VAHTI:n toimintasuosituksia tietosuojan uudistukseen valmistautumiseen

Valtionvarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkaisi eilen torstaina raportin jossa annetaan “pähkinänkuoressa” (raportti on 38 pdf-sivua pitkä) kuvaus tulevasta tilanteesta sekä varsin hyviä suosituksia siitä, miten organisaatioiden tulisi valmistautua uuden EU:n tietosuoja-asetuksen tuomiin muutoksiin.

Vaikka VAHTI-raportti on periaatteessa suunnattu julkisen hallinnon organisaatioille, siinä on runsaasti hyvää ohjeistusta, joka sellaisenaan koskee myös yksityisiä yrityksiä.

Kahlasin läpi nopeasti raportin ja varsinkin raportin kuudennessa osassa annetaan mielenkiintoisia ja järkeviä suosituksia toimenpiteistä:

  1. Johdon osallistuminen ja tarvittavien resurssien varaaminen
    Tietosuoja on saatava organisaation johdon agendalle, se ei saa enää olla pelkästään “IT-ihmisten” tai jonkun muun osaston näpertelyä. Tietosuoja tulisi olla osa jokapäiväistä toimintaa tietosuojasääntelyn vaatimalla tavalla
  2. Nykytila-analyysi: Ensiksi tulisi muodostaa näkemys organisaation tämänhetkisestä tilanteesta. Tehtävä arviointi tulisi osittaa esimerkiksi organisaation toimintojen mukaisesti. Perustarkoituksena on tunnistaa puutteet ja kehityskohteet sekä suunnitella toimenpiteet, joilla nykytilaa voidaan parantaa ja huolehtia tietosuojan toteutumisesta osana jokapäiväistä toimintaa.
    • Henkilötieto- ja sopimusinventaario:  Inventoidaan käsiteltävät henkilötiedot ja tunnistetaan missä ja kenen toimesta (mukaan lukien alihankkijat jne) henkilötietoja käsitellään.
    • Riskiarvio Onko tietoturvan toteutus riittävällä tasolla henkilötietojen koko elinkaaren ajan. Riskiarvioon tulee sisällyttää myös meneillään olevien tietojärjestelmähankkeiden uudelleen arviointi.
    • Tietosuojavastuut Tuleeko organisaation nimittää tietosuojavastaava? Onko tietosuojavastuut jakautuneet useaan eri yksikköön? Kenellä on kokonaisvastuu?
    • Johdon raportointi Nimettävän tietosuojavastaavan tai muun tietosuojaorganisaation jäsenen vastuulle on hyvä osoittaa sekä johdon säännöllinen raportointi että vuosiraportin laatiminen
    • Henkilöstön koulutukset, ohjeet ja viestintä
      Koko henkilöstön tietosuojaosaaminen on avainasemassa toteutuksessa. Tämä edellyttää koulutusta, ohjeistusta sekä selkeää viestintää aiheesta
    • Käynnissä olevat hankkeet On virhe ajatella, että asetuksen vaikutus ei koske tämänhetkisiä hankkeita. Asetus ja sitä tukeva kansallinen lainsäädäntö tulee voimaan kahden vuoden kuluttua ja vaikuttaa lähiaikoina käyttöön otettaviin järjestelmiin ja hankkeisiin
    • Tietoturva Tietoturvan osuutta uudessa lainsäädännössä ei voi ylikorostaa. Organisaatioilla on laaja vastuu huolehtia riittävästä tietoturvasta erityisesti suhteeessa käsiteltävien tietojen luonteeseen nähden.
  3. Tietosuojan kehittämisprojektit: VAHTI-raportti selkeästi tuo esille sen, että kaikki yllämainitut vaatimukset ja toimenpiteet vaativat varsin suurta suunnanmuutosta. Tämän vuoksi työhön on ryhdyttävä mahdollisimman pian, mieluiten omana hankkeenaan.
  4. Asetuksen seuranta: Vaikka asetusteksti on nyt saatavilla, Suomessa lainsäädäntö tulee vielä muotoutumaan seuraavan kahden vuoden aikana. Lisäksi kansallista liikkumavaraa on asetuksessa jonkin verran, esimerkiksi lasten oikeuksien osalta. Siksi on tärkeää seurata lainsäädäntöä vielä kehityshankkeiden aikanakin

 

Lähteet:

  1. tietosuojauutiset.fi
  2. Vahti-tiedote

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s