Digiturvamalli jaottelee tärkeimmät digiturvaelementit tarkasti hiottuun rakenteeseen, jossa ne linkittyvät oikein toisiinsa ja raportointia voidaan automatisoida.
Osoitusvelvollisuus velvoittaa organisaatioita näyttämään, kuinka asetuksen vaatimukset täytetään. Tämä tekee dokumentaatiosta oleellisen osan tietosuojatyötä.
Esimerkkejä rekistereistä ovat mm. B2B-asiakasrekisteri, B2C-asiakasrekisteri, työntekijärekisteri, kumppanirekisteri tai markkinointirekisteri.
Henkilötietorekisteri on kokoelma samantyylisiin tarkoituksiin käytettyjä henkilötietoja, jotka voivat kuitenkin fyysisesti sijaita monissa eri paikoissa, muodoissa tai järjestelmissä.
Esimerkkejä tietojärjestelmistä ovat mm. CRM-, laskutus-, työajanseuranta-, uutiskirje-, analytiikka- tai kameravalvontajärjestelmät.
Tietojärjestelmien suhteen on oleellista tietää mm. kuka järjestelmää toimittaa, kuinka he toimivat tietosuojan suhteen, mitä henkilötietoja järjestelmä sisältää ja ketkä meiltä pääsevät tietoihin käsiksi.
Esimerkkejä työntekijöihin usein liittyvistä käyttötarkoituksista ovat mm. palkanmaksu, henkilöstöviestintä, työterveyden hoito, oikeus- ja pääsyhallinta sekä työaikaseuranta.
Jokainen henkilötietojen käyttötarkoitus vaatii oikeusperusteen, jotta toimimme laillisesti. Peruste voi olla mm. suostumus, sopimuksen tuottaminen, lakisääteinen velvoite tai oikeutettu etu.
Säilytyksen rajoittaminen on yksi laillisen henkilötietojen käsittelyn periaatteista, joiden toteutuminen pitää pystyä osoittamaan.
Henkilötietojen hävitysprosesseja voivat olla mm. automaattinen vuosittainen asiakaskannan siivous, passiivisten uutiskirjetilaajien poistaminen tai manuaalinen kampanjatietojen tuhoaminen.
Esimerkkejä tietolähteistä ovat mm. rekisteröity itse, kumppanit (esim. kirjanpitäjä), viranomaiset (esim. Verohallinto, Kela) tai verkkopalvelut (esim. LinkedIn tai Fonecta Finder).
Tietojen minimointi on yksi tärkeimmistä tietosuojaperiaatteista. Meidän on tiedettävä, mitä henkilötietoja hallussamme on, ja voitava osoittaa, että määrä vastaa käyttötarkoituksia.
Esimerkkejä erilaisista pääsyoikeusrooleista ovat mm. IT-päällikkö, myyjä, palkanlaskija, esimies tai asiakaspalvelija.
Pääsyoikeuksien minimointi on osa tietojen minimointia. Vanhentuneet pääsyoikeudet ovat yksi yleisimmistä tietosuojariskeistä.
Esimerkkejä piilotiedoista voivat olla mm. CV-kokoelmat, avainlistat, messu- ja arvontalomakkeet tai tapahtumien paperiset osallistujalistat.
Piilotiedoilta puuttuvat tietojärjestelmien usein tarjoamat turvallisuusprosessit, kuten pääsynhallinta, muutoslokit tai varmuuskopiointi.
Esimerkkejä henkilötietoja käsittelevistä kumppaneista ovat mm. SaaS-palveluntarjoajat, kirjanpitäjät, IT-kumppanit, alihankkijat ja muut yhteistyökumppanit.
Rekisterinpitäjä saa käyttää ainoastaan kumppaneita, jotka omilla toimillaan varmistavat tietosuoja-asetusten toteutumisen ja rekisteröityjen oikeuksien suojan.
Henkilötietojen käsittelyn turvallisuutta voidaan parantaa mm. koulutuksella, ohjeistuksilla, fiksulla pääsynhallinnalla, palomuurisuojauksella tai haavoittuvuustestauksella.
Turvallinen henkilötietojen käsittely vaatii omien käytäntöjen selkeää delegointia, jatkuvaa arviointia ja säännöllistä päivittämistä.
Tietosuojaselosteessa on kuvattava mm. rekisterin sisältämät henkilötietoryhmät sekä tarkoitukset, joita varten tietoja käsitellään sekä näihin liittyvät oikeusperusteet.
Digiturvatyössä dokumentoidaan, kuinka meillä luottamuksellisia tietoja käsitellään ja turvataan. Lisäksi sovitaan ylläpitävistä toimenpiteistä ja raportoidaan säännöllisesti.