EU:n yleisen tietosuoja-asetuksen lähtökohta on riskilähtöisyys. Henkilötietoja käsittelevien rekisterinpitäjien ja käsittelijöiden on arvioitava henkilötietojen käsittelyyn liittyvät riskit ja valittava riittävät hallintatoimenpiteet suhteessa arvioituun riskitasoon.
Riskiprofiiliin vaikuttavat esimerkiksi seuraavat tekijät:
EU:n yleinen tietosuoja-asetus vaatii, että rekisterinpitäjä ja käsittelijä huolehtii hyvin hallussaan olevista rekisteröidyn henkilötiedoista. Rekisteröidyn henkilötiedot on suojattava niin, että
Tietosuojan riskienhallinnan on oltava hallittua ja jatkuvaa, muuten tietosuojauhkien hallinta ei pysy uusien, koko ajan lisääntyvien uhkien tasolla. Samoin jos tietosuojan riskienhallinta ei ole suunnitelmallista voivat tästä aiheutuvat kustannukset kasvaa merkittäviksi. Tunnistamalla ja arvioimalla tietosuojauhat, niiden vaikuttavuus ja merkittävyys organisaation toiminnalle, pystytään vastaamaan keskeisiin uhkiin järkevien kustannuksin.
Jos organisaatiolla on olemassa riskienhallintaprosessi, tulee tietosuojariskien hallinta liittää osaksi sitä. Näin varmistetaan, että ainakin merkittävimmät riskit tulevat organisaation johdon tietoon.
Tietoturvan riskienhallinta liittyy oleellisesti tietosuojan riskienhallintaan, joten ainakin näiden riskienhallinta on oltava kunnossa, jos halutaan saavuttaa hyvä tietosuojataso organisaatiossa.
Tietoturvariskien hallinnasta voit lukea lisää täältä.
Tietosuojariskien arviointiin ei riitä, että tietosuojauhat arvioidaan vain erimerkiksi tietojärjestelmien tai tietoverkkojen osalta. Uhat voivat kohdistua organisaatioon monesta suunnasta. Lisäksi uhkat voivat olla sisäisiä tai ulkoisia.
Organisaation johdon tietoisuus tietosuojariskeistä on niiden hallinnan perusta. Johdon käytössä olevat välineitä ovat hallittu tietosuoja ja -turvatyö, osaamisen hyödyntäminen ja riskienhallinnan muiden lähtökohtien luominen. Hallinnolliseen tietosuojaan kuuluvat myös organisaation suhteet asiakkaisiin ja sidosryhmiin. Myös hankinnat liittyvät kaikkiin tietosuojan osa-alueisiin.
Organisaation henkilöstön tietosuoja on henkilöstön tekemän henkilötietojen käsittelyn riskien hallintaa. Tietoisuus uhkista ja osaaminen luovat pohjan onnistuneelle toiminnalle.
Fyysinen tietosuojan varmistaminen sisältää organisaation tuotanto- ja toimitilojen fyysiseen suojaamiseen liittyvät asiat, joilla pyritään estämään organisaation käsittelemien henkilötietojen tuhoutuminen, vahingoittuminen tai joutuminen vääriin käsiin.
Tietoliikenteen tietosuojaan sisältyvät mm. tietoliikennelaitteiston kokoonpano, luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, viestinnän salaus ja varmistaminen, henkilötietojen kannalta merkityksellisten tapahtumien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen.
Laitteiston tietosuoja käsittää tietojenkäsittely- ja tietoliikennelaitteiden käytettävyyden, toiminnan, kokoonpanon, kunnossapidon ja laadunvarmistuksen.
Organisaation ohjelmistojen tietosuojaan kuuluvat käyttöjärjestelmät, ohjelmistot sekä sovellus- ja tietoliikenneohjelmat. Tähän alueeseen kuuluvat myös ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt, ohjelmistojen laadunvarmistus sekä turvallisuustoimet.
Tietoaineiston tietosuoja käsittää asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden. Keinoina ovat mm. tietoaineistojen luokitus ja luettelointi ja tietovälineiden asianmukainen hallinta, käsittely, säilytys ja hävittäminen.
Käytön tietosuoja kattaa tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvän turvallisuuden. Riskianalyysin tulee kattaa myös organisaation ulkoistamat palvelut. Etätyön, jossa käsitellään henkilötietoja, riskianalyysissä arvioidaan etätyöhön kohdistuvia uhkia, näiden todennäköisyyksiä ja vaikutuksia sekä valitaan toimenpiteet, joilla riski saadaan halutulle tasolle.
Tietosuojauhkat, jotka kohdistuvat organisaatioihin ovat tänä päivänä nopeasti kasvava todellinen uhka organisaatioiden menestykselle. Sen hallussa olevat tiedot muodostavat nykyisin organisaation keskeisen omaisuuden. Tietojen vuotaminen, tuhoutuminen tai muuttuminen voivat aiheuttaa organisaatiolle vakavia ongelmia, joista toipuminen voi kestää huomattava pitkän ajan. Lisäksi EU:n yleinen tietosuoja-asetus vaatii organisaatiot tekemään henkilötietojen käsittelylle tietosuojan riskienarvioinnin.
Normaalille organisaatiolle tietosuojauhkien hallinta muodostaa ison haasteen normaalin toimintansa rinnalle. Tietosuojariskien kanssa toimiminen vaatii erityisosaamista ja jatkuvaa ajanhermolla pysymistä. Tietosuojan osaamista ei välttämättä organisaation kannata hankkia itselleen, vaan tehokkainta voi olla tehdä asiat yhdessä osaavan tiesuojakonsultin ja valmiin riskienhallintaohjelmiston kanssa.
Tietosuojariskien arviointi:
Muutamia vaatimuksia, joilla varmistetaan tietoturvariskien arvioinnin onnistuminen:
Tästä voit katsoa Pro Tietosuoja -palvelun käytön nopean esittelyn videomuodossa.