Väärinymmärretty GDPR – Mikä meni metsään?

EU:n tietosuoja-asetus toi tuskaa ja haasteita useille liiketoiminnan päättäjille sekä vastuutehtävissä työskenteleville. Joissakin organisaatioissa päätettiin nimetä henkilö vastuuseen uuden tietosuoja-asetuksen eteenpäin viemisestä, jolloin asetuksen oppiminen ja tulkinta jäi yhden henkilön hartioille.

Osa organisaatioista nimitti tietosuojavastaavan sillä perusteella, että blogeissa oli kirjoitettu vastaavan nimittämisen olevan jopa pakollista. Kaikkien ei tarvitse tietosuojavastaavaa nimittää ja vastaavan nimittäminen tuo myös vaatimuksia.

Virheitä tehtiin useassa organisaatiossa valtuuttamalla koko projekti yhdelle henkilölle ilman johdon tukea ja tarvittavia resursseja. Vähäinen tieto sekä konkreettiset esimerkit ja työkalut olivat haaste monessa organisaatiossa.

Tietosuoja-asetuksen kivinen tie

Tietosuojavaltuutetun sivuilla oli useiden mielestä lieviä epäselvyyksiä ja tulkinnanvaraa saatavilla olevassa tiedossa. Sivustolla oli toisiaan yliajavaa ohjeistusta ja aineistoa sillä hetkellä voimassa olevan henkilötietolain (523/99) ja uuden voimaan astuvan EU:n tietosuoja-asetuksen ympäriltä.

Selosteet käsittelytoimista käsitettiin useassa organisaatiossa tietosuojaselosteiksi. Rekisteriselosteista päivitettiin tietosuojaselosteita lisäämällä 30. artiklan (Asetuksen selosteet käsittelytoimista)  vaatimuksia. Vahinkoa syntyi, kun Internettiin vietiin tietoa järjestelmistä ja niiden suojaustekniikoista. Organisaatioiden sisäinen tieto päätyi julkiseksi.

Suomen uutta henkilötietolakia odotettiin, mutta sen voimaanastuminen ei ehtinytkään suunnitellusti toukokuulle.

Järjestelmähankinnalla korvattiin useissa organisaatioissa GDPR-projektit. Pettymyksiä oli paljon, kun huomattiin, että hankittu ”GDPR-järjestelmä” saattaisi vaatia vielä enemmän manuaalista työtä kuin tavanomainen GDPR-projekti.

Sopimuksia henkilötietojen käsittelijöiden ja rekisterinpitäjien välille ei ole vieläkään laadittu monissa organisaatioissa. Informointivelvoitteen täydentäminen on ollut haastavaa. Haasteita tuo myös tietojen elinkaariprosessien määrittely, jossa ongelmat esiintyvät vaikeutena toteuttaa datan tietoturvallinen poistaminen järjestelmästä.

Kokonaiskuvan hahmottaminen

Useassa organisaatiossa ei katsottu tietosuoja-asetusta kokonaisuutena. Suurelta osalta puuttuu vielä menetelmät ja toimintasuunnitelmat siitä, kuinka toimitaan tietosuojaloukkauksen tapahtuessa. Asetus tulisi istuttaa sisälle organisaation olemassa oleviin prosesseihin ja paras asiantuntija on prosessin omistaja ja henkilöstö. GDPR-muutosprojekti on kaikkien yhteinen projekti, ja sen ylläpitämisen tulisi olla jatkuvaa.

Mitä pitäisi tehdä?

Vääriä päätöksiä ja hankintoja on saatettu tehdä, jolloin on tärkeää todeta asia ja jatkaa eteenpäin uudella suunnitelmalla. Me voimme auttaa organisaatioita edistämään organisaation kyvykkyyttä vastata asetuksen vaatimuksiin – lähtötilanteesta riippumatta.

Ymmärrämme, että projekti saattaa joidenkin yritysten kohdalla olla jopa alkumetreillä. Voimme kuitenkin hyödyntää tietosuoja-asetuksen eteen tehtyä työtä ja mallintaa sen yrityksen prosesseja tukevaksi. Osoitusvelvollisuus on olemassa ja kysymys kuuluu: miten pystyt vastaamaan siihen?

Olemme IBMn Security -tiimin kanssa lokakuun 10. ja 11. päivä Cyber Security Nordic -tapahtumassa messukeskuksessa. Tule paikan päälle keskustelemaan kanssamme yrityksesi kyberturvallisuudesta, riskienhallinnasta ja tietosuojastrategiasta!

Lue lisää aiheesta:

Toteuta voittava GDPR-strategia ja menesty! Yksin olet hukassa

Kaikki lukot ovat murrettavissa

GDPR – Uhka vai mahdollisuus?

Avainsanat: GDPR, kyberturvallisuus, riskinhallinta, security, tietosuoja

Kommentit