Tietosuoja

Organisaatioiden tallentama ja prosessoima henkilötiedon määrä on kasvanut räjähdysmäisesti eri toimialoilla palveluiden digitalisoituessa luoden uutta liiketoimintaa. Toisaalta näiden mahdollisuuksien myötä on myös syntynyt uusia velvollisuuksia, jotka varmistavat henkilötietojen asianmukaisen käsittelyn. EU:n tietosuoja-asetus, joka koskettaa kaikkia henkilötietoja käsitteleviä organisaatioita, on viime aikoina saanut paljon julkisuutta lähinnä suurten sanktioiden vuoksi. Näkemyksemme mukaan organisaatiot, jotka ovat hoitaneet alla kuvatut osa-alueet tunnollisesti pystyvät sanktioiden välttämisen lisäksi myös kasvattamaan liiketoimintaansa saavuttamalla yksilöiden luottamuksen.

Tietosuojaosaamisemme koostuu useista kyvykkyyksistä, kuten tietosuojajuristeista, -arkkitehdeistä, projektipäälliköistä sekä kyberturvaspesialisteista. Monialainen lähestymisemme on mahdollistanut työskentelymme vaativimpien teknologien sekä ympäristöjen kanssa tietosuojan alueella.


Tietosuojan vaikuttavuusanalyysi sekä tietosuojan uhkamallinnus

Tietosuojan vaikuttavuusanalyysi (Privacy Impact Assesment, PIA) sekä tietosuojan uhkamallinnus ovat tietosuoja-ammattilaisten olennaisia työkaluja. Näitä voidaan hyödyntää riskien arviointiin, käytäntöjen katselmointiin sekä kyvykkyyksien kehittämiseen niin organisaatioissa, palveluissa, kuin tuotteissakin. Käytämme näitä esimerkiksi seuraavilla osa-alueilla.

  • Määritelemme missä PIA olisi hyödyllinen sekä missä tämä on vaatimuksena
  • Järjestämme, räätälöimme, sekä luomme PIA malleja ja työkaluja eri tilanteisiin laaja-alaisesti organisaation strategian suunnittelusta ohjelmistokehitykseen
  • Käytämme näitä menetelmiä luomaan priorisoituja työkarttoja sekä tarkastelemme palveluiden ja tuotteiden laatua ja vaatimustenmukaisuutta
  • Räätälöimme PIA ohjelmia sekä rakennamme talon sisäisiä kyvykkyyksiä

Tietosuojaohjelman suunnittelu sekä vastuullisuus

Tietosuoja-asetuksen mukaan organisaatioiden on ylläpidettävä dokumentaatiota, joka osoittaa vaatimustenmukaiset tietosuojakäytännöt. Hyödynnämme seuraavia käytäntöjä rakentaessamme yrityksen tietosuojavastuullisuutta:

  • Tietosuojaohjelmat ja hallintamallit ovat rakennettu palvelemaan olemassaolevaa organisaatiomallia, johon on sisällytetty liiketoimintatarpeisiin perustuva ketteryys ja sopeutumiskyky
  • Vastuullisuus on rakennettu perustuen kolmeen osa-alueeseen: menettelytapoihin, prosesseihin, sekä käytäntöihin
  • Suorituskykymittareit määrittelevät tietosuojaohjelman tehokkuuden
  • Rakennamme asiakkaillemme talon sisäisiä kyvykkyyksiä jatkuvan ja ajantasaisen laadun varmistamiseksi

Menetelmät ja prosessit

Sisällyttämällä tietosuoja johdonmukaisesti organisaation menetelmiin ja prosesseihin lisätään luottamusta sekä läpinäkyvyyttä. Henkilötietoihin liittyvät menetelmät luovat ohjeistuksen kaikelle tietosuojadatalle; niiden tulisi olla lyhyitä, tarkkoja ja toimia organisaatiolle datan hallinnan työkaluna. Kehittäessämme tietosuojaprosesseja sekä hallintaa luotamme useisiin periaatteisiin:

  • Määrittelemme optimaalisen työnkulun kun henkilötietoihin liittyvät avainprosessit ja näitä tukevat teknologiat on tunnistettu
  • Autamme pitämään prosessit ja menettelytavat helppoina ylläpitää ilman liiallista hallinnallista kuormitusta
  • Autamme rakentamaan suorituskykymittarit ja laatuportoinnin tehokkuuden mittaamiseksi


Ohjelmistokehityksen käytännöt sekä Privacy by Design

Organisaatioille, jotka kehittävät ohjelmistoja tai tilaavat ohjelmistokehitystä muilta tulisi tietosuojan kehittäminen (Privacy by Design, PbD) ottaa osaksi toimittajien vaatimuksia sekä ohjelmistokehitystä Privacy by Design –kehitysmenetelmillä.

  • Privacy by Design - mallissa kehitys- ja lakiasiantuntijoiden tulee yhdessä luoda puitteet teknisille vaatimuksille
  • Privacy by Designin implementointi ei kosketa pelkkiä kehittäjiä; laki, ympäröivät prosessit, hankinta jne. liittyvät kaikki ohjelmiston elinkaareen
  • Privacy by Design hyödyntää tietosuojan vaatimuksia talon sisäisen tietotaidon ja omistajuuden kehittämiseen

Turvallisten teknologioiden valinta

Kyberturvaratkaisujen tulisi huomioida tietosuojaan liittyvät haasteet riskien ehkäisemiseksi sekä näihin reagoimiseksi.

  • Pääsynhallintateknologioiden implementointi tukee lain vaatimuksia henkilötiedon osalta
  • Tietoturvan monitorointi auttaa havaitsemaan murrot sekä mahdollistaa näistä viestimisen tehokkaasti
  • Tietosuojaa lisäävien teknologioiden käyttöönotto räätäilöitynä auttamaan eri haasteiden, käyttötapauksien, palveluiden sekä tuotteiden kanssa

Laki, sääntely sekä sopimus

Täydentääksemme teknologista lähestymistapaamme autamme asiakkaitamme myös valitsemaan ja ottamaan käyttöön sopimukselliset mallit vahvistaakseen omaa tietosuojahallintaansa niin EU:n tietosuoja-asetuksen kuin myös muiden tietosuojavaatimusten mukaiseksi.

  • Tietosuoja sopimuksissa: henkilötiedon käsittely sopimuksissa tukemaan päivittäistä sopimushallintaa.
  • Tietosuoja julkisessa sekä yksityisessä ICT hankinnassa, alkaen tietosuojavaatimusten mallintamisesta tarjouspyynnöissä tarjousten arviointiin sekä palvelutarjoajien vaatimustenmukaisuuteen.
  • Viitekehykset henkilötiedon siirtämiseksi sekä tämän toimeenpanemiseksi.

Loppukäyttäjäkokemus

Rakennettaessa palveluita, jotka käsittelevät henkilötietoja on optimaalinen loppukäyttäjäkokemus sekä sisäisille että ulkoisille käyttäjille kriittinen. Heikosti suunnitellut järjestelmät eivät herätä tarvittavaa luottamusta loppukäyttäjässä ja pahimassa tapauksessa nämä välttävät palveluiden käyttöä, kun taas parhaimmassa tapauksessa loppukäyttäjät jakavat mielellään henkilötietoja luottaen, että tätä käsitellään vastuullisesti.

  • Käyttökokemuksen tulisi olla tietosuojan keskipiste; siksi luottamuksen tulisi olisi olla sisäänrakennettuna alkaen ensimmäisistä vaiheista käyttäjien tullessa mukaan  
  • Järjestelmät ja asiakasrajapinnat tulee tarvittaessa räätälöidä tarjoamaan loppukäyttäjille tarvittavan toiminnallisuuden vaatimustenmukaisuuteen, kuten henkilötietojen poiston sekä oikeuden viedä omat tiedot mukanaan
  • Palvelutarjojalle tämä tarjoaa tehokkaamman asiakashankinnan sekä asiakaskokemuksen tukemaan liiketoimintapäätöksiä ja parantamaan monikanavasita loppukäyttäjäkokemusta