GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.

EU:n tietosuoja-asetus: aloita tästä

EU:n tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan toukokuussa 2016 ja sitä sovelletaan 25.5.2018 lähtien. Kiinnostus aiheen ympärillä kasvaa tasaiseen tahtiin ja syytä olisikin. Ns. siirtymäajasta on enää alle puolet jäljellä, joten yritysten kannattaa edistää asiaa myös kesällä.

Internetissä on luettavissa paljon hyviä blogipostauksia ja muita lähteitä usealla eri kielellä. Aloita tietosuoja-asetukseen tutustuminen lukemalla nämä:

Suosittelen lisäksi seuraamaan aktiivisesti tietosuojavaltuutetun sekä WP29-tietosuojaryhmän sivustoja, joihin päivitetään olennaisia asioita tietosuoja-asetukseen liittyen. Kannattaa tutustua myös ICO:n sivustoon ja sieltä erityisesti kohtaan GDPR: 12 steps to take now.

Viisi harvinaisempaa faktaa tietoturvasta

Ohessa on muutama harvinaisempi fakta tietoturvasta. Poimin ne Petteri Järvisen pitämästä koulutuksesta Tietoturvaa yrityskäyttäjille. Koulutuksen organisoi Turun kauppakamari. Koko päivän kestäneessä koulutuksessa nousi esiin monia olennaisia tietoturvaan liittyviä huomioita ja vinkkejä. Suosittelen!

Mukavuus kertaa turvallisuus on vakio

Petterin mukaan tietoturvallisuuden keskeinen periaate on: mukavuus x turvallisuus = vakio.

Käytännössä tarkoittaa sitä, että turvallisuutta lisättäessä joutuu tinkimään mukavuudesta. Asiasta on kerrottu käytännössä esimerkiksi Mikrobitissä julkaistussa älypuhelimen tietoturvaoppaassa sekä Petterin blogissa julkaistussa salasanat ovat psykologiaa -postauksessa.

Tietoturva on maalaisjärkeä

”Miten saadaan ihmiset olemaan hölmöilemättä?” Esimerkiksi ”varmuuskopioiden ottaminen on nykyään niin helppoa, että jos tiedostoja kadottaa, ei voi kuin itseään syyttää.”

Toinen hyvä esimerkki on virustorjunta. Siihen luotetaan aivan liikaa. Paraskaan virustorjunta ei pysty suojaamaan ihmistä itseltään. Petterin mukaan ”On pienempi riski jättää sähköpostin liite avaamatta, kuin avata se epävarmassa tilanteessa.” Pitää täysin paikkaansa. Vähän kuitenkin kiinnostaisi tietää, mitä siinä liitteessä on…jos näin on, niin ota yhteyttä lähettäjään, ja kysy.

Tietoturva on kansalaisvelvollisuus

Kansalaisten IoT-laitteita käytetään verkkohyökkäysten tukena. Tietoturvasta huolehtiminen on siis kansalaisvelvollisuus. Petteri tiivisti asian erittäin hyvin näin: ”90-luvulla tietoturva oli yritysasia, 2000-luvulla henkilökohtainen asia, 2010 luvulla kansallinen asia.”

Salasanasäännöt ovat hölmöjä

Tietoturva-asiantuntijat jaksavat horista samoja salasanavinkkejä jatkuvasti. Pitää olla tarpeeksi monimutkainen, pitkä, vaikeasti arvattava, useasti vaihdettava jne. ”Jos yritysten tietohallinto ei itse pysty noudattamaan salasanasääntöjä, miten sitä voi velvoittaa käyttäjiltä?” Nykyiset salasanasäännöt on hölmöjä. Riittäisikö se, että salasana on eri joka palvelussa? Salasanojen muistamista unohtamista voi helpottaa esimerkiksi KeePass-ohjelmalla.

Lukkoon ei voi luottaa

Kaikki tietävät, että nettiselailu on turvallista, kun selainrivillä on lukon kuva. Paitsi, että näin ei ole! ”Lukko ei takaa turvallisuutta, vain salauksen.” Mikä estää hämärähemmoja suojaamasta yhteyksiään? Lukon yhteyteen liitetty sertifikaatti kertoo, kenellä on lukon avaimet.

Vinkit perustuvat koulutuksen antiin. Olen pyrkinyt erottelemaan suorat lainaukset tekstin seasta.

Salasanat näppäimistön alle vai päälle?

Salasanat voi kirjoittaa paperille vaikkapa muistin helpottamiseksi. Mieti kuitenkin, mihin paperin sijoitat. Perinteinen piilopaikka näppäimistön alla ei ole se huonoin paikka.

Kävin turkulaisessa lastentarvikeliikkeessä ostoksilla. Vuoroa odotellessani huomasin, että toisen kassapäätteen näytön alareunaan oli kirjoitettu käyttäjätunnus ja salasana. Tunnusten perusteella ne arvattavasti toimivat liikkeen verkkokaupassa.

Tunnukset olivat sen verran helpot, että muistan ne monta päivää jälkikäteen. Toimintaympäristö huomioiden ei varmaan tule yllätyksenä, että salasana perustui suosittuun lastentarvikebrändiin. Tietysti! Miksi ei perustuisi. Sehän on loogista ja helppoa. Todennäköisesti salasanaa ei kuitenkaan kukaan arvaa. Helppo muistaa, mutta vaikea arvata. Kaikesta huolimatta kyseessä on siis hyvä salasana?

Salasana ja tunnus paljastuvat asiakkaille myyntipöydän mallista johtuen. Päätteet on sijoitettu pitkän L-kirjaimen mallisen pöydän molemmille reunoille. Vaikka pöytä aiheuttaakin (minimaalisen) riskin tunnusten väärinkäytölle, niin myyntihenkilöstön turvallisuuden näkökulmasta pöytä on hyvä. Uhkaavasti käyttäytyvä asiakas ei pääse helposti myyjään käsiksi. Lisäksi myyjän on mahdollista paeta tilannetta useaan eri suuntaan.

Salasanat näppäimistön alle vai päälle? Mieluummin alle.

Lue myös 1) miksi kuvaamista kannattaa välttää työpaikalla, 2) miksi kannattaa pitää oma työpöytä puhtaana.