Blogi

Tietosuoja ja tietoturva kulkevat käsi kädessä

Digitalisoituvassa maailmassa tietoturva sekä tietosuoja limittyvät entistä enemmän toisiinsa. Uusi tietosuoja-asetus on nostanut nämä termit yritysten agendalle, ja tulevan asetuksen vaatimat muutokset tulisikin olla jo täydessä implementointivaiheessa.

Tietoturvalla tarkoitetaan palvelinympäristön sekä tietoliikenteen suojaamista. Verkkoympäristöjä eristetään toisistaan verkkokorteilla sekä palomuurilla. Ohjelmistojen peruskäyttäjille tuttuja tietoturvatyökaluja ovat mm. virustorjuntaohjelmistot. Toisaalta tietoturvan piiriin kuuluu myös fyysinen palvelinten vartiointi.

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietolakien sekä säädösten määrittämällä tavalla. Teknisesti tämä tarkoittaa datan hallinnoinnin prosessia, jossa määritellään datan käsittelyä palvelimilla sekä tietokannoissa olevilla ohjaavilla viitekehyksillä. Henkilötietodataa voi olla sekä palvelimilla että tietokannoissa. Asianmukaisesti suunnitellussa tietovarastossa dataan kohdistuvan väärinkäytön riskien hallinta on hyvällä tasolla.

Tietosuojatoimintaa ohjataan tiedon hallinnoinnin (IT governance) työllä. IT-maailmassa tunnetut viitekehykset ITIL sekä COBIT tarjoavat tähän perustukset:

  • Tieto säilytetään pääsääntöisesti tietokannoissa (database, data warehouse).
  • Tietokantojen toimintaa seurataan lokituksella.
  • Tietokantaan pääsee vain käyttöoikeuksien omistaja.
  • Tietokantaobjekteihin pääsee vain pääsyoikeuksien omistaja.
  • Tietokannan objekteille voidaan määrittää spesifejä rajoituksia esim. rivitasonsuojaus.
  • Tietokannan sisältö ja integraatio voidaan kryptata. Kryptaus voidaan toteuttaa myös ”liikkeellä olevaan” dataan.

Jotta oma toiminta olisi tietoturvan sekä tietosuojan kannalta kiitettävällä tasolla, ainakin ylläolevat seikat tulisi olla kunnossa yritysten IT-arkkitehtuurissa. Tämä on hyvä lähtökohta valmistautua tulevan tietosuoja-asetuksen yhteydessä mahdollisesti toteutettavaan auditointiin. Auditoinnin tarkoituksena on kartoittaa organisaation ymmärrys ja toteutus sekä tiedonhallinnasta että tietosuojasta.

Em. perusvaatimusten lisäksi joillain aloilla (esimerkiksi finanssi sekä lääketeollisuus) voi olla tietosuojaan liittyviä erityisiä vaatimuksia.

GDPR (General Data Protection Regulation) -auditointiin valmistautuessa tulisi läpikäydä ainakin seuraavat asiat:

  • Onko tietosuojavastaava nimitetty?
  • Mitä tietoa kerätään? Pyydetäänkö henkilötietojen osalta ko. tiedon omistajalta tarvittavat luvat?
  • Mitä asiakastietoa lokitetaan? Jos käytetään evästeitä, mikä on niiden käytön peruste?
  • Miten markkinointilupien hallinnointi on hoidettu?
  • Mitä tietoa jaetaan kolmansille osapuolille?
  • Miten turvallisuus-näkökulma on huomioitu identifioinnin, autentisoinnin ja autorisoinnin osalta?
  • Käydäänkö Privacy policyn säännöllisesti läpi, jolloin mm. tarkistetaan että sen ajantasaisuus voimassa olevien säädösten kanssa?