Aleksi Pulkkanen

Digiturvamalli-perustaja. Ohjelmistoja ja ohjeistusta digiturvan kehittämiseen.
23/10/2018
4
minuuttia luettavaa

Tietosuojamallin pääkäyttäjäkatsaus 10/2018: Tietosuojaviranomaiset heräilemässä. Tietosuojamalliin uusi Toteutus-osio.

Syysterveiset Tietosuojamallin tiimistä! Tässä kirjoituksessa pääkäyttäjille suunnattu kooste tuoreista tietosuojauutisista sekä Tietosuojamallin kehityksestä. Jatkossa tarjoilemme katsauksen joka kuukausi sekä webinarina että blogikirjoituksena.

Ilmoittaudu seuraavaan pääkäyttäjäwebinariin >>

Ajankohtaista

Tietosuojauutisointi, ja ehkä vähän tietosuojatyökin organisaatioissa, koki lyhyen suvantovaiheen viime kevään jälkeen. Viranomaisista ei juuri kuulunut, ihmiset eivät yhtäkkiä alkaneetkaan massoittain käyttää oikeuksiaan, eikä maailma muutenkaan päättynyt. Millä tasolla organisaatioiden tietosuoja, tai laajemmin nähtynä digilaatu, nyt sitten oikein on?

Digilaatu = Tietosuoja x IT-hallinta x Tietoturva

Viime aikoina tietosuojaviranomaiset ovat selvästi saaneet operaatioitaan käyntiin. Olemme voineet lukea uutisia ensimmäisten tuomioiden lähestymisestä Ruotsissa, GDPR-tarkastusten alkamisesta Suomessa sekä useista laajoista tietovuodoista. Suvantovaiheen syistä mm. Reijo Aarnio kertoi Kuntatalolla Kyberpäivät-tapahtumassa: GDPR on ollut isosti uuden opettelua myös viranomaisille ja yhteisten toimintatapojen löytäminen EU-tasolla halutaan tehdä huolella.

Valvonta siis varmasti alkaa. Näitä ensimmäisiä uutisia luettaessa on hyvä huomioida, että huomio kohdistuu pääosin tietoturvaloukkauksia kokeneisiin tahoihin, vaikka osoitusvelvollisuus tietenkin koskee kaikkia organisaatioita. Tietosuojavaltuutetun toimisto raportoi vastaanottaneensa 1300 ilmoitusta tietoturvaloukkauksista viimeisen 3 kuukauden aikana! Kyberpäivien esityksessään tietosuojavaltuutettu korosti loukkauksista ilmoittamisen tärkeyttä, jotta kokonaisymmärrystä tietosuojan nykytasosta syntyisi. Tässä eivät siis varmasti ole läheskään kaikki oikeasti tapahtuneet loukkaukset. Määristä voidaan huomata, että tietovuodoissa ei todellakaan ole kyse vain Facebookeista ja Googleista, vaikkakin ne valtaavat aina isoimmat palstatilat.

Suomessa 1300 ilmoitettua tietoturvaloukkausta viimeisen 3 kuukauden aikana - Digilaatu on turhan usein heikolla tasolla.

Määristä päätellen digilaatu on liian usein huonolla tasolla. Yksi suurimmista ongelmista on mielestämme se, että tietosuoja on organisaatioissa eristetty omaan tyhjiöönsä, eikä yhteispeliä IT-hallinnan ja tietoturvan kanssa synny. Tietosuojasta vastaavat jäävät yksin muodostamaan dokumentteja, joilla voidaan taklata hallinnollisia näkökulmia, mutta ei lopulta parantaa digilaatua. Puhumme korostetusti digilaadusta, tarkoittaen tietosuojaa, IT-hallintaa ja tietoturvaa. Jokaiselle organisaatiolle tärkeitä teemoja, joita on johdettava kokonaisuutena. Jos näistä pilareista yksi pettää, muutkin pettävät.

Tietosuojamallilla haluamme tietenkin auttaa teitä osoitusvelvollisuuden täyttämisessä ja digilaadun parantamisessa. Olemme paiskineet viime aikoina töitä sen eteen, että toimintamalli tietosuojan toteuttamiseen (ei ainoastaan dokumentoimiseen) olisi helpompaa muodostaa. Samalla syntyy syvällisempää dokumentaatiota osoitusvelvollisuuden täyttämiseksi. Meidän on pystyttävä näyttämään, mitä olemme tehneet tietosuojan eteen, ei ainoastaan mitä kerran ennen GDPR:n voimaantuloa kirjasimme paperille. Samalla emme aio unohtaa sitä, että aikaa on rajallisesti - digilaadun parissa tehtävät toimet on saatava tehtyä mahdollisimman tehokkaasti.

Loppupostaus tiivistää tekemämme uudet jutut Tietosuojamallin parissa. Kysyäksesi mistä tahansa tarkemmin, tavoitat meidät chatissa työkalun "Chat-tuki" -painikkeen kautta, perinteisesti sähköpostitse tai vaikkapa Twitteristä!

Uusimmat parannukset Tietosuojamallissa

Toteutus-osio auttaa luomaan teille sopivan toimintamallin digilaadun toteuttamiseen

Tietosuojamallin vasemmasta valikosta löydätte nyt kohdan "Toteutus". Olemme aloittaneet toteutustyökalujen kirjaston luomisen, jota tullaan laajentamaan jatkuvasti. Kun dokumentaatiossa kuvataan omaa digiympäristöä, toteutustyökalujen avulla ylläpidetään kuvauksia, analysoidaan toimintaa sekä tehdään toimintaa kehittäviä toimenpiteitä.

Toteutuskirjastosta löydätte toistaisesti seuraavat työkalut:

Ohjaustehtävät - Ohjaustehtävien avulla omaa dokumentaatiota ja toimintaa valvotaan ja ylläpidetään. Kohdistaakaa tehtävät niille henkilöille, joilla tieto on, ja osoitusvelvollisuutta täyttävää lokia syntyy kuin tehokkaasti.
Lue tarkemmin Akatemiasta >>

Tietosuojaselosteet - Tietosuojaviestinnän ei tule olla juridista selittelyä, vaan selkeää asiaa. Tietosuojamallissa tietosuojaselosteet voidaan koota suoraan dokumentaatioon tehtyjen vastausten kautta - aikaa säästäen ja laatua parantaen.
Lue tarkemmin Akatemiasta >>

Tietosuojapyynnöt - Ihmisillä on oikeus omiin tietoihinsa. Toiset pyrkivät tekemään näiden oikeuksien käytöstä mahdollisimman hankalaa, vaatien asiointia kirjeitse tai kasvotusten. Tietosuojamallin avulla voit tarjota tässäkin hyvän palvelukokemuksen.
Lue tarkemmin Akatemiasta >>

Tietoturvaloukkausten käsittely - Tietoturvaloukkauksia tapahtuu kaikille ennemmin tai myöhemmin. Tietosuoja-asetus vaatii näiden loukkausten, ja niistä seuranneiden toimenpiteiden, dokumentointia. Tietosuojamallilla tämä onnistuu tehokkaasti.
Lue tarkemmin Akatemiasta >>

Verkkokoulutus - Henkilöstön osaaminen on yksi hyvän digilaadun avaintekijöistä. Tietosuojamallin avulla kutsut halutut työntekijät valituille verkkokursseille, joiden suorituksia seurataan uskottavasti. Kurssitarjontaa laajennetaan jatkuvasti.
Lue tarkemmin Akatemiasta >>

Tulemme jatkossa laajentamaan toteutuspuolta jatkuvasti. Kerro meille vaikka suoraan chatin kautta, mitkä asiat ovat teille kaikkein tärkeimpiä!

Tietosuoja ei elä tyhjiössä, vaan yhdessä IT-hallinnan ja tietoturvan kanssa

Haluamme rohkaista jokaista organisaatiota näkemään tietosuojan, IT-hallinnan sekä tietoturvan teemoina, jotka vaativat yhteistyöstä sekä johtamista kokonaisuutena. Tätä selkeyttääksemme jaottelimme dokumentaation näiden mukaisesti.

Tietosuojamallin uudistettu työpöytä antaa pikakatsauksen eri digilaadun osa-alueiden tilaan:

Kaikki aiemmin lisätty sisältö toimii ja on käytettävissä edelleen aivan samalla tavalla.

Seuraavat kohdat ovat uusimmat lisäykset Tietosuojamallin dokumentaatiopuolella:

Oikeutetut edut - Perustaessaan henkilötietojen käsittelyn oikeutettuun etuun, rekisterinpitäjän on analysoitava oman oikeutetun etunsa suhdetta rekisteröityjen oikeuksiin ja vapauksiin.
Lue tarkemmin Akatemiasta >>

Suojausjärjestelmät - Suojausjärjestelmät ovat teknisiä systeemejä, joilla pyritään nimenomaisesti parantamaan omaa tietoturvatasoa.
Lue tarkemmin Akatemiasta >>

Tietosuojakäytännöt - Tietosuojakäytännöt ovat organisaation päättämiä toimintatapoja, joiden avulla kehitetään henkilötietojen käsittelyn turvallisuutta.
Lue tarkemmin Akatemiasta >>

Lisäksi Tietoturvaloukkaukset-kohta on uusittu, mutta tämä käsitellään nykyään pääosion Toteutus-puolen kautta.

Jatkossa tulemme tuomaan hallittuja lisäyksiä dokumentaatioon etenkin IT-hallinnan sekä tietoturvan puolella, seuraten säätelyn kehittymistä ja asikkaidemme tarpeita.

Pienemmät tekniset kehitysasiat

Olemme lisäksi tehneet muutamia pienempiä parannuksia asiakkaiden toiveiden perusteella, joilla on tarkoitus tehdä Tietosuojamallin käyttämisestä sujuvampaa ja helpompaa.

Laajennamme tietosuojakirjastoa jatkuvasti. Olemme tuoneet mukaan lisää ehdotuksia useisiin kohtiin sekä aloittaneet toimialakohtaisten tietosuojakirjastojen rakentamisen. Käytä ehdotuksia testataksesi ja vauhdittaaksesi omaa dokumentaatiotanne sekä bongataksesi asioita, jotka ovat relevantteja mutta jääneet huomiotta.

Loimme sivuvalikon auttamaan navigointia Tietosuojamallissa. Valikon avulla sinun on helpompi käsittää, missä kohdin dokumentaatiota milloinkin liikutaan.

Rekisterit saivat oman yhteenvetosivun, joka listaa rekistereihin liittyviä tietoja yhdessä näkymässä, joita mm. tietosuojaselosteeseen tulee julkaista.

Webinar pääkäyttäjille jatkossa kuukausittain

Palvemme jatkossa myös kuukausittaisen pääkäyttäjäkatsauksen avulla. Saatte joka kuukausi sekä blogikoosteen että kutsun 45min webinariin, jossa käymme hieman pidemmin ajantasaiset asiat lävitse.

Suosittelemme ehdottomasti ilmoittautumista webinareihin, jotka voitte myös katsoa jälkikäteen tallenteena. Tallennetta voi myös vapaasti jakaa oman organisaation sisällä, jos haluatte jakaa tietoa esim. muulle tietosuojan parissa toimivalle tiimille.

Katso Tietosuojamallin tulevat webinarit >>

Kysyttävää, kommentteja?

Otamme erittäin mielellään kaiken palautteen vastaan. Kommentoidaksesi tai kysyäksesi mistä tahansa asiasta tarkemmin, tavoitat meidät tämänkin sivuston alakulman chatista, perinteisesti sähköpostitse tai vaikkapa Twitteristä!

Keskustelua