Avoin
Tätä uutista voi käyttää vapaasti. Muistathan kuitenkin mainita lähteen edilex.fi.

21.11.2016 11.45 KPMG:n Manager Mikko Viemerö: Tietosuoja-asetus tulee – onko organisaatiosi valmis?

KPMG:n Manager Mikko Viemerö: Tietosuoja-asetus tulee – onko organisaatiosi valmis?

Tietosuoja-asetus asettaa lähitulevaisuudessa kaikille asiakastietoja ja henkilöstönsä tietoja käsitteleville organisaatioille uusia, entistä haastavampia vaatimuksia. Uuden lainsäädännön soveltaminen alkaa 25. toukokuuta 2018, joten organisaatioissa on hyvä olla jo nyt käsitys siitä, minkälaisia puutteita niillä mahdollisesti on tietosuojan hallinnassa ja henkilötietojen käsittelyssä. Tämä mahdollistaa sen, että varsinainen kehitystyö ehditään käynnistää ajoissa. Tietosuoja-asetuksen vaatimuksista kertoo Käräjät-tilaisuudessakin puhunut Manager Mikko Viemerö KPMG:stä Edilexin Vierashuoneessa.

Jo pitkään vallinneiden tietosuojaperiaatteiden vahvistamisen lisäksi tietosuoja-asetus tuo rekisterinpitäjille ja tietojenkäsittelijöille uusia velvoitteita. Asetuksen keskiössä on niin kutsuttu rekisterinpitäjän osoitusvelvollisuus, joka velvoittaa rekisterinpitäjän täyttämään henkilötietojen käsittelyssä asetuksen vaatimukset sekä hallinnollisesti että teknisesti, ja tarvittaessa myös osoittamaan, että näin on todella toimittu. Tämä tarkoittaa esimerkiksi sitä, että organisaation on dokumentoitava, minkälaisilla toimenpiteillä se on täyttänyt vaatimukset ja millä perusteilla toimenpiteet on valittu.

Monissa organisaatioissa selvitetään tällä hetkellä asiantuntijoiden kanssa järkevintä etenemistapaa. Oikeanlaista osaamista on hankittava omaan organisaatioon tai sitä on haettava yhteistyökumppaneilta. Tietosuoja-asioiden asianmukaisella hoitamisella voi olla vaikutusta kilpailukyvyn ja markkinaposition kannalta. KPMG:n tuoreen kansainvälisen tutkimuksen mukaan 55 prosenttia kuluttajista on huolissaan yksityisyydestään ja on sen takia esimerkiksi jättänyt verkkokauppaostoksia tekemättä. Kuluttaja voikin tulevaisuudessa tehdä ostopäätöksensä sen perusteella, mitkä tahot kunnioittavat hänen yksityisyyttään aidosti ja myös osoittavat sen kertomalla läpinäkyvästi tietosuojakäytännöistään ja siitä, kuinka tietoja käyttävät. Organisaatioiden olisikin hyvä oppia priorisoimaan asiakkaiden yksityisyydensuoja liiketoiminnassaan.

KPMG:n Kyberturvallisuuden ja Lakipalvelujen lähestymistapa asiakkaiden muutostarpeisiin on kolmivaiheinen käytännönläheinen kehitysprosessi, jossa tarkastelunäkökulma on sekä juridinen, hallinnollinen että tekninen. Aluksi kartoitetaan asiakkaan toimintatavat tietosuojan hallinnoinnissa ja henkilötietojen käsittelyssä kriittisillä toiminnan osa-alueilla. Perinteisen gap-analyysin avulla osoitetaan mahdolliset kehityskohteet, joille määritellään myös konkreettiset korjaussuositukset. Tietosuojaan ja tietoturvaan liittyvät riskit analysoidaan, jotta korjaussuositukset kyetään priorisoimaan ja aikatauluttamaan oikein. Toisessa vaiheessa korjattavista kohteista hahmotellaan hallittavia kokonaisuuksia ja laaditaan tiekartta varsinaista kehitystyötä varten. Urakan kolmas vaihe – itse kehitystyö – saattaa kestää organisaation aiemmasta kypsyystasosta riippuen muutamista kuukausista yli vuoteen.

Tyypillisiä tietosuojan kipu- tai kehityskohteita ovat hallinnointirakenteiden ja politiikkojen kehittäminen, riskianalyysit sekä tiedon elinkaaren hallinta. Myös rekisteröityjen oikeuksien toteuttamisessa, henkilöstön osaamisessa, sopimusten hallinnassa sekä teknisissä ratkaisuissa on usein parantamisen varaa. Asetuksen riskilähtöisyys edellyttää riskien arviointia, prosesseihin ja teknologiaan sisäänrakennettua tietosuojaa sekä perusteellista dokumentointia. Tietojen suojausvalinnat on suhteutettava suojattavien tietojen luonteeseen ja niihin kohdistuviin riskeihin.

Valveutuneimmat yritykset ovat jo siirtyneet esianalyyseista kehitystyön pariin. Arviointiin on tärkeää panostaa, sillä se lisää organisaatioissa tietoa henkilötietojen käsittelystä niin johdon kuin henkilöstön tasolla ja auttaa tunnistamaan henkilötietojen käsittelyyn liittyviä kriittisiä prosesseja. Tämä puolestaan voi toimia sysäyksenä kulttuurinmuutoksen käynnistämiselle, mikäli sellaista tarvitaan. Yrityksen johto voi omalla esimerkillään vaikuttaa oman organisaationsa asenteisiin – tietosuojaan on suhtauduttava riittävän vakavasti. Tietosuoja-asetuksen sanktiot esimerkiksi tietovuototapauksissa voivat nousta jopa neljään prosenttiin yrityksen maailmanlaajuisesta liikevaihdosta tai 20 miljoonaan euroon.

Osa vaatimuksista täsmentyy vielä, kun viranomaiset ottavat kantaa asetuksen tulkinnanvaraisiin osiin. Viranomaislinjauksia ei kuitenkaan kannata jäädä odottelemaan, jos haluaa varmistaa, että omassa organisaatiossa asetusta noudatetaan alusta alkaen. Kehitystyön vaatimaa aikaa on vaikea arvioida, etenkin jos nykytila ei ole selvillä.  Tulkinnanvaraisuuden voi kääntää myös edukseen – organisaatioilla on jonkin verran liikkumavaraa järjestää esimerkiksi tiedon suojausratkaisut parhaaksi katsomallaan tavalla, kunhan toimitaan riskilähtöisesti.

Mikko Viemerö
Manager, tietosuojapalvelut
KPMG Cyber Security
mikko.viemero@kpmg.fi

Lue myös

#Karajat2016

Edilex-uutiset: Tietosuoja-asetus

Lakikirjat       Lakikirjat

www.lakikirja.com

Toimittaja: Jukka Savolainen, Edilex-toimitus (jukka.savolainen@edita.fi)