Pääsy PDF-dokumenttiin vaatii sisäänkirjautumisen.
Organisaation hyvä tietoturvan sääntelyjärjestelmä
Andersson, Jenna 2.12.2024, Väitöskirja
Alkuperäinen julkaisupäivä: 26.9.2024
Tietoturvallisuuden merkitys on kasvanut teknologian kehittymisen, digitalisoitumisen ja globalisaation myötä. Kybertoimintaympäristöömme kohdistuu uhkia, joilla on merkittäviä vaikutuksia organisaatioiden toimintaan, yhteiskunnan toimivuuteen ja yksilöiden oikeuksiin. Nykyisessä, järjestelmäriippuvaisessa verkko-yhteiskunnassa tulee olla sellainen organisaatioiden tietoturvan sääntelyjärjestelmä, joka suojaa tehokkaasti yksilöiden henkilötietoja ja muita oikeuksia sekä organisaatioiden luottamuksellisia tietoja ja jatkuvuutta. Tässä tutkimuksessa muodostetaan ja määritellään voimassa olevan lainsäädännön nojalla organisaatioiden hyvä tietoturvan sääntelyjärjestelmä. Tutkimuksessa kootaan yhteen ja systematisoidaan lukuisat organisaatioiden tietoturvaa koskevat säännökset, joita arvioidaan organisaatioiden hyviä tietoturvakäytänteitä ja käytännesääntöjä vasten. Näin tutkimuksessa esitetään lainsäädännön hyvän tietoturvatavan muodostama kokonaisuus. Tutkimustehtävän toteuttaminen edellyttää nykyisen tietoturvan sääntelyjärjestelmän sisällön ja tehokkuuden sekä yleisen tietoturvalain säätämistarpeen arviointia. Tutkimuksessa esitetään kaksi tutkimuskysymystä: 1) onko nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä hyvä ja 2) onko Suomessa tarpeen kansallinen tietoturvalaki? Tässä oikeusdogmaattisessa tutkimuksessa on myös ongelmakeskeisen lainopin ja de lege ferenda -tutkimuksen piirteitä. Tutkimus on sekä säännöstutkimusta että lainsäädäntötukimusta.
Tutkimuksessa tunnistetaan elementtejä organisaatioiden hyvälle tietoturvan sääntelyjärjestelmälle, joita käytetään kriteereinä tutkimuskysymyksiin vastatessa. Näitä ovat: teknologianeutraalisuus, proaktiivisuus, hyvien käytänteiden huomioiminen, kohtuullisuus ja oikeudenmukaisuus, tavoitettavuus ja ymmärrettävyys, johdonmukaisuus ja yhtenäisyys sekä yksilöiden ja perusoikeuksien huomioiminen. Tutkimuksen eräs havainto on se, että nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä ei ole hyvä näiden kriteerien valossa. Hajanainen sääntely johtaa epäjohdonmukaiseen ja epäyhtenäiseen sääntelyyn sekä vaikeuttaa tietoturvasäännöksien tavoitettavuutta ja ymmärrettävyyttä. Organisaatioita koskevien tietoturvasäännöksien ja hyvien tietoturvakäytänteiden välillä on myös eroavaisuuksia. Tutkimuksen perusteella kansallinen tietoturvalaki on tarpeen, sillä tällöin tietoturvan sääntelyjärjestelmä suojaa paremmin organisaatioiden luottamuksellisia tietoja, yksilöiden oikeuksia sekä toimii proaktiivisemmin alati muuttuvassa yhteiskunnassamme.
- Asiasanat
- Henkilötieto - Kyberturvallisuus - Tietosuoja - Tietoturva
Linkit
- Säädökset > EU-lainsäädäntö EPNDir (EU) 2016/2102 EPNDir (EU) 2016/2102 julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta 26.10.2016 (saavutettavuusdirektiivi)
- Säädökset > EU-lainsäädäntö EPNAs (EU) 2016/679 EPNAs (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (GDPR) 27.4.2016
- Säädökset > EU-lainsäädäntö EPNAs (EU) 2019/881 EPNAs (EU) 2019/881 Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) 17.4.2019
- Säädökset > EU-lainsäädäntö EPNDir (EU) 2022/2555 EPNDir (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) 14.12.2022 (kyberturvallisuusdirektiivi)
- Säädökset > EU-lainsäädäntö EPNDir (EU) 2022/2557 EPNDir (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta 14.12.2022 (CER-direktiivi)
- Säädökset > Lainsäädäntö731/1999Suomen perustuslaki
- Säädökset > Lainsäädäntö917/2014Laki sähköisen viestinnän palveluista
- Säädökset > Lainsäädäntö306/2019Laki digitaalisten palvelujen tarjoamisesta
- Säädökset > Lainsäädäntö906/2019Laki julkisen hallinnon tiedonhallinnasta
- Oikeuskäytäntö > KHO:n ennakkopäätökset KHO:2018:112 17.8.2018 Tietosuoja - Henkilötieto - Hakupalvelu - Henkilön nimellä tehtävä haku - Tarpeeton henkilötieto - Terveydentilaa koskeva tieto - Henkirikos - Oikeus tulla unohdetuksi - Rekisterinpitäjä - Hakutulosten poistaminen - Yksityiselämän suoja - Sananvapaus - Intressipunninta