GDPR-varautuminen vaatii myös teknologiainvestointeja

EU:n tietosuoja-asetus, GDPR, vaikuttaa yritysten ja organisaatioiden henkilötietojen käsittelyyn merkittävästi ensi vuonna.

Uusi asetus tulee voimaan toukokuussa 2018 kahden vuoden siirtymäajan jälkeen ja sen tarkoituksena on parantaa EU:n kansalaisten oikeuksia koskien tietosuojaa sekä omien henkilötietojen luottamuksellista käsittelyä. Lisäksi se yhtenäistää eri maiden hajanaiset tietosuojakäytännöt. Asetus luo uusia velvollisuuksia yrityksille ja organisaatioille, jotka säilyttävät näitä henkilötietoja omissa tietokannoissa ja järjestelmissä.

Tällä hetkellä monet asiantuntijaorganisaatiot kertovat siitä, kuinka tärkeää on kartoittaa ja analysoida nykytilannetta sekä määritellä henkilötietojen käsittelyn vastuut, prosessit ja käytännöt, jotta vaatimuksiin voidaan vastata.

Tämä on mielestäni hyvä alku, josta kannattaa lähteä liikkeelle. Tärkeää on kuitenkin ottaa huomioon, että prosessien, koulutuksen ja käytäntöjen lisäksi tarvitaan myös edistyksellistä teknologiaa. Näin voidaan varmistaa GDPR-vaatimusten toteutuminen sekä valvoa ja suojata sitä ympäristöä, jossa henkilötietojen käsittely tapahtuu.

Otetaan esimerkkinä eri tietokannoissa oleva henkilötieto. Kuinka tätä tietoa voidaan helposti tunnistaa, luokitella ja valvoa? Kuinka saadaan säännölliset raportit siitä, mitkä tahot ovat hyödyntäneet tätä tietoa esimerkiksi auditoijille? Alkuun toki tulee määritellä prosessi, että säännölliset toimenpiteet tehdään, mutta niiden varsinainen toteuttaminen manuaalisesti on aivan liian työlästä. Tarvitaan ratkaisu, joka pystyy säännöllisesti skannaamaan tietokannat ja tekemään henkilötietojen luokittelun ja raportoinnin.

Toinen hyvä esimerkki on henkilötietojen käsittelyn sekä säilytyksen suojaaminen. Ympäristön, jossa tietoa säilytetään ja käsitellään, tulee olla suojattu ja valvottu kellon ympäri, jotta mahdolliset tietomurrot voidaan havaita ja estää. Lisäksi tulee pystyä varmistamaan henkilötietojen turvallinen liikkuvuus järjestelmien sisällä ja niiden välillä. Käytännössä organisaatiossa tulee olla edistyksellinen verkon ja IT-ympäristön valvonnan järjestelmä, kuten IBM Security QRadar, jotta vaatimukseen voidaan todennetusti vastata. Kannustan IT-päättäjiä olemaan asiassa proaktiivisia ja ennakoimaan tulevaa. Ajoissa tehdyt investoinnit auttavat varautumaan muutokseen ja varmistamaan sen, että lakimuutoksen ensi vuonna astuessa voimaan, omalla organisaatiolla on kaikki kunnossa.

GDPR:n todistettavuusvaatimus tarkoittaa kärjistetysti sitä, että olet syyllinen, ellet voi toisin todistaa. Toimivien prosessien ja koulutetun henkilöstön lisäksi tulee olla olemassa konkreettiset keinot ja teknologiat, joilla vaatimustenmukaisuus täytetään ja voidaan todistaa.

 

 

Esa Törölä, myyntijohtaja, Cyber Intelligence, Combitech

Avainsanat: GDPR, tietoturva

Kommentit