Auta asiakkaitasi varautumaan uuteen EU:n tietosuoja-asetukseen - GDPR!

EU:n uusi henkilötietolaki, jolla on vaikutukset jokaiseen suomalaisyritykseen -isosta pieneen – ja jokaiseen julkiseen organisaatioon kunnista valtioon - astuu voimaan kahden vuoden siirtymäajan jälkeen toukkokuussa 2018.

Oleellisimmat muutokset, jotka vaikuttavat suomalaisiin yrityksiin ja organisaatioihin ovat:

1. Tietosuojan tulee ulottua organisaation liiketoimintaprosesseihin, tietoverkkoihin ja sovelluksiin, jotka ovat henkilökunnan tai asiakkaiden käytettävissä.

 2. Henkilötietoja saa säilyttää vain tarpeellisen ajan. Tämän jäkeen tulee henkilötieto tuhota tai muuttaa tunnistamattomaksi.

 3. Oikeus tietojen poistoon. Henkilöllä on oikeus tietojensa poistamiseen. Henkilöllä on oikeus tietojensa siirtoon toiselle palveluntarjoajalle. Henkilöllä on oikeus nähdä, kuinka hänen tietojaan käsitellään.

4. Ilmoitusvelvollisuus tietoturvaloukkauksista. Organisaatiolla on velvollisuus ilmoittaa viranomaisille 72 tunnin kuluessa, jos/kun se epäilee mahdollista tietovuotoa.

5. Tietovuodon salaaminen tai sen huomaamattomuus johtaa vuotuisesta liikevaihdosta mitattuna 2-4%:n sakkoihin.

Mitä on henkilötieto?

Kaikki tieto, joka on yksilöitävissä riippumatta siitä onko se yksityistä, julkista tai ammatillista.  Näitä ovat mm. nimi, henkilötunnus, kuva, sähköposti, ip-osoite, pankkitieto, terveystieto tai sosiaalisen median kirjoitus.

Ketä asetus koskee?
EU:n tietosuoja-asetus koskee kaikkia organisaatioita, jotka käsittelevät henkilötietoja EU-kansalaisesta. Asetus koskee ts. myös EU:n ulkopuolisia organisaatioita, jotka käsittelevät henkilötietoja ja/tai tekevät kauppaa EU:n sisällä.

Milloin asetus astuu voimaan?
Tietosuoja-asetus astui voimaan keväällä 2016 ja sisältää kahden vuoden siirtymäajan, joka umpeutuu  toukokuussa 2018.

Miksi minun pitäisi reagoida tähän?

Asetus aiheuttaa isolle osalle organisaatioita suuria tarpeita muuttaa nykyisiä tietoturvakäytäntöjään. On arvioitu, että mm. ulkopuolisista resursseista tulee pula mitä lähemmäksi takarajaa organisaatio jättää oman valmistautumisena.

Miten voin valmistautua?

1. Aloita ymmärtämällä miten organisaatio tänä päivänä käsittelee yllä kuvattuja henkilötietoja ja kenellä on pääsy yo. henkilötietoihin.

 2. Rajoita pääsyä henkilötietoihin ja ota käyttöön järjestelmiä, jotka estävät asiattomien pääsyn henkilötietoihin.

3. Arvioi nykyinen tietoturvan taso koskien pääsyä henkilötietoihin, kuinka tehokas se on ja mitä puutteita siitä löytyy.

4. Tee suunnitelma tarvittavista muutoksista ja parannuksista liittyen valmiuteen, prosesseihin ja tarvittaviin teknologioihin

5. Luo prosessi hetkeen, jolloin tietovuoto haivaitaan.

Ota yhteys luotettavaan IT-kumppaniin, joka tarjoaa tietoturvaratkaisuja.

Tästä voit tehdä pikaisen testin ja nähdä, kuinka hyvin organisaatiosi on valmistautunut uuteen tietoturva-asetukseen; https://www.sophos.com/en-us/lp/compliancecheck/questionnaire.aspx

Tästä voit ladata työkalupakin valmistautuessasi EU:n tietoturva-asetukseen;
https://www.forcepoint.com/gdpr-opportunity-improve-data-protection-nordics

Katso myös teknologiatoimittajiemme sivustot asiasta: 
https://www.ipswitch.com/resources/best-practices/gdpr
https://www.rapid7.com/docs/EU-Data-Protection-Law-Quick-Guide.pdf
https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/eu-data-protection-laws.aspx