GDPR auditointi
20.02.2017
Mikko Hämäläinen

GDPR kiristää tietosuojavaatimuksia – aloita valmistautuminen jo nyt

GDPR (General Data Protection Regulation) on EU:n uusi tietosuoja-asetus, joka koskee kaikkea henkilötietojen käsittelyä. Omien järjestelmien ja prosessien päivittäminen voi olla monelle yritykselle vuoden 2017 suurin investointi ja todennäköisesti se sivuaa jollain tasolla myös sinun toimintaasi. GDPR tuo mukanaan ison muutoksen yrityksille.

Tietosuojalaki on astunut voimaan jo keväällä 2016, mutta sen soveltaminen alkaa vasta ensi vuoden toukokuussa. Käytännössä viimeistään silloin systeemien on oltava ajan tasalla, asetuksen rikkojalle lankeavat maksimisanktiot kun ovat miljoonaluokkaa. Atk-amatöörin on hankala käsittää, mitä kaikkea käyttäjätietoa omat järjestelmät tallentavat ja louhivat. Tietosuoja-asetus koskee niin intranettiin excelissä tallennettua henkilöstölistaa, verkkosivuston Google-analytiikkaa kuin verkkopalvelusi käyttäjädataa. Ja myös kaikkien edellisten varmuuskopioita.

Mitä GDPR tarkoittaa käytännössä?

GDPR peräänkuuluttaa ennen kaikkea läpinäkyvyyttä henkilötietojen käsittelyyn. Henkilötietoa on kaikki sellainen tieto, josta henkilön voi tunnistaa suorasti tai epäsuorasti – myös esimerkiksi evästeet ja paikkatieto ovat henkilötietoja.

Verkkopalvelun käyttäjältä tarvitaan ensinnäkin aktiivinen suostumus henkilötietojen keräämiseen. Esimerkiksi valmiiksi ruksittu “hyväksyn käyttöehdot” -laatikko ei enää kelpaa. Käyttäjällä on oikeus tietää, mitä tietoja hänestä on kerätty sekä oikeus päästä käsiksi näihin tietoihin. Hänellä on myös oltava mahdollisuus muokata, siirtää ja poistaa tietojaan sekä rajoittaa niiden käsittelyä.

GDPR vaatii myös nopeaa reagointia. Yritysten on esimerkiksi pystyttävä poistamaan käyttäjän tiedot ja ilmoittamaan tietomurroista viranomaisille ilman aiheetonta viivytystä. Myös käyttäjille, joiden yksityisyyden suojaan tietomurto vaikuttaa, on ilmoitettava.

Yritysten on pystyttävä osoittamaan, että ne noudattavat GDPR-lainsäädäntöä. Tämä on merkittävä muutos, sillä tällaista osoitusvelvollisuutta ei Suomessa ole ennen ollut, ja niinpä se edellyttää uusia toimintamalleja. Tietojärjestelmät tulee lähtökohtaisesti suunnitella niin, että ne tukevat tietosuojaa.

Nykytilanteessa henkilötietojen käsittely tietojärjestelmissä ei välttämättä ole läpinäkyvää. Eksplisiittisesti tallennettujen tietojen lisäksi järjestelmät voivat täydentää tietoja automaattisesti esimerkiksi analytiikan tai antureiden avulla. Lisäksi järjestelmät tallentavat tietoa useisiin eri paikkoihin, kuten välimuisteihin, varmuuskopioihin ja liitettyihin ulkoisiin järjestelmiin.

Miten tietosuojalain muutokseen voi valmistautua?

Oman pesän selvittely kannattaa aloittaa pikimmiten, sillä tietämättömyys ei enää vuoden päästä pelasta lakituvalta. Omat asiakkaamme saavat ennen takarajaa sopimustäydennykset, joilla selkeytetään tiedonkulkua ja vastuita osapuolten välillä: joissain tapauksissa meillä ei ole roolia asiakkaan henkilötietorekisterien käsittelyssä, ja joissain tapauksissa kehittämissämme verkkopalveluissa käsitellään arkaluontoistakin henkilötietoa.

Lakimiehet ja asiantuntijatahot tarjoavat erilaisia GDPR-kartoituksia ja -selkeytyksiä, niin myös me. Olemme lähteneet selvittelemään asetuksen vaikutuksia omaan ja asiakkaidemme toimintaan jo hyvissä ajoin.

Drupal GDPR -auditointimme on vastaus Drupaliin liittyviin epäselvyyksiin. Kartoitamme auditointiprojektissa muun muassa järjestelmän käsittelemän henkilötiedoksi laskettavan datan ja sen tallennuspaikat sekä tiedon hallintaan liittyvät prosessit. Tilaaja saa projektin jälkeen käteensä selväkielisen raportin, jonka hän voi tarvittaessa antaa eteenpäin organisaationsa tietosuojavaltuutetulle tai lakimiehille. 

Olemme myös aloittaneet GDPR-yhteensopivuutta edistävän Drupal-moduulin kehitystyön, jolla on tarkoitus automatisoida osa tarkistuksista. Avoimen lähdekoodin projektin sivut löytyvät drupal.orgista täältä.

Tietosuojalain vaatima ponnistus ei vaikuta kohtuuttomalta, mikäli yritys on noudattanut jo nykyisin voimassa olevia lakeja ja asetuksia henkilötietojen käsittelystä. Aina näin ei kuitenkaan ole, ja papereiden parsimiseen lähdetään tuntuvalta takamatkalta. GDPR-seminaareista on syntynyt sellainen vaikutelma, ettei EU:ssakaan vielä tiedetä, miten asetusta kuuluu pilkulleen noudattaa. Ensin tulee laki ja sitten terve järki.

Kannattaa joka tapauksessa olla ajoissa liikkeellä ja ottaa uusi tietosuojalaki tehokkaasti haltuun. Vältyt mittavilta sanktioilta, ja mikä tärkeintä, läpinäkyvyyden ansiosta kasvanut asiakkaittesi luottamus voi tuoda yrityksellesi kilpailuetua. 

Jos kaipaat apua, ota yhteyttä ja kysy lisää Drupal GDPR -auditoinnistamme.

Kirjoittaja