Heini Holappa

Vieraskynä Henriikka Hannula: Tietosuoja-asetus ja tietoturva

Tietosuoja ja tietoturva eivät ole synonyymejä. Tietosuojassa on kyse ihmisten yksityiselämän suojan ja muiden yksityisyyden suojaa turvaavien perusoikeuksien toteuttamisesta henkilötietojen käsittelyssä. Tietoturva puolestaan tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista luvattomalta tai vahingossa tapahtuvalta pääsyltä, tuhoamiselta, muuttamiselta tai levittämiseltä. Voidaankin sanoa, että siinä missä tietoturva suojaa tietoja laittomalta käsittelyltä, tietosuoja suojaa ihmisten oikeuksia. Tietojen turvallinen käsittely on kuitenkin välttämätön osa henkilötietojen suojaa. Vaikka tietoja tallennettaessa tai jaettaessa niiden näkyvyyttä olisi rajattu, varotoimenpiteiltä tippuu pohja pois, mikäli kuka tahansa voi puutteellisesta tietoturvasta johtuen päästä tietoihin käsiksi.

Keväällä 2018 sovellettavaksi tulee nykyisen tietosuojadirektiivin korvaava EU:n yleinen tietosuoja-asetus. Nimestään huolimatta asetus tulee vaikuttamaan myös tietoturvakäytänteisiin. Tietoturvaa koskevat lähtökohdat eivät kuitenkaan muutu: rekisterinpitäjän ja henkilötietojen käsittelijän tulee jatkossakin toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet varmistaakseen asianmukaisen tietosuojan tason. Toimenpiteiden riittävyyttä arvioitaessa tulee ottaa huomioon tietojen käsittelyn luonne, laajuus, asiayhteys ja tietojen käsittelyn tarkoitus. Uutta on kuitenkin se, että asetus sisältää nimenomaisen listan vaadituista toimenpiteistä.

Tietosuoja-asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän tulee riittävän turvallisuustason saavuttamiseksi…
• pseudonymisoida ja salata henkilötiedot,
• taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus,
• pystyä palauttamaan nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa sekä
• testata, tutkia ja arvioida säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Tämä tarkoittaa toisin sanoen sitä, että kaikki yllä luetellut toimenpiteet ovat ensi keväästä lähtien pakollinen, kiinteä osa tietoturvaa – asetuksen määrittelemien seuraamusten uhalla. Pelkkä niiden toteuttaminen ei kuitenkaan vielä riitä, vaan lisäksi vaaditaan ”tehokkaita menetelmiä”, joilla voidaan osoittaa käsittelyn laillisuus, mahdollistetaan omaehtoinen valvonta ja varmistetaan tietojen eheys ja tietoturva. Lisäksi on huomattava, että vaikka asetus vaatii esimerkiksi tietojen salausta, se ei nykyisessä muodossaan ota kantaa siihen, mitä salauksella tarkoitetaan tai miten se tulisi käytännössä toteuttaa.

Tietosuoja-asetus sisältää säännökset myös siltä varalta, että turvallisuustoimenpiteet pettävät, ja tietoturvaloukkaus pääsee tapahtumaan. Tietoturvaloukkaukset tulee ilmoittaa valvontaviranomaiselle ilman aiheetonta viivytystä. Mikäli tietoturvaloukkaus aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, esimerkiksi altistamalla heidät identiteettivarauksille, myös heillä on asetuksen myötä oikeus saada tietää asiasta viipymättä. Jos rekisterinpitäjä on kuitenkin toteuttanut loukkauksen kohteena olevien tietojen osalta asianmukaiset tekniset ja organisatoriset suojatoimenpiteet siten, että tiedot eivät ole niihin luvattomasti käsiksi päässeiden henkilöiden ymmärrettävissä esimerkiksi salauksessa johtuen, ilmoitusta rekisteröidylle ei tarvita. Pitämällä huolta tietoturvasta rekisterinpitäjä voi toisin sanoen välttyä epämiellyttävältä maineelta.

Pelkkä hyvä maine ei toimi ainoana kannustimena tietosuoja-asetuksen noudattamiseen. Asetus tuo nimittäin mukanaan myös varsin ankaran seuraamusmaksujärjestelmän. Jos rekisterinpitäjä laiminlyö asetuksen mukaiset tietosuojavelvoitteensa, joihin tietoturvallisuuden takaamiseksi vaadittavat toimenpiteet lukeutuvat, sille voidaan määrätä hallinnollinen sakko, jonka suuruus voi olla enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Tärkeimmiksi arvotettujen velvoitteiden rikkomisesta voidaan määrätä hallinnollista sakkoa enintään 20 000 000 euroa, tai jos kyseessä on yritys, jopa huikaisevat neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Yhteenvetona voidaan todeta, että tietosuoja-asetus asettaa rekisterinpitäjille ja henkilötietojen käsittelijöille entistä tiukempia vaatimuksia asianmukaisen tietoturvatason takaamiseksi. Samalla se tuo mukanaan uudenlaisen seuraamusmaksujärjestelmän sekä tietoturvaloukkauksia koskevan ilmoitusvelvollisuuden. Selvää on, että tietosuoja-asetuksen noudattamisen varmistamisesta ja tarvittavien toimenpiteiden toteuttamisesta riittää rekisterinpitäjille ja henkilötietojen käsittelijöille tekemistä ainakin joksikin aikaa.

Henriikka Hannula
COSS ry, projektityöntekijä, ON


Onnistuakseen tietoturvallisuusratkaisu tarvitsee ympärilleen muut turvallisuuden osa-alueet

Tietohallinto ei ole itsenäinen saareke, jossa eletään omaa elämää muista riippumatta, eikä myöskään tietoturvallisuus. Tietojärjestelmät sijaitsevat fyysisessä todellisuudessa, jossa on lukuisa määrä erilaisia fyysisiä riskejä, jotka voivat kaataa tietoturvallisen järjestelmän tai aiheuttaa hankaluuksia tiedon käsittelylle tai käsittelijöille, joiden tekemiset tapahtuvat reaalimaailmassa.

Jotkut turvallisuusihmiset näyttävät tyytyvän pelkästään oman vastuualueensa hoitamiseen, eivätkä miellä koordinointia muiden turvallisuuden eri osa-alueiden kanssa tarpeelliseksi. Jos kokonaisvaltaisen tietoturvaratkaisun tarvetta ei ymmärretä, sekä digitaalisen että analogisen maailman kattavaa ratkaisua ei välttämättä edes yritetä aikaansaada.

Sinänsä toimiva tieto- tai kyberturvaratkaisu on puutteellinen, jos ratkaisukohteessa turvallisuuden muilla osa-alueilla on puutteita. Fyysisille turvallisuusratkaisuille on yleensä omat osaavat vastuuhenkilönsä, mutta jos näillä ei ole toimivaa keskusteluyhteyttä muiden osa-alueiden ihmisten kanssa, kokonaisuuteen voi jäädä esimerkiksi yhteensopimattomuuksia, katveita tai tietokatkoksia, joiden takia voi syntyä odottamattomia tilanteita, joissa ikäviä asioita tapahtuu tai oletettuja asioita ei tapahdukaan.

Suomen turvallisuusala on perinteisesti ollut melko siiloutunut, ja pahimmillaan yhteistyötä turvallisuuden osa-alueiden välillä on vältelty. Syynä tähän on voinut olla oman osa-alueen ammattiylpeys ja ehkä kuviteltukin kilpailuasetelma. Ehkä on pelätty oman vaikutusvallan ja liiketoiminta- tai ansaintamahdollisuuksien vähenemistä tai monimutkaistumista.

Jotta voimme nähdä raja-aitojen yli ja ottaa huomioon kollegojemme tarpeet, mahdollisuudet ja rajoitteet muilla turvallisuuden osa-alueella kuin omallamme, meidän on tunnettava heidän toimintansa ja löydettävä yhteistyön edellytyksenä olevat yhteiset intressit ja win-win-mahdollisuudet. Kun ne on löydetty, sitten tarvitaankin enää vain avointa mieltä sekä rakentavaa ja kaikkia osapuolia kunnioittavaa lähestymistapaa.

Sen lisäksi, että teemme Suomesta tietoturvallisen maan, tehdään tästä myös kokonaisturvallinen maa, jossa osataan tehdä yhteistyötä!

Tämän blogitekstin on Tietoturvallinensuomi.fi -sivustolle kirjoittanut Turvallisuus & Riskienhallinta -lehden päätoimittaja Timo Lahtinen.