Digiturvamalli jaottelee tärkeimmät digiturvaelementit tarkasti hiottuun rakenteeseen, jossa ne linkittyvät oikein toisiinsa ja raportointia voidaan automatisoida.

DIGITURVAVINKKI #17

Osoitusvelvollisuus velvoittaa organisaatioita näyttämään, kuinka asetuksen vaatimukset täytetään. Tämä tekee dokumentaatiosta oleellisen osan tietosuojatyötä.

DIGITURVAVINKKI #35

Esimerkkejä rekistereistä ovat mm. B2B-asiakasrekisteri, B2C-asiakasrekisteri, työntekijärekisteri, kumppanirekisteri tai markkinointirekisteri.

DIGITURVAVINKKI #6

Henkilötietorekisteri on kokoelma samantyylisiin tarkoituksiin käytettyjä henkilötietoja, jotka voivat kuitenkin fyysisesti sijaita monissa eri paikoissa, muodoissa tai järjestelmissä.

DIGITURVAVINKKI #3

Esimerkkejä tietojärjestelmistä ovat mm. CRM-, laskutus-, työajanseuranta-, uutiskirje-, analytiikka- tai kameravalvontajärjestelmät.

DIGITURVAVINKKI #13

Tietojärjestelmien suhteen on oleellista tietää mm. kuka järjestelmää toimittaa, kuinka he toimivat tietosuojan suhteen, mitä henkilötietoja järjestelmä sisältää ja ketkä meiltä pääsevät tietoihin käsiksi.

DIGITURVAVINKKI #21

Esimerkkejä työntekijöihin usein liittyvistä käyttötarkoituksista ovat mm. palkanmaksu, henkilöstöviestintä, työterveyden hoito, oikeus- ja pääsyhallinta sekä työaikaseuranta.

DIGITURVAVINKKI #7

Jokainen henkilötietojen käyttötarkoitus vaatii oikeusperusteen, jotta toimimme laillisesti. Peruste voi olla mm. suostumus, sopimuksen tuottaminen, lakisääteinen velvoite tai oikeutettu etu.

DIGITURVAVINKKI #9

Säilytyksen rajoittaminen on yksi laillisen henkilötietojen käsittelyn periaatteista, joiden toteutuminen pitää pystyä osoittamaan.

DIGITURVAVINKKI #19

Henkilötietojen hävitysprosesseja voivat olla mm. automaattinen vuosittainen asiakaskannan siivous, passiivisten uutiskirjetilaajien poistaminen tai manuaalinen kampanjatietojen tuhoaminen.

DIGITURVAVINKKI #32

Esimerkkejä tietolähteistä ovat mm. rekisteröity itse, kumppanit (esim. kirjanpitäjä), viranomaiset (esim. Verohallinto, Kela) tai verkkopalvelut (esim. LinkedIn tai Fonecta Finder).

DIGITURVAVINKKI #38

Tietojen minimointi on yksi tärkeimmistä tietosuojaperiaatteista. Meidän on tiedettävä, mitä henkilötietoja hallussamme on, ja voitava osoittaa, että määrä vastaa käyttötarkoituksia.

DIGITURVAVINKKI #11

Esimerkkejä erilaisista pääsyoikeusrooleista ovat mm. IT-päällikkö, myyjä, palkanlaskija, esimies tai asiakaspalvelija.

DIGITURVAVINKKI #4

Pääsyoikeuksien minimointi on osa tietojen minimointia. Vanhentuneet pääsyoikeudet ovat yksi yleisimmistä tietosuojariskeistä.

DIGITURVAVINKKI #18

Esimerkkejä piilotiedoista voivat olla mm. CV-kokoelmat, avainlistat, messu- ja arvontalomakkeet tai tapahtumien paperiset osallistujalistat.

DIGITURVAVINKKI #23

Piilotiedoilta puuttuvat tietojärjestelmien usein tarjoamat turvallisuusprosessit, kuten pääsynhallinta, muutoslokit tai varmuuskopiointi.

DIGITURVAVINKKI #24

Esimerkkejä henkilötietoja käsittelevistä kumppaneista ovat mm. SaaS-palveluntarjoajat, kirjanpitäjät, IT-kumppanit, alihankkijat ja muut yhteistyökumppanit.

DIGITURVAVINKKI #31

Rekisterinpitäjä saa käyttää ainoastaan kumppaneita, jotka omilla toimillaan varmistavat tietosuoja-asetusten toteutumisen ja rekisteröityjen oikeuksien suojan.

DIGITURVAVINKKI #10

Henkilötietojen käsittelyn turvallisuutta voidaan parantaa mm. koulutuksella, ohjeistuksilla, fiksulla pääsynhallinnalla, palomuurisuojauksella tai haavoittuvuustestauksella.

DIGITURVAVINKKI #20

Turvallinen henkilötietojen käsittely vaatii omien käytäntöjen selkeää delegointia, jatkuvaa arviointia ja säännöllistä päivittämistä.

DIGITURVAVINKKI #28

Tietosuojaselosteessa on kuvattava mm. rekisterin sisältämät henkilötietoryhmät sekä tarkoitukset, joita varten tietoja käsitellään sekä näihin liittyvät oikeusperusteet.

DIGITURVAVINKKI #1

Digiturvatyössä dokumentoidaan, kuinka meillä luottamuksellisia tietoja käsitellään ja turvataan. Lisäksi sovitaan ylläpitävistä toimenpiteistä ja raportoidaan säännöllisesti.

DIGITURVAVINKKI #12