1. Mistä on kyse
Tietosuojaan liittyvät kysymykset koskettavat tänä päivänä lähes jokaista organisaatiota. Organisaation hallussa olevan tiedon vuotaminen, tuhoutuminen tai muuttuminen voi pahimmillaan rampauttaa organisaation toiminnan pitkäksikin aikaa. Tietosuojalla tarkoitetaan perusoikeutta, jonka tarkoituksena on turvata rekisteröidyn henkilön oikeuksia ja vapauksia liittyen hänen yksityisyyteensä.
Vuonna 2018 voimaan tulleen Euroopan Unionin tietosuoja-asetuksen, toisin sanoen GDPR:n (General Data Protection Regulation) tarkoituksena on yhtenäistää EU-alueen organisaatioiden ja yhdistysten henkilötietojen käsittelyä ja parantaa yksityishenkilöiden tietosuojaan liittyviä oikeuksia edelleen digitalisoituvassa maailmassa. Tietosuoja-asetuksen mukaan rekisterinpitäjän ja käsittelijän tulee suojata henkilötiedot niin, että henkilötiedot ovat oikeita, luotettavia ja ajantasaisia, että henkilötiedot ovat vain oikeutettujen henkilöiden saatavilla sekä huolehtia etteivät henkilötiedot joudu ulkopuolisten haltuun.
Organisaatioissa tämä tarkoittaa lyhykäisyydessään sitä, että sen tulee pystyä vastaamaan tietosuoja-asetuksen asettamiin vaatimuksiin henkilötietojen käsittelyssä. Tämä asettaa organisaatiot tilanteeseen, jossa joudutaan pohtimaan GDPR:n mukana tuomia vaatimuksia organisaatiossa käytössä olevien tietojärjestelmien ja ohjelmistojen osalta. Lisäksi tulee varmistua siitä, että asetuksen vaatimukset otetaan huomioon myös liiketoiminnan muutostilanteissa.
2. Miksi asia on ajankohtainen tai tärkeä
Globalisaation ja digitaalisen kehityksen myötä organisaatiot joutuvat vastaamaan yhä enenevissä määrin tietosuojaa koskevaan lainsäädännön vaatimuksiin. Henkilötietoja käsiteltäessä organisaation on noudatettava tietosuoja-asetusta, mutta tämä yksin ei riitä. Organisaation on lisäksi pystyttävä myös osoittamaan, että se tosiasiallisesti noudattaa tietosuojaa koskevaa lainsäädäntöä. Koska tietosuojauhat lisääntyvät jatkuvasti, on organisaation pysyttävä tilanteen tasalla. Toisin sanoen, organisaation tulee hallitusti ja jatkuvin toimenpitein hallita tietosuojariskejä suhteessa toiminnassa tapahtuviin muutoksiin.
Ohjelmistojen tietosuojan auditoinnilla lisätään ymmärrystä organisaation tietosuojan nykytilasta ja tarpeista korjaaville toimenpiteille. Näin organisaatio pystyy kohdentamaan resursseja tarkoituksenmukaisesti ja taloudellisesti tietosuojan varmistamiseksi. Nykypäivänä me kaikki törmäämme uutisointiin kyberturvallisuudesta, hakkereista, tietoturvallisuudesta ja tietovuodoista. Koska yksityishenkilöiden tietosuoja ja tietosuojaloukkaukset ovat nykypäivän kuuma keskustelunaihe, on tärkeää tunnistaa myös tietosuojan auditointien hyödyllisyys osana asiakas- ja sidosryhmäluottamuksen lisäämistä. Olennaista on, että henkilöstö, asiakkaat ja eri sidosryhmät voivat luottaa organisaation kykyyn suojata heitä koskevia henkilötietoja. Yhteiskunnallisesta näkökulmasta organisaatioilla on myös roolinsa kansalaisten luottamuksen ylläpitämisessä yhteiskunnassa lisääntyvää digitalisoitumista kohtaan.
Tietoturvatestauksen avulla organisaatio saa analyysin mahdollisista järjestelmissään olevista haavoittuvuuksista ja tietoturvan heikkouksista, kuten esimerkiksi puutteellisista päivityksistä, jotka altistavat hyökkäyksille. Ohjelmistojen tietosuojan auditoinnilla taas tarkoitetaan organisaation käyttämien ohjelmistojen tämänhetkistä tietosuojan lainmukaisuuden ja ajantasaisuuden selvittämistä.
Ohjelmistojen tietosuojan auditoinnilla tarkoitetaan organisaation käyttämien ohjelmistojen tämänhetkistä tietosuojan lainmukaisuuden ja ajantasaisuuden selvittämistä. Auditoinnin avulla organisaatio varmistuu riittävästä tietosuojan tasosta sekä tietosuojalain vaatiman osoitusvelvollisuuden täyttymisestä. Lisäksi tietosuoja-auditointi toimii ennaltaehkäisevänä toimena mahdollisten tietosuojaloukkausten, taloudellisten sanktioiden sekä organisaatioon kohdistuvien maineriskien torjunnassa.
3. Ketä tämä koskee
Tietosuoja-asetusta sovelletaan tilanteissa, joissa yritys käsittelee henkilötietoja ja sijaitsee EU alueella riippumatta siitä, missä itse henkilötietojen käsittely tapahtuu. Lisäksi asetusta sovelletaan yrityksiin, jotka sijaitsevat EU-alueen ulkopuolella, mutta käsittelevät henkilötietoja, jotka liittyvät tavaroiden ja palveluiden tarjoamiseen henkilöille EU-alueella tai tapauksissa, joissa yritys seuraa yksilöiden käyttäytymistä EU-alueella. Rekisterinpitäjä ja käsittelijä ovat velvollisia arvioimaan henkilötietojen käsittelyyn liittyviä riskejä. Riskiprofiiliin vaikuttavat erilaiset tekijät kuten esimerkiksi käsiteltävän tiedon määrä, tiedon arkaluonteisuus, käyttäjien lukumäärä, käytössä olevien järjestelmien luonne sekä tietojenkäsittelyn ulkoistaminen.
Koska nykypäivänä organisaation jokapäiväinen toiminta ja toiminnan tuloksellisuus ilman erilaisia tietojärjestelmiä ja ohjelmistoja, on käytännössä katsoen mahdotonta, hyötyvät ohjelmistojen tietosuojan auditoinnista organisaatiot riippumatta toimialasta tai toiminnan laajuudesta. Työ riittävän tietosuojatason varmistamiseksi ja muutosten pyörteissä mukana pysymiseksi voi käydä organisaatioille aika ajoin raskaaksi. Kuinka siis varmistua siitä, että tietosuojan taso riittää nyt ja jatkossa?
4. Miten asia olisi järkevä toteuttaa (ja kenen toimesta)
Riittävän tason varmistaminen vaatii asiantuntijuutta, jatkuvaa tarkastelua ja ajan hermolla pysymistä. Tietojärjestelmien osalta on määriteltävä, millaisia henkilötietoja organisaatio käsittelee ja minkälaisia järjestelmiä tähän käytetään, mikä on sopimusten laita ohjelmistojen toimittajien kanssa entäpä käyttäjien tunnukset ja käyttöoikeudet ja riittävät lokitiedot? Rekisterinpitäjän ja käsittelijän on ensiksikin tunnistettava ja arvioitava henkilötietojen käsittelyyn liittyvät riskit ja muodostettava tarpeelliset hallintatoimet suhteessa arvioituun riskitasoon
Ilman järjestelmällistä ja kattavaa auditointia, on oikeastaan mahdotonta käytännössä sanoa, onko organisaation tietosuoja riittävällä tasolla henkilötietojen suojaamiseksi. Tietosuojan auditoinnin tarkoituksena on tunnistaa ja mitata organisaatioon kohdistuvat ohjelmistojen tietosuojariskit kaikkien organisaation toimintojen osalta, sekä tuoda esiin mahdolliset kehitystarpeet.
Organisaation sisäistä tietosuojan auditointia huomattavasti tehokkaampaa on käyttää ulkopuolista auditointia. Auditoinnin tulisi perustua puolueettomuudelle, mikä voi sisäisessä auditoinnissa osoittautua toisinaan haasteelliseksi. Ulkopuolinen auditointi tarjoaa puolueettoman arvion organisaation tämänhetkisen tietosuojan tasosta. Ulkopuolinen, kouluttautunut asiantuntija tunnistaa, mittaa ja raportoi tietosuojariskit ja tuottaa asiantuntijamääritelmän tietosuojan tämänhetkisestä tasosta sekä sen parantamiseen vaadittavista toimenpiteistä.
5. Miten Seclion voi olla avuksi
Seclion on Suomen johtava organisaatioiden kokonaisturvallisuuden erikoistunut asiantuntijayritys. Turvallisuuden kehittämisen ytimenä toimii riskien arviointi, eikä ohjelmistojen tietosuojan kehittäminen ole poikkeus. Riskien arvioinnin avulla tunnistetaan arviointikohteeseen (ohjelmistot) liittyvät riskit, tarkastellaan niiden todennäköistä toteutumista sekä vaikuttavuutta. Riskien arvioinnin tarkoituksena on tuottaa tietoa päätöksentekoa varten niin, että turvallisuuden kehittäminen on yhtäaikaisesti ammattimaista sekä kustannustehokasta. Seclionilta saat turvallisuusalan asiantuntijoiden riippumattoman auditoinnin ohjelmistojen tietosuojasta, sekä perustelut toimenpiteistä riittävän suojan varmistamiseksi.
Kutsun sinut virtuaaliseen esittelyyn tutustumaan tarkemmin kokonaisturvallisuuden asiantuntijataloon ja tapaan miten lähestymme turvallisuutta ja kuinka ratkaisemme turvallisuuteen liittyviä ongelmia.
Mikäli haluat vielä lisää tietoa liittyen tietoturvallisuuteen tai tietosuojaan liittyen, klikkaa alla olevaa nappia.