisen tehtävän valmiiksi ja vie sinut automaattisesti seuraavaan.

Tärkeyden määrittely

Jotta teidän olisi helpompaa kiinnittää huomioita kaikkein riskialttiimpiin järjestelmiin ja käsittelytilanteisiin, Tietosuojamalli sisältää nyt helpon tärkeysmäärittelyn. Klikkaa "Määritä tärkeys" asian kortilta.

Tämän määrittäminen vaatii taakseen analyysiä mm. mahdollisen tietovuodon vaikutukseista, todennäköisyydestä, käsittelystä riippuvuudesta, jne. Löydät tätä varten ohjeen Tietosuojaoppaasta suoraan Tietosuojamallin sisältä.

Tuen ja ohjeiden kehitys

Paketoidut valmennukset, joilla saat työtä eteenpäin

Osa käyttäjistämme käyttää Tietosuojamallia täysin tee-se-itse -palveluna, osa turvautuu paljonkin asiantuntija-apuun. Voit tutustua tarjoamiimme paketteihin Valmennus-sivulta.

Haluamme olla markkinoiden ketterin ja avoimin toimija myös valmennuspuolella, joten tarjoamme nämä läpinäkyvin sisällöin, hinnoin ja tyytyväisyystakuulla. Ole siis yhteydessä, jos tarvitset apua Tietosuojamallin hyödyntämiseen.

Ohje-ehdotukset eri sivuilla

Aina kun koet Tietosuojamallin parissa ihmetyksen hetken, kannattaa ensimmäisenä klikata oikealta "Avaa tietosuojaopas" -nappia. Näet heti ensimmäisenä "Ehdotukset" -tekstin alla juuri tähän sivuun liittyvät ohjeartikkelit, joista usein löytyy vastaus miettimääsi kysymykseen.

Kysyttävää, kommentoitavaa?

Seuraavaksi kehitysjonossamme on mm. kehittyneempi raportointi sekä tietosuojakirjasto, joka auttaa keräämään tarvittavia sisältöjä myös kumppaneilta. Tulemme myös mm. parantamaan Tietosuojamallin käytöstä kertyvien lokien näkymistä käyttäjälle ja jatkamaan käyttökokemuksen kehittämistä.

Haluamme ehdottomasti kuulla kaiken palautteesi - kehitysjutuista tai Tietosuojamallista yleisesti.

Kommentoidaksesi tarkemmin, tavoitat meidät suoraan tai mm. Facebookista ja Twitteristä!

Sisältö

Jaa artikkeli