Keskiviikkona 23.11. järjestimme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa oli siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna.

Kävimme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa.

Asiantuntijavieraanamme webinaarissa oli Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista.

Katso webinaarin nauhoite alta

Webinaarin kalvosarja

Kysymykset ja vastaukset

K1:
Asetushan on jo astunut voimaan, sitä aletaan soveltamaan 25.5.2018

V1:
Juuri näin

 

K2:
Määritteleekö joku laki tai asetus, mikä on henkilörekisteri?

V2:
Vastattu osittain webinaarissa. Täsmennys: EU:n tietosuoja-asetuksessa ei ole määritelmää. Henkilötietolain 523/1999, 3§ Määritelmät, löytyy seuraava määritelmä:
”3) henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta;”

 

K3:
Jos yritys on yhteensopiva/noudattaa ISO27001-2 standardia tai noudattaa KATAKRI kriteeristön perustasoa ja rekisteriselosteet on tehty ja noudatettu nykyistä henkilötietolakia ja tietoturvan kehitystyöstä on näyttöä, niin onko yritys jo yhteensopiva uuden tietosuoja-asetuksen kanssa ? tai voidaanko ajatella että ”pienellä” päivityksellä ollaan vastattu EU asetukseen ?

V3: Vastattu osittain webinaarissa. Täsmennys: ISO27001-standardin tai Katakri-kriteeristön noudattaminen antaa hyvän lähtökohdan EU:n tietosuoja-asetuksen soveltamiselle. EU:n tietosuoja-asetus tuo kuitenkin rekisterinpitäjälle uusia vaatimuksia, jotka täytyy ottaa huomioon. Siten ISO27001 tai Katakri-yhteensopivuus ei vielä tuo täydellistä yhteensopivuutta uuden tietosuoja-asetuksen kanssa.

 

K4:
Kun pidetään henkilörekisteriä jotain tiettyä asiaa varten, niin pitääkö jokaiselle ’kentälle’ pyytää suostumus? Eli siis kun rekisteröidystä voidaan kirjata lisää tietoja, mihin tarvetta on. Vaikkapa lisätään kenttä Kaupunginosa, mikä lisätään henkilörekisteriin jälkikäteen jota ei ollut silloin kun suostumus oli annettu.

V4:
Tietosuoja-asetuksessa todetaan (kohta 32, asetuksen alkuosassa) ”Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten.” Asetuksessa ei ole vaatimusta, että jokaista tietokenttää varten tulisi olla erillinen suostumus.
Asetuksen periaatteissa (5 artikla)  todetaan, että: ”henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);”
Yksiselitteistä yleistä vastausta kysymykseen ei siten voi antaa. Olennaista on arvioida pysyykö käsittelytarkoitus samana ja onko uusi tieto tarpeellinen suhteessa alkuperäiseen käsittelytarkoitukseen.

 

K5:
Kuka tietää toimialalla vaadittavan tason tämän asetuksen suhteen eli onko tämä viranomainen määritetty jo kaikissa EU maissa? – Mika

V5:
Vastattu osittain webinaarissa. Täsmennys: Vaadittavaan tasoon liittyvät yksityiskohdat tulevat varmasti tarkentumaan ja oikean tason löytäminen edellyttää tilannekohtaista riskiarviointia. Asetuksessa mainittua valvontaviranomaista en löytänyt suoraan, mutta esimerkiksi Vahti 1/2016 raportissa todetaan että: ”Kansallinen valvontaviranomainen voi julkistaa ohjeistusta esimerkiksi siitä, missä tilanteissa tietosuojan vaikutustenarviointi tulee tehdä. Näin ollen oikeusministeriön, valvontaviranomaisten (tällä hetkellä Tietosuojavaltuutetun toimisto, Viestintävirasto) ja Euroopan tietosuojaneuvoston  viestintää on suositeltavaa seurata samoin kuin aikanaan tulevaa EU-tason ja kansallisen tason oikeuskäytäntöä, esimerkiksi ennakkopäätöksiä.” Muiden maiden osalta tilanne ei ole tiedossa.

 

K6:
Näin Jossain esityksessä määritelmän asetuksen sitovuuden ”raja arvoista” jossa rekisterinpitäjää sitoi vaatimukset jos yksilöiviä rekisteri tietueita oli yli 5000kpl (yhteensä??). Onko tällainen kohtuullisuus pykälä olemassa esim. jos parturilla on asiakasreksiterissä 200 henkilöä ovat asetuksen vaatimukset todella kuormittavia.

V6:
Vastattu osittain webinaarissa. Täsmennys: Asetuksessa on määritelty poikkeus, joka koskee alle 250 työntekijän yrityksiä. Poikkeus koskee velvoitetta ylläpitää selostetta käsittelytoimista. (Artikla 30) Poikkeus ei kuitenkaan ole voimassa, jos  käsittely ”todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.”
Lisäksi toimenpiteitä toteutettaessa otetaan huomioon (kohta 74)  ”käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski” Yksiselitteistä raja-arvoa asetus ei määritä, mutta edellä olevan perusteella suojausvaatimukset ovat parturilla kevyemmät kuin vaikkapa terveydenhuollon potilasrekistereissä.

 

K7:
Onko valvontaviranomainen Suomessa jo nimetty ?

V7:
Vastattu osittain webinaarissa. Katso möys kysymys 5.

 

K8:
Jos kunnassa on 100 henkilörekisteriä ja vain muutamassa sovelluksessa on sisään rakennettu lokivalvontatyökalu. Onko hyvissä ajoin vaadittava kaikilta sovellustoimittajilta EU:n tietosuojan toimivuus edellytyksiä. Mikä on käsitys sovellustoimittajien kyvystä toimittaa lokityökalut järjestelmiin, joissa käsitellään henkilötietoja.

V8:
Lokitietojen keruun toteuttamisen työmäärä vanhoihin sovelluksiin voi vaihdella hyvin paljon eri sovelluksissa. Asian ei kuitenkaan pitäisi tulla sovellustoimittajille yllätyksenä ja monilla aloilla on jo aiemmin ollut lakisääteinen velvollisuus tallentaa lokitiedot. Eli ilman muuta asia kannattaa nostaa esille sovellustoimittajien kanssa hyvin pian.
Niissä tapauksissa, joissa valvottavia rekistereitä on paljon, voi valvonnan työmäärä kasvaa huomattavasti. Tällöin kannattaa harkita keskitetyn tietoturvatietojen ja –tapahtumien hallintapalvelun, eli ns. SIEM-ratkaisun hankkimista.

Lisää luettavaa aiheesta:

Toistuvat tietoturvapäivitykset ärsyttävät

Olemme työssämme nähneet useita kertoja hyvin läheltä, kuinka jatkuvalla syötöllä tietokoneille pongahtavat tietoturvapäivitykset ovat saaneet tavalliset käyttäjät hulluuden partaalle ja jopa kokonaiset yrityksetkin polvilleen. Päätimmekin jokin aika sitten selvittää, että mikä jatkuvissa tietoturvapäivityksissä on kaikista ärsyttävintä.

Jokainen sovelluspäivitys on tärkeä – opettavainen, viisiosainen Centero-tarina

Päätelaitehallinnan supersankarit joutuvat todistamaan useita pelottavia tilanteita organisaatioissa, joissa sovelluspäivitysten hallintaa varten ei ole kunnollista prosessia. Päivityksiä tulee jatkuvasti, eivätkä kaikki niistä vaikuta tärkeiltä. Mutta varo astumasta polulle, jota kulkevat he, jotka eivät ota kaikkia sovelluspäivityksiä huomioon. Lähtekäämme matkalle… 1. Kaikki päivitykset eivät ole samanarvoisia – mutta sillä ei ole merkitystä Käyttöjärjestelmät ja kolmansien osapuolten […]