GDPR - Yleinen tietosuoja-asetus

Selkeä suunnitelma, jonka avulla otat GDPR-vaatimukset haltuun

EU:n yleinen tietosuoja-asetus (GDPR) antaa vaatimukset lailliselle henkilötietojen käsittelylle ja tietosuojan osoittamiselle.

Kokeile ilmaiseksi

Toteutussuunnitelma

Vaihe 1: Aloita dokumentoimalla hallinnoidut henkilötiedot

Tietosuojatyö alkaa ymmärtämällä organisaation hallinnassa olevat henkilötiedot. Samalla luodaan pohja automatisoidulle raportoinnilla ja tulevalle työlle.

Listaa ja vastuuta tietovarannot

5 tietovarantoa
85% vastattu
Näytä tehtävä

Listaa ja vastuuta tietojärjestelmät

74 tietojärjestelmää
65% vastattu
Näytä tehtävä

Dokumentoi henkilötietoaineistot

35 tietoaineistoa
75% vastattu
Näytä tehtävä
Tämä on toteutussuunnitelman vaihe 1/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 2: Kuvaa tietojen käsittelyä ja siihen osallistuvia tahoja

Henkilötietojen käsittelyä suoritetaan yhdessä kumppanien kanssa, joihin on päätetty luottaa. Rekisterinpitäjä on kuitenkin vastuussa koko käsittelyketjusta.

Dokumentoi tietojen käyttötarkoitukset

15 käyttötarkoitusta
87% vastattu
Näytä tehtävä

Listaa ja vastuuta henkilötietojen käsittelijät

24 henkilötietojen käsittelijää
85% vastattu
Näytä tehtävä

Listaa ja vastuuta järjestelmätoimittajat

45 toimittajaa
75% vastattu
Näytä tehtävä
Tämä on toteutussuunnitelman vaihe 2/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 3: Ohjeista henkilöstöä yleisimpien tietosuojaongelmien välttämiseksi

Henkilöstön rooli tietosuojassa on ensisijaisen tärkeä. Luo automatisoitu ohjeistus- ja koulutusprosessi, joka estää yleisimpiä tietosuojaongelmia.

Ohjeista henkilötietojen käyttöön liittyen

8 aktiivista ohjetta
82% lukenut
Näytä tehtävä

Ohjeista häiriöiden ilmoittamiseen liittyen

2 aktiivista ohjetta
75% lukenut
Näytä tehtävä

Ohjeista tiedostojen käyttöön liittyen

4 aktiivista ohjetta
65% lukenut
Näytä tehtävä
Tämä on toteutussuunnitelman vaihe 3/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 4: Varmista lainmukainen ja selkeä tietosuojaviestintä

Tietosuoja-asetus vaatii tiettyjen kuvausten olemassaoloa sekä yleisesti selkeää ja avointa tietosuojaviestintää rekisteröidyille.

Dokumentoi tietoluovutukset

5 tietoluovutusta
87% vastattu
Näytä tehtävä

Julkaise tietosuojaselosteet

Tietosuojaselosteet
Viimeksi päivitetty 22.3.2021
Näytä tehtävä

Muodosta seloste käsittelytoimista

Seloste käsittelytoimista
Viimeksi päivitetty 4.3.2021
Näytä tehtävä
Tämä on toteutussuunnitelman vaihe 4/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 5: Käsittele häiriöt ja loukkaukset järjestelmällisesti

Organisaation on valmistauduttava ongelmatilanteisiin ennalta, jotta vaatimukset voidaan täyttää. Herkkä häiriöiden havannointi sekä järjestelmällinen käsittely on myös tapa kehittää omaa tietosuojatasoa.

Vastuuta häiriöiden havaitseminen, reagointi sekä käsittely

Kaikki tehtävät listassa
on vastuutettu
.
Näytä tehtävälista

Dokumentoi ja analysoi tietoturvahäiriöt

15 tietoturvahäiriötä
85% vastattu
Näytä tehtävä

Vastuuta tietoturvaloukkausten hallintaan liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.
Näytä tehtävälista

Dokumentoi ja analysoi tapahtuneet loukkaukset

6 tietoturvaloukkausta
85% vastattu
Näytä tehtävä
Tämä on toteutussuunnitelman vaihe 5/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 6: Tarkista käsittelysopimusten tila ja tietosiirtojen laillisuus

Kumppanilistauksia hyödynnetään, kun käsitellään henkilötietojen käsittelysopimusten tilaa sekä tietosiirtoja EU:n ulkopuolelle.

Tarkista käsittelysopimukset kumppaneiden kanssa

25 käsittelijät > Sopimus
65% vastattu
45 toimittajat > Sopimus
52% vastattu
Näytä tehtävä ja ohje

Vastuuta muut kumppaneihin ja sopimuksiin liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.
Näytä tehtävälista
Tämä on toteutussuunnitelman vaihe 6/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 7: Suunnittele toimintatavat rekisteröidyn oikeuksien toteuttamiseen

Aina käsitellessämme henkilötietoja rekisteröidyillä on tiettyjä oikeuksia tietojaan kohden. Meidän on valmistauduttava käsittelemään nämä asiallisesti.

Vastuuta informointiin ja tietopyyntöihin liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.
Näytä tehtävälista

Dokumentoi tietolähteet

45 tietojärjestelmää > Tietovirrat
52% vastattu
Näytä tehtävä ja ohje
Tämä on toteutussuunnitelman vaihe 7/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 8: Varmista käytettyjen oikeusperusteiden riittävä arviointi ja edellytykset

Tietosuojatyön avainasioita on eri käyttötarkoitusten ja niihin liittyvien oikeusperusteiden tunnistaminen. Tietyt oikeusperusteet (mm. suostumus tai oikeutettu etu) vaativat rekisterinpitäjältä lisädokumentaatiota.

Vastuuta tehtävä suostumusten edellytysten läpikäynnistä

4 suostumusten arviointia
75% vastattu
Näytä tehtävä ja ohje

Vastuuta tehtävä tasapainotestien toteuttamisesta

2 tasapainotestiä
85% vastattu
Näytä tehtävä ja ohje

Vastuuta tehtävä oikeusperusteiden arvioinnista

15 käyttötarkoitukset > Oikeusperuste
52% vastattu
Näytä tehtävä ja ohje
Tämä on toteutussuunnitelman vaihe 8/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 9: Luo toimintatavat ennakoivaan riskien arviointiin ja hallintaan

Riskienhallintaa tietosuojatyössä on tehtävä kahdesta näkökulmasta - rekisteröidyn näkökulmasta vaikutustenarviointien kautta sekä organisaation näkökulmasta käsittelyn turvallisuustoimien kohdistamiseksi.

Toteuta ja dokumentoi tarvittavat vaikutustenarvioinnit

6 vaikutustenarviointia
85% vastattu
Näytä tehtävä ja ohje

Vastuuta riskien hallinnan tehtävät

Tehtävälistassa on 5 odottavaa tehtävää.
Näytä tehtävälista

Arvioi, käsittely ja dokumentoi tunnistetut tietoturvariskit

121 tietoturvariskiä
52% vastattu
Näytä tehtävä ja ohje
Tämä on toteutussuunnitelman vaihe 9/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 10: Organisoi tietosuojavastaavan tehtävät ja muu osoitusvelvollisuus

Kartoita vielä muut vaatimukset (mm. osoitusvelvollisuuteen liittyen) ja niihin liittyvät tehtävät.

Vastuuta tietosuojavastaavan toimenkuvaan liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.
Näytä tehtävälista

Vastuuta käsittelyperiaatteet ja osoitusvelvollisuus -kohdan tehtävät

Tehtävälistassa on 8 odottavaa tehtävää.
Näytä tehtävälista
Tämä on toteutussuunnitelman vaihe 10/11. Kun olet päässyt tarpeeksi pitkälle yllä kuvatuissa askeleissa, jatka seuraavaan vaiheeseen.
Seuraava vaihe >

Vaihe 11: Jatka halutessasi seuraavien suositeltujen vaatimuskehikkojen pariin

Suosittelemme GDPR-vaatimuskehikon rinnalla käytettävän esimerkiksi ISO 27001 -tietoturvastandardia. Hyvää tietosuojaa ei synny ilman vahvaa tietoturvaa.

Suositeltu vaatimuskehikko - ISO 27001: Core

Kehikko keskittyy mm. oman toimintaympäristön kuvaamiseen sekä henkilöstön ohjeistamiseen yleisimmissä tietoturvaongelmissa (mm. tietojenkalastelu).
Siirry sivulle ISO 27001: Core

Suositeltu vaatimuskehikko - ISO 27001: Full

Kehikko keskittyy kattavasti tietoturvariskien hallintaprosessiin sekä mm. ohjelmistokehityksen, teknisen tietoturvan sekä kumppanihallinnan osa-alueisiin.
Siirry sivulle ISO 27001: Full
Tämä on toteutussuunnitelman vaihe 11/11. Valvo toteutusta tai jatka työtä seuraavien vaatimuskehikkojen parissa.
Seuraava vaihe >
1 - Henkilötiedot
2 - Käsittely ja kumppanit
3 - Henkilöstön ohjeet
4 - Avoin informointi
5 - Häiriöt ja loukkaukset
6 - Siirto ja sopimukset
7 - Rekisteröidyn oikeudet
8 - Lainmukaisuuden arviointi
9 - Riskien hallinta
10 - Muu osoitusvelvollisuus
11 - Ylläpito ja jatko
Tämä on esimerkki toteutussuunnitelmasta, jota suosittelemme Digiturvamallissa.
Saat oman aktiivisen suunnitelmanne ja näet kaikki sisällöt aloittamalla kokeilun.
Hahmota oma tietosuojaympäristö

Dokumentoi tehokkaasti

Digiturvamalli sisältää valmiit työpohjat tietosuoja-asetuksen vaatiman dokumentaation keräämiseen.

Digiturvakirjasto tarjoaa runsaasti esimerkkisisältöä, joka säästää merkittävästi aikaa dokumentoinnissa.

Tietovarannot ja käyttötarkoitukset
Tietoaineistot ja henkilötietoryhmät
Henkilötietoja käsittelevät kumppanit
Tietojärjestelmät
Osaava henkilöstö

Luo automatisoitu henkilöstön ohjeistus- ja koulutusprosessi

Henkilöstö on nykyajan tietoturvassa avainasemassa. Siirry yleiskoulutuksesta varmennettuun ohjeistamiseen.

Luo ohjeistukset valmiiden esimerkkien avulla ja tarkenna halutessasi eri yksiköille. Ohjekirja-näkymän kautta jokainen hyväksyy ohjeensa suoraan Teams-ympäristössä.

Henkilötietojen käyttö
Etätyö
Tiedostojen ja paperien käyttö
Häiriöiden ilmoittaminen
seloste käsittelytoimista, informointi ja muut

Automatisoi asetuksen vaatimat kuvaukset

Seloste käsittelytoimista on organisaation sisäinen kuvaus henkilötietojen käsittelystä. Tietosuojaselosteilla voidaan hoitaa yleinen informointivaatimus.

Digiturvamalli sisältää valmiit raporttipohjat, joihin tiedot kerätään automaattisesti dokumentaatiosta. Selosteet voidaan julkaista upotuksena suoraan omalle verkkosivustolle.

Seloste käsittelytoimista
Tietosuojaselosteet
Tietotilinpäätös
Muu osoitusvelvollisuus
GDPR:n muut päävaatimukset

Vastuuta tietosuojan tärkeimmät erityistehtävät

GDPR vaatii monien tehtävien vastuuttamista, jotka edellyttävät tietosuojan erityisosaamista. On käytävä läpi sopimuksia, arvioitava käsittelyn lainmukaisuutta ja mahdollistettava rekisteröidyn oikeudet.

Digiturvamalli sisältää tehtävät eri osa-alueille, jotka listaavat vaatimukset, ohjeistava ja auttavat vastuuttamaan kunkin teeman. Dokumentaatio tukee tehtävin toteutusta.

Sopimukset ja tietosiirrot
Tasapainotestit
Suostumuksen edellytykset
Tietopyyntöjen käsittely
Riskilähtöinen tietosuojatyö

Kohdista resursseja kriittisiin kohtiin

Vaikutustenarviointeja on tehtävä tilanteista, joissa käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidylle.
Arviointi tehdään rekisteröidyn näkökulmasta.

Yleisellä riskienhallinnalla voidaan saada kohdistettua käsittelyn turvallisuutta kehittäviä toimenpiteitä tärkeimpiin kohtiin.

Molemmissa teemoissa Digiturvamalli ohjeistaa ja tarjoaa mallin, jolla dokumentoida työn tulokset uskottavasti.

Vaikutusten-arvioinnit
Yleinen tietoturvariskien hallinta
Pian jokainen ymmärtää oman roolinsa

Tehtäväkirja sisältää kunkin omat vastuut

Jokainen tietosuojatyön osallistuja näkee Tehtäväkirja-näkymästään kaikki hänen omistamat digiturvasisällöt suoraan Teams-ympäristössä.

Kun joku tehtävä tai sen tarkistus erääntyy, tehtävät pomppaavat esille "Huomiotasi vaativat" -kategoriaan.

Tehtäväkirja ja Ohjekirja ovat Digiturvamallin käyttäjäkohtaiset näkymät.

Jatka tietoturvaa kehittävään työhön

Tietoturvavaatimukset samassa paikassa

Tietosuojatyössä yhteistyö tietohallinnon ja teknisemmän tietoturvan kanssa on ensisijaisen tärkeää. Tietosuojaongelmat johtuvat monesti tietoturvan pettämisestä.

Ottamalla GDPR:n rinnalle tietoturvan standardin (kuten ISO 27001: Core) saatte tietoturvan systemaattisen hallinnan tuotua myös Digiturvamallin pariin.

Liity 250+ Digiturvamallia hyödyntävän organisaation joukkoon

Tietosuojamalliin luottavat isot ja pienet, yritykset, kunnat ja järjestöt.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.

Aloita ilmainen kokeilu

Aloita jo tänään

Varaa palaveri sinulle sopivaan aikaan, niin asiantuntijamme kertovat kuinka Digiturvamalli auttaa hallitsemaan ja johtamaan digiturvaa.

Varaa palaveri

Voi kokeilla Digiturvamallia myös suoraan Microsoft Teamsin sisällä.

Kokeile nyt

Tilaa Digiturvatulkki-uutiskirje

Tiimimme lähettää perjantaisin koosteen viikon tärkeimmistä digiturvauutisista, tulevan viikon ilmaisista webinaareista sekä tuoreimmasta Digiturvamalli-kehityksestä.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Digiturvamalli
EtusivuHinnastoAsiakkaatTiimiTietoturvaKirjauduVaraa demoKokeile
Vaatimuskehikot
Tietosuoja-asetusTiedonhallintalakiISO27001Tietoturvan ydinOppaatISO 27001 -opasGDPR-opasKatakri-opasTiedonhallintalaki-opas
Ominaisuudet
VaatimuskehikotTietoturvatehtävätTietoturvaohjeetDokumentointiRaportointi
Resurssit
WebinaaritOhjekeskusBlogiDigiturvatulkkiLisätietoa kunnilleTop 15 tietoturvauhkatViikon digiturvauutisetLabs
Puhelin: +358 10 231 6010
Sähköposti: tiimi@digiturvamalli.fi
© Agendium Oy | Digiturvamalli 2020, Kalevantie 2, 33100 Tampere, Finland
KäyttöehdotTietosuojaselosteetEvästeiden käyttö