Tietoturvan ostajan muistilista - tietosuoja keskiössä

Liisa Holopainen

Liisa Holopainen

Business Manager, Cyber Law Team Lead

Marraskuu 5, 2018 at 09:21

Hyvin ja tehokkaasti toteutetut tietoturvaratkaisut ovat keskeinen osa yrityksen infrastruktuuria. Asianmukaisilla tietoturvaratkaisuilla myös toteutetaan tietosuojavaatimuksia, ja luodaan riittävät tekniset ja organisatoriset suojakeinot henkilötietojen käsittelylle GDPR:n mukaisesti. Ostettaessa kehittyneempiä kyberturvaratkaisuja tulee kuitenkin muistaa tietosuojan kannalta kolikon toinen puoli - työntekijöiden yksityisyydensuojasta huolehtiminen.

Verkon käyttäjistä ja näiden käyttäytymisestä voidaan muodostaa hyvin yksityiskohtaista tietoa

Monet kyberturvatyökalut ja -palvelut perustuvat verkkoliikenteen metatietojen käsittelyyn ja analysointiin. Palvelusta tai työkalusta riippuen, metatietojen avulla voidaan verkon käyttäjistä ja näiden käyttäytymisestä muodostaa hyvin yksityiskohtaista tietoa. Osa tällaisista työkaluista ja palveluista sisältää myös viestisisältöjen automaattista käsittelyä. Tietoturvaa suunniteltaessa onkin tärkeää huolehtia siitä, että lakisääteiset yksityisyydensuojaa turvaavat kontrollit ovat olemassa.

Organisaation tulisi ryhtyä seuraaviin toimenpiteisiin ottaessaan käyttöön tietoturvatyökaluja ja -palveluita, joiden yhteydessä käsitellään verkkoliikenteen metatietoja ja/tai viestisisältöjä.

  1. Tietoturvatarkoituksessa tapahtuva henkilötietojen käsittely perustuu oikeutettuun etuun. Tee oikeutetun edun arviointi, johon kuuluu myös torjuttavan uhan ja tähän tarkoitukseen käytettävien työkalujen suhteellisuuden ja tehokkuuden arviointi. Suositeltavaa on myös tehdä tietosuojan vaikutustenarviointi (DPIA).

  2. Päivitä tarvittavat politiikat ja ohjeet, jotta työntekijät ja muut käyttäjät tietävät, mikä on tarjoamasi laitteiden, verkon ja verkkopalveluiden hyväksyttävää käyttöä. Huolehdi myös, että työntekijät ja muut käyttäjät ovat tietoisia ohjeistuksesta.

  3. Huolehdi mahdollisten YT-menettelyjen ja vastaavien prosessien läpi viennistä niissä maissa, joissa se on tarpeen.

  4. Määrittele, milloin välitystietoa käsitellään manuaalisesti, ja tilanteet, joissa yksittäiselle työntekijälle pitää kertoa tämän tietojen manuaalisesta käsittelystä.

  5. Tee ilmoitus tietosuojavaltuutetulle ja huolehdi vuosittaisesta raportoinnista työntekijöiden edustajalle ja tietosuojavaltuutetulle.

Related blogs