Viestintäviraston Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki, kuinka organisaatioiden tulee varautua toukokuussa 2018 voimaantulevaan EU:n tietosuoja-asetukseen?
Ensimmäiseksi pitää selkeyttää kokonaiskuva henkilötietojen käsittelyn nykytilasta. Tämä kannattaa aloittaa käymällä läpi, mitä henkilötietovarantoja organisaation hallussa on.
Tämän lisäksi tulisi tarkistaa, miten tietosuojaperiaatteet on otettu huomioon ja miten tietoturvasta on huolehdittu tähän asti. Oleellisia ovat organisaation toimintaan liittyvät henkilötietovirrat sekä henkilötietojen käsittelyn oikeusperusteet.
Keskeistä on myös, miten henkilötietojen käsittelyyn liittyvästä riskienhallinnasta on huolehdittu.
Toiseksi tulisi selvittää, mitä muutoksia tietosuoja-asetuksen sääntely tuo organisaation henkilötietojen käsittelyyn ja toimintaan. Tarvittavien toimenpiteiden laatu ja laajuus riippuvat organisaation käsittelemistä henkilötiedoista, käsittelyyn kohdistuvasta riskistä ja nykyisistä käytännöistä.
Erityisesti johdon pitää olla tietoinen muutoksista sekä niiden vaikutuksista organisaationsa eri toimintoihin.
Minkä näet olevan yritysten suurin haaste tietoturvan saattamisessa EU-asetuksen tasolle?
Riittävän tietoturvan tason ja tarvittavien toimenpiteiden tunnistaminen on erittäin haastavaa, sillä tulkintoja niistä on yhtä monta kuin tulkitsijaa. Tietoturvan järjestämisessä pitää osata nähdä koko kokonaisuus.
Lisäksi pitää ymmärtää, mitä on järkevää tehdä ja mihin kannattaa keskittyä. Keskiössä tulisi olla keskeiset ja tietoturvaan vaikuttavat asiat, ei viimeisen levyn kulmalla oleva yksittäinen henkilötieto.
Yrityksillä on usein käytössä alihankintaverkkoja. Kuka on vastuussa niiden tietosuojasta?
Vastuuta tietosuojasta ei pysty ulkoistamaan. Henkilötietojen rekisterinpitäjä on vastuussa toiminnassaan käsiteltävien tietojen suojauksesta. Yrityksen on huolehdittava siitä, että sama korkea turvallisuuden taso ja toimintaperiaatteet ulottuvat koko alihankintaketjuun.
Onko uusi tietosuoja-asetus työläs velvoite vai onko siitä hyötyä yrityksille?
Uusi asetus ei ole työläs velvoite, vaan ennemminkin hyvä paikka tarkastella oman liiketoiminnan turvallisuuden tasoa. Digitalisaatio perustuu pitkällä aikavälillä siihen, että ihmiset oppivat luottamaan yrityksen toimintaan ja palveluihin.
Mitä merkittävämpi palvelu on, sitä suurempi luottamuksen tulee olla.
Yritykset, jotka saavat nostettua perusturvallisuuden tason tarpeeksi korkealle ja pystyvät lisäksi tekemään sen näkyväksi, tulevat menestymään.
FAKTA
Jarkko Saarimäki
Syntynyt: 1977 Nurmossa.
Koulutus: Lakimies.
Ura: Viestintävirastossa eri tietoturvatehtävissä vuodesta 2004, lisäksi sivutoimia muun muassa oikeudellisia palveluita tarjoavissa yrityksissä.
Yritys: Viestintäviraston Kyberturvallisuuskeskus tukee suomalaista yhteiskuntaa digitaalisiin uhkiin varautumisessa.
Harrastukset: Kuntosali, juoksu ja lasten koripallo.
Teksti: Marjukka Puolakka. Haastattelu on alkujaan julkaistu Santa Monica Networksin Santeri-julkaisussa marraskuulla 2017.
Lue lisää tietosuoja-asetuksesta.
Lue myös
Kyberuhkia hallitaan peruskonstein
Älä vaaranna yrityksesi mainetta – Hoida nämä viisi tietosuoja-asiaa kuntoon