Kirjoittanut Niina Miettinen

Lakimiesliiton Tietosuoja ja tietoturva -seminaari järjestettiin 17. tammikuuta. Seminaarissa käsiteltiin tietosuojaan ja tietoturvaan liittyviä vastuukysymyksiä sekä erilaisiin riskeihin varautumista. Tämä kirjoitus esittää kootusti tilaisuuden antia.

Yhteiskunta digitalisoituu kovaa vauhtia ja digitaaliseen maailmaan sisältyvien uhkien kokoluokka kasvaa. Samanaikaisesti lisääntyy tarve tehdä yhä nopeammin ja laajemmin asioita, joihin liittyy henkilötietojen käsittelyä.

Tietosuojakäytäntöjen yhtenäistämiseksi sekä yksilön suojan vahvistamiseksi Euroopan unioni on antanut tietosuoja-asetuksen, jota aletaan soveltaa kansallisesti 25. toukokuuta 2018. Asetus korvaa 90-luvulla annetun henkilötietodirektiivin ja tuo sen sisältämät periaatteet nykypäivään. Asetuksen säännöksissä näkyy digitalisaation voimakas vaikutus tietosuoja- ja tietoturvavaatimuksiin, ja henkilötietojen käsittelyperusteet on määritelty huomattavasti yksityiskohtaisemmin kuin vanhassa henkilötietodirektiivissä. Asetuksen myötä henkilötietojen käsittelyn lakiperusteiset velvollisuudet ja vastuut tulevat kasvamaan, ja Lakimiesliiton seminaarissa annettiinkin paljon käytännönläheistä evästystä riskienhallintaan.

Samalla kun tietosuojaan ja tietoturvaan liittyvä riskienhallinta muuttuu yhä keskeisemmäksi osaksi yritysten toiminnan suunnittelua, vastuut ja seuranta on äärimmäisen tärkeää määritellä huolella. Organisaatioiden kannattaa myös huolehtia tarkkaan siitä, että uhkista on käytössä ajantasaista ja kattavaa tietoa. Seminaarissa käytiin läpi riskialttiita käytännön tilanteita, joita voi tulla vastaan esimerkiksi silloin kun käyttöoikeuksiin liittyvät valtuudet ovat vääränlaiset työntekijän työtehtäviin nähden, tai silloin kun henkilöstöä ei kouluteta riittävästi henkilötietojen käsittelyssä tai tietoturvauhkien tunnistamisessa. Parantamisen varaa löytyy monissa organisaatioissa, sillä viime vuonna tehdyn tutkimuksen mukaan keskiarvoviive tietovuodon havaitsemisessa oli 206 päivää. Helpotusta riskienhallintaan saadaan ohjelmistojen ja laitteiden päivityksen ja työntekijöiden tietoturvakoulutuksen lisäksi esimerkiksi verkkoyhteyksiä rajaamalla ja seuraamalla, sekä verkon segmentoinnilla, jolloin toteutuneet uhat kuten palvelunestohyökkäykset eivät pysty lamauttamaan kaikkea toimintaa.

Myös sopimuksilla on keskeinen asema riskienhallinnan välineenä. Tietosuoja-asetuksen mukanaan tuomien uusien velvoitteiden seurauksena vahingot ja virheet voivat tulla paljon kalliimmiksi, ja yritysten on tärkeää huolehtia siitä, että sopimuskumppanit kantavat osansa syntyvästä vastuusta. Jatkossa tulee mahdolliseksi kohdentaa taloudellinen vastuu ja sanktiot rekisterinpitäjän lisäksi myös henkilötietojen käsittelijään, ja seminaarissa esiteltiin, kuinka ja missä määrin tätä vastuuta on mahdollista siirtää sopimusehdoin.

Seminaarissa tarjottiin myös runsain määrin suoraan yritysten tietosuojavastaaville suunnattua tukea. Tietosuojavastaavan tehtäviin kuuluu esimerkiksi työntekijöiden neuvonta sekä rekisterinpitäjän ja henkilötietojen käsittelijän asetuksen noudattamisen valvonta. Seminaarissa muistutettiin, että tehtävän muuttuessa haasteellisemmaksi keskeisenä lähtökohtana tulisi olla organisaation sisäinen sopimus siitä, mitkä tarkalleen ottaen ovat tietosuojavastaavan tehtävät ja rooli.

Seminaarin puhujat:

Jarkko Saarimäki, Viestintävirasto: Henkilötietoihin kohdistuvat kyberuhkat
Harri Vilander, Nixu: Tietoturvan työkalupakki
Ari Andreasson, Tampereen kaupunki: Tietosuojavaatimusten toteuttaminen käytännössä
Jukka Lång, Dittmar & Indrenius: Kuinka tietosuoja- ja tietoturvariskejä voi hallita sopimuksin?
Hannes Saarinen, F-Secure: Tietosuoja yrityksen sopimuksissa