Sonera on nyt Telia. Sonera SSL on nyt Telia SSL ja Sonera Certificate Authority on nyt TeliaCertificate Authority.
”Kun yritys hoitaa tietosuojan hyvin, se tukee parhaimmillaan liiketoimintaa ja vahvistaa kuluttajien luottamusta”, tietosuoja-asiantuntija ja juristi Anna Paimela sanoo. Asia on nyt ajankohtaisempi kuin koskaan, sillä EU:n uusi tietosuoja-asetus tulee voimaan keväällä 2018.
Kyseessä on iso muutos, sillä monissa yrityksissä ei ole johtotasolla käyty läpi varautumista tietosuoja-asioihin. Uudet säännöstöt ovat herättäneet paljon kysymyksiä, pohdintaa ja hämmennystäkin.
Iconics Consultingin tietosuoja-asiantuntija, juristi Anna Paimela ja Secraysin tietoturvakonsultti Elina Niemimaa kertovat, mihin kaikkeen jatkossa pitää varautua.
1. Enää ei kannata viivytellä!
Juristi Anna Paimelan mukaan nyt on korkea aika ottaa tietosuoja-asiat puheeksi yrityksessä.
”Säännösten soveltaminen alkaa loppukeväästä 2018. Yrityksillä on siis pari vuotta aikaa päivittää tietosuojansa vastaamaan uusittuja vaatimuksia. Se on lyhyt aika.”
Paimela sanoo, että sekä liiketoiminnan muutos että tiukkeneva lainsäädäntö asettavat yrityksille haasteita.
”Monien yritysten liiketoiminta on muuttunut radikaalisti. Yhä suurempi osa kaikesta siitä, mitä tuotamme, on yhteydessä internetiin, ja siten dataa voidaan kerätä lähes kaikkialta. Suuri osa käsiteltävästä tiedosta liittyy luonnollisiin henkilöihin ja siitä tulee määritelmällisesti henkilötietoa. Kun tietoa on valtava määrä ja se on aiempaa yksityiskohtaisempaa, myös väärinkäytösten mahdollisuudet kasvavat.”
Paimelan mukaan sekä datan merkityksen kasvu liiketoiminnassa että tiukentuva tietosuojasääntely edellyttävät, että tietosuojan hallintaan ja ylläpitoon satsataan. Yritysten pitää myös luoda säännönmukaiset prosessit riskien minimoimiseksi.
”Enää ei riitä, että rekisteriseloste on nettisivuilla”, Anna Paimela sanoo.
Uusi tietosuoja-asetus on suoraan sovellettavaa lainsäädäntöä eli sitä ei saateta erikseen voimaan Suomessa tai muissa EU-maissa. Näin eurooppalaista tietosuojasääntelyä pyritään yhdenmukaistamaan. Nykyisin voimassa oleva tietosuojadirektiivi on jo yli 20 vuotta vanha. Ongelmana on ollut, että direktiiviä on sovellettu eri tavoin eri maissa.
Secraysin tietoturvakonsultti Elina Niemimaa ja Iconics Consultingin tietosuoja-asiantuntija, juristi Anna Paimela sanovat, ettei EU:n uutta tietosuoja-asetusta kannata nähdä negatiivisena peikkona, vaan nyt olisi hyvä aika herätä miettimään, miten kunnossa oleva tietosuoja voisi edistää myös bisnestä.
2. Yksilön oikeudet vahvistuvat – virheet oikaistava viipymättä
Tietoturvakonsultti Elina Niemimaa sanoo, että yhtenäisen tietosuojalainsäädännön luominen on tärkeää. Sillä taataan henkilötietojen suoja kansalaisten perusoikeutena. Samalla mahdollistetaan digitaalisen palvelutalouden kehitys.
”Tieto on arvokasta, ja markkinointiosastot haluavat kerätä kaiken mahdollisen tiedon meistä. Samalla tieto pirstaloituu moneen paikkaan. Tietosuoja-asetuksen tarkoituksena on ottaa huomioon henkilötietojen käsittelyyn liittyvät riskit ja taata henkilötietojen suojan korkea taso”, hän kertoo.
Tämä tarkoittaa sitä, että rekisterin pitäjä ja henkilötietojen käsittelijä velvoitetaan huomioimaan käsiteltävinä oleviin tietoihin liittyvät riskit ja toimimaan sen mukaisesti.
Elina Niemimaan mukaan yritysten tulee varautua siihen, että uudessa asetuksessa yksilön oikeudet vahvistuvat. Ihmisillä on siis oikeus tarkistaa itseään koskevat tiedot – ja virheelliset tiedot on oikaistava viipymättä. Myös vanhentuneet tai tarpeettomat henkilötiedot on poistettava.
Jatkossa rekisteröity voi saada sähköisesti itseään koskevia tietoja. Kuluttajalle pitää pyynnöstä kertoa, miten hänen tietojaan käsitellään ja mihin käsittely perustuu. Henkilö voi myös tietyissä tilanteissa kieltäytyä tietojensa pohjalta tehtävästä profiloinnista, jota käytetään esimerkiksi verkkokaupassa.
3. Sääntöjen rikkomisesta jättisakot
Tuloillaan oleva tietosuoja-asetus kannattaa ottaa tosissaan, sillä siinä määrätään uusista hallinnollisista sanktioista.
Muutos entiseen on suuri: jos sääntöjä rikotaan, yrityksen liikevaihtoon sidotut sakkomäärät voivat olla jopa 20 miljoonaa euroa tai neljä prosenttia kokonaisliikevaihdosta. Rangaistuksia langettavat kansalliset tietosuojaviranomaiset.
Anna Paimela kertoo, että yritys voi omalla toiminnallaan vaikuttaa merkittävästi sakkojen määrään ja todennäköisyyteen.
”Tietosuoja-asetus tuo mukanaan niin kutsutun tilivelvollisuuden periaatteen. Yritysten on toteutettava tekniset ja hallinnolliset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että asetusta noudatetaan. Yritykset voivat välttää sanktiot tai ainakin pienentää niitä, kun ne tekevät tarvittavat tietojenkäsittelysopimukset kumppaneiden kanssa ja dokumentoivat riski- ja vaikutustenarvioinnit. Lisäksi yritysten pitää kuvata selkeät vastuut ja prosessit tietosuojan sisällyttämiseksi oletusarvoisesti osaksi käsittelyä.”
Elina Niemimaa muistuttaa, että yrityksissä on tärkeä tunnistaa omat tietosuojamateriaalit ja ymmärtää niiden merkitys liiketoiminnalle. Hänen mukaansa pohdinnan paikka on myös siinä, mitä organisaatiossa tehdään tietovuodon sattuessa.
”Erilaiset tietoturvaloukkaukset ovat yhä tavallisempia. Jatkossa jokainen yritys on velvollinen ilmoittamaan henkilötietoihin kohdistuvista tietoturvaloukkauksista sekä viranomaiselle että rekisteröidylle kuluttajalle. Yrityksen on siis kyettävä havaitsemaan loukkaus, ilmoittamaan siitä ja lisäksi pyrittävä minimoimaan vahinkojen aiheutuminen.”
4. Yritysjohdon sitoutuminen ykkösjuttu
Anna Paimelan mukaan ensimmäinen askel uuteen tietosuoja-asetukseen varautumisessa on, että yrityksen johto sitoutuu tietosuojatyöhön.
”On tärkeää, että johtoporras pyrkii istuttamaan organisaatioon kulttuurin, jossa yksityisyydensuoja ja tietoturva ovat tärkeitä asioita – ei vain riskienhallinnan vaan myös yrityksen brändin kannalta. Jos johto ei pidä tietosuojaa ja tietoturvaa tärkeänä, miksi kukaan muukaan pitäisi?”
Asetuksen myötä yrityksessä on nimettävä tietosuojasta vastaavat henkilöt. Tietosuojavastaavan tehtävänä on varmistaa ja valvoa tietosuojan toteutumista. Hän voi olla omaa henkilökuntaa tai organisaation ulkopuolelta.
Tähän ei velvoiteta kaikkia yrityksiä: velvoite koskee muun muassa firmoja, joiden keskeiset tehtävät edellyttävät henkilötietojen laajaa seurantaa ja arkaluonteisten tietojen käsittelyä. Tällaista on esimerkiksi yksilön terveystietojen käsittely.
Elina Niemimaa suosittelee, että jokaisessa yrityksessä olisi yksi taho, joka kantaisi jatkossa vastuun tietosuoja- ja tietoturva-asioista sekä niiden noudattamisesta.
”Tietosuoja pitäisi sisällyttää palveluiden ja IT-järjestelmien kehittämiseen. Suomalaiset yritykset ovat usein tuudittautuneet tilaan, jossa asioiden uskotaan olevan paremmin kuin ne ovatkaan. Uusi EU-asetus on hyvä herättelijä: se on tuonut johtoportaalle tietoisuuden, että asiat on oikeasti laitettava kuntoon”, Niemimaa sanoo.
Anna Paimela arvioi, että Suomessa vallitsee osittain ”katsellaan-meininki”. Monissa yrityksissä tietosuoja-asiat ovat iso möykky: ei oikein tiedetä, mistä varautuminen säännöksiin pitäisi aloittaa ja miten uudet säännökset vaikuttavat omaan toimintaan. Varsinkin kustannusten pelko ja resurssien puute huolestuttavat.
5. Tietosuojalla vauhtia liiketoimintaan
Anna Paimela rohkaisee yritysjohtoa: uutta tietosuoja-asetusta ei kannata nähdä negatiivisena peikkona, vaan nyt olisi hyvä aika herätä miettimään, miten kunnossa oleva tietosuoja voisi edistää myös bisnestä.
”Kun yritys hoitaa tietosuojan hyvin, se tukee parhaimmillaan liiketoimintaa ja vahvistaa kuluttajien luottamusta. Kun ihmisille kerrotaan avoimesti, miten heitä koskevaa dataa käsitellään, luottamus yritystä kohtaan kasvaa. Tämä voi olla digitaalisuuden edetessä vahva kilpailuvaltti.”
Paimelan mukaan yritysten olisi hyvä arvioida käytäntöjensä nykytila uutta asetusta silmällä pitäen joko itse tai asiantuntijan avulla. Sen pohjalta yritys voi lähteä tekemään suunnitelmaa seuraavalle kahdelle vuodelle.
”On oleellista, että organisaatiossa tiedetään, missä henkilötiedot ovat ja millä perusteella niitä käsitellään. Tärkeää on myös poistaa vanhentuneet tiedot, informoida tietojen käsittelystä rekisteröityjä sekä suojata rekisteri asianmukaisesti. Näin perusteiden jälkeen voidaan alkaa pohtia tarkemmin esimerkiksi sitä, miten tietosuoja huomioidaan palvelukehityksessä tai millaisia helppokäyttöisiä vaikutusmahdollisuuksia kuluttajille voitaisiin luoda.”
Telia SSL-varmenne
Tiesitkö, että Suomessa juurivarmenteita on vain Telialla? Varmenteemme ovat sisäänrakennettuja kaikissa selaimissa ja käyttöjärjestelmissä maailmanlaajuisesti.