Tapahtumien tietosuoja – 11 kysymystä suunnittelun avuksi

Tapahtumien tietosuoja muodostuu monesta asiasta. Suunnitelmallisuus on tärkeää, sillä iso osa tapahtuman tietosuojatyöstä tehdään jo ennen ilmoittautumisen avaamista. Suunnittele tapahtumien tietosuoja seuraavien kysymysten avulla:

  1. Miksi tapahtuman järjestäminen vaatii henkilötietojen käsittelyä?
  2. Mitä tietoja oikeasti tarvitaan?
  3. Millaista oheistoimintaa tapahtumassa järjestetään ja käsitelläänkö siinä henkilötietoja?
  4. Miten osallistujien tietoja halutaan hyödyntää myöhemmin?
  5. Miten ulkopuolisia palveluntarjoajia hyödynnetään tapahtuman järjestämisessä?
  6. Millaisia valokuvia tapahtumassa otetaan ja missä niitä julkaistaan?
  7. Mille tahoille osallistujien tietoja luovutetaan?
  8. Miten tapahtuman materiaalit lähetetään osallistujille?
  9. Miten ja minne tarpeelliset tiedot otetaan talteen?
  10. Mitä muille tiedoille tehdään tapahtuman jälkeen?
  11. Missä osallistujalle kerrotaan henkilötietojen käsittelystä?

Aihetta on käsitelty laajemmin Talk-verkkolehdessä: Tietosuoja tapahtumissa – mitä pitää huomioida?

Tapahtumien tietosuojan suunnittelussa voi auttaa myös tietovirtojen kuvaaminen.

10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.

Henkilötietoinventaario – kaiken hyvän ja pahan alku

Henkilötietoinventaario on henkilötietojen käsittelyn kartoitus, jossa yritys selvittää, missä kaikkialla henkilötietoja käsitellään. Inventaario on kaiken hyvän ja pahan alku. Tieto todellakin lisää tuskaa, mutta samalla mahdollistaa asioiden kehittämisen.

Käytännössä yritysten ja organisaatioiden kannattaa tehdä henkilötietoinventaario, jotta ne pystyvät täyttämään EU:n tietosuoja-asetuksen vaatimukset. Henkilötietoinventaarion toteuttamisesta on kuitenkin muutakin hyötyä.

Suurin hyöty on tulokset, jotka kertovat, missä kaikkialla organisaatio käsittelee tietojaan. Inventaarion avulla saa näkymän omaan organisaatioon sekä sen toimintaan:

Nyt tiedät, mitä et tiennyt.

Näkymästä voidaan tuottaa osia, jotka hyödyttävät muita. Esimerkiksi yhdellä yleisdokumentilla voidaan osoittaa:

  • millaista henkilötietojen käsittelytoimintaa yrityksellä on,
  • mitä tietoja yritys käsittelee, ja
  • mihin tiedot on tallennettu.

Inventaarion tuloksista ilmenee, jos organisaatiossa on päällekkäisiä tietojenkäsittelytoimia. Esimerkiksi kahta eri järjestelmää käytetään yhden ja saman asian toteuttamiseen. Miksi maksaa molemmista?

Inventaarion tulokset auttavat priorisoimaan asioita. Esimerkiksi asiakasdata on olennaista yritykselle. Jos havaitaan, että asiakasdata on ripoteltuna ympäri levyalueita, pilvipalveluita ja vanhoja järjestelmiä, kannattaisi asialle varmasti tehdä jotain. Priorisoidaan tekeminen asiakasdatan keskittämiseen ja vanhojen järjestelmien hallittuun alasajoon sen sijaan, että puuhasteltaisiin jotain muka-olennaista.

Henkilötietoinventaariosta luvatut hyödyt nostavat intoa ja tuovat hymyn naamalle. Let’s do this! Inventaarion työmäärää ei kuitenkaan kannata aliarvioida. Keskisuurissa ja suurissa organisaatioissa naama palautuu peruslukemille hyvinkin nopeasti. Pienet yritykset pääsevät todennäköisesti vähemmällä.

Tuska paatissa muodostuu siitä, että tietoa on paljon. Valtavasti. Eri järjestelmissä. Eri tallennuspaikoissa. Kotimaassa. Ulkomailla. EU:ssa ja sen ulkopuolella. Omalla vastuulla. Muiden vastuulla. Kohta huomaa taas pyörivänsä GDPR:n kauhun kehässä!

Inventaario avaa silmät. Nyt pitää enää uskaltaa katsoa. Käännä katse tuskasta tulokseen. Kun hyväksyy sen, että kaikki ei ole täydellistä ja tekemistä riittää, voi tuloksia hyödyntää moneen asiaan.

Esimies, olet tietoturvallisuuden esimerkki, ohjeistaja ja valvoja

Esimies tai -nainen, esihenkilö, omaa olennaisen roolin organisaation tietoturvan toteuttamisessa. Esihenkilöt mahdollistavat tietoturvalliset työskentelytavat. He ohjeistavat työntekijöitä, valvovat toimintaa ja näyttävät esimerkkiä yhdessä yritysjohdon kanssa.

Esihenkilö on esimerkki

Esihenkilö näyttää esimerkkiä päivittäisessä toiminnassa. Hyvää tai huonoa! Esimerkillä on vaikutusta työtekijöiden tietoturva-asenteisiin ja tätä kautta koko organisaation tietoturvaan.

Esimerkki
Esihenkilö pyytää työntekijöitä kommentoimaan palaverimuistiota ja uuden tuotteen teknistä suunnitelmaa. Muistio sijaitsee ulkoistetussa pilvipalvelussa, johon pääsee helposti käsiksi ja tarvittavat muokkaukset onnistuvat nettiselaimella. Tekninen suunnitelma löytyy puolestaan erilliseltä verkkolevyltä, jonne pääsee vain organisaation laitteilla ja käyttäjätunnuksilla. Esihenkilö muistuttaa, että suunnitelma on luottamuksellinen ja siksi sitä käsitellään vain tässä ympäristössä. Työntekijät omaksuvat vastaavat turvalliset toimintatavat.

Esihenkilö ohjeistaa

Esihenkilön tehtävänä on varmistaa, että hänen työntekijät saavat tarvittavan tietoturvakoulutuksen. Työntekijöille on kerrottava, miten eri tehtävissä toimitaan ja mitä oikeuksia ja velvollisuuksia työntekijöillä on.

Esimerkki
Esihenkilö on havainnut, että yksikön työntekijät käsittelevät luottamuksellisia tietoja eri tavoin. Työntekijöille koulutetaan käytännön esimerkein, miten tietoturvallisuus huomioidaan työtehtävissä. Lisäksi toteutetaan tarvittavat toimintaohjeet, jotka ovat linjassa yrityksen muiden tietoturvaperiaatteiden kanssa. Kaikki toimivat samalla turvallisella tavalla eikä turhia vahinkoja pääse tapahtumaan.

Toiminnan valvonta: tehdään, kuten on sovittu!

Esihenkilön yhtenä tehtävänä on valvoa, että organisaatiossa määritettyjä tietoturvaperiaatteita ja toimintaohjeita noudatetaan. Tämä on tärkeää, jotta tietoturvallisuutta toteutetaan joka puolella samalla tavalla. Valvomatta jättäminen johtaa turhiin riskeihin.

Esimerkki
Esihenkilö huomaa työntekijän lähettäneen sähköpostitse tietoja, joita ei sähköpostilla saisi lähettää. Esihenkilö mainitsee asiasta työntekijälle ja ohjeistaa oikean tavan toimia. Hän myös perustelee, miksi toimintamalli ei ole suotavaa. Pelkkä tietoturvasääntöihin viittaaminen aiheuttaisi vastareaktion.

Esihenkilö kysyy työntekijältä, miksi hän toimi vastoin ohjeita. Vastauksesta ilmenee puutteita perehdyttämisessä ja käytännön työn ohjeistuksessa. Muut työntekijät ovat myös kertoneet, että tietoturvalliseksi määritelty työskentelytapa on liian hankalasti toteutettava. Yksinkertaisella kysymyksellä saatiin listattua useita kehittämiskohteita! Ilman valvontaa vanha toimintamalli jatkuisi ja johtaisi turhiin riskeihin.

Esimies tai esinainen – kysy, kuuntele ja näytä mallia!

GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.