EU:n tietosuoja-asetus askarruttaa suomalaisorganisaatioita – myös Microsoft valmistautuu uudistukseen

 |   Jaakko Koivisto

Mitkä ovat rekisterinpitäjän vastuut ja velvollisuudet henkilötietojen käsittelyssä EU:n uudessa tietosuoja-asetuksessa? Miten organisaatiot voivat varmistaa, että niiden lukuisiin eri tietojärjestelmiin ja pilvipalveluihin tallennetun datan suojaus ja käsittely noudattavat uuden asetuksen vaatimuksia?

Näistä teemoista keskustelivat eilen Microsoftin tietosuoja-asetusta ja Azure-pilvipalveluita käsitelleessä webinaarissa Microsoftin teknologiajohtaja Aki Siponen ja Microsoft Server & Cloud -tuotepäällikkö Antti Alila. Siposen ja Alilan vinkkejä tietosuoja-asetukseen valmistautumiseen oli kuulemassa yli 460 asiakasta.

EU:n yleinen tietosuoja-asetus (GDPR) astuu voimaan 25. toukokuuta 2018. Asetuksen myötä henkilötietojen suoja selkeytyy ja yhdenmukaistuu. Asetus myös parantaa henkilötietojen suojaa. Tietosuoja-asetus tuo kuitenkin myös runsaasti lisää velvollisuuksia rekisterinpitäjille ja palveluntarjoajille henkilötietojen käsittelyn läpinäkyvyyden suhteen. Yksityishenkilöillä on asetuksen myötä oikeus tarkastella omia henkilötietojaan, korjata niiden virheitä, poistaa tiedot ja kieltää tietojen käyttö. Lisäksi Aki Siposen mielestä rekisterinpitäjän tai palveluntarjoajan pitää tarjota asiakkailleen mahdollisuus tehdä nämä toimenpiteet verkossa.

Siponen vertaa tietosuoja-asetuksen organisaatioiden it-osastoille tuottamaa työmäärää vuoden 2000 vaatimiin muutoksiin: ”Tietosuoja-asetus on vain uudistuksena tätäkin mittavampi, sillä se koskee koko henkilöstöä – kaikkien, jotka käsittelevät henkilötietoja, täytyy osata käsitellä niitä oikein. Organisaatioiden pitää siis luoda tähän läpinäkyvät ja tarkasti kuvatut käytännöt, nimetä tarvittaessa tietosuojavastaava ja pitää huolta, että dokumentaatiot pysyvät ajan tasalla.”

Miten Microsoft valmistautuu tietosuoja-asetukseen?

Myös Microsoftin järjestelmiin on tallennettuna paljon henkilötietoja. Microsoft toimii rekisterinpitäjänä online-kuluttajapalveluissaan, kuten outlook.com ja OneDrive, ja tekee työtä saadakseen nämä palvelut tietosuoja-asetuksen mukaisiksi niin pian kuin mahdollista. Organisaatioille tuotettavissa Online-palveluissa asiakas on rekisterinpitäjä ja Microsoft tietojenkäsittelijä. Microsoft pyrkii kuitenkin saamaan kuluttajapalvelujen ominaisuudet käytettäviksi mahdollisuuksien mukaan myös asiakasorganisaatioilleen etenkin Online-palveluissa, joissa käsitellään runsaasti henkilötietoja, kuten Dynamics 365.

Microsoft päivittää myös omat sisäiset prosessinsa asiakastietojen käsittelyn osalta. Vaatimusmäärittelydokumentit on tehty viime syksynä. Palvelutoimittajille on otettu käyttöön tietosuoja-auditoinnit jo aikaisemmin.

Vinkit organisaatioille tietosuoja-asetukseen valmistautumiseen

Monille organisaatioille GDPR-asetuksen tiukat henkilötietojen tallentamisen ja käsittelyn vaatimukset ovat haaste. Tietohallinnolla ei ole välttämättä ajantasaista kuvaa siitä, mihin kaikkiin organisaation järjestelmiin henkilötietoja on tallennettu. Lisäksi eri osastot ovat saattaneet ottaa omatoimisesti käyttöön pilvessä omia tiimipalveluja, joiden tietojen sisältöön ja käyttöön tietohallinnolla ei ole näkyvyyttä. Tähänkin haasteeseen Microsoftilla on ratkaisu, Microsoft Cloud App Security, joka tutkii organisaation käyttämiä pilvipalveluja palomuurien ja välityspalvelimien kautta. Palvelun koekäyttö on helppoa, ja sen kautta voidaan tarkastella myös eri palvelujen käyttäjiä ja rakentaa käytäntöjä esimerkiksi henkilötunnuksia sisältävien tiedostojen etsimiseen ja raportointiin.

Uusi tietosuoja-asetus edellyttää myös, että valvontaviranomaiselle ilmoitetaan mahdollisista tietosuojaloukkauksista 72 tunnin kuluessa niiden havaitsemisesta. Uhkien havaitsemisessa auttaa muun muassa Microsoftin Advanced Threat Analytics, joka analysoi organisaation tietoliikennettä ja raportoi normaalista poikkeavan käyttäytymisen. Hyökkäysten tunnistamisessa voi hyödyntää myös OMS-palvelun lokianalytiikkaa. Tämä SaaS-pohjainen palvelu mahdollistaa tietojen analysoinnin pilvessä. Palvelua voi kokeilla osoitteessa experience.mms.microsoft.com.

”Henkilötiedot kannattaa suojata järjestelmätason lisäksi myös tiedostotasolla. Tietoturvan kannalta paras ratkaisu on salata data hallintapalvelulla, joka mahdollistaa tietojen hallinnan ja salauksen tallennuspaikasta ja -välineestä riippumatta”, Antti Alila huomauttaa. Esimerkiksi Azure Information Protection -palvelun avulla pääsyä voidaan hallita luomalla valmiita käytäntöjä loppukäyttäjille tietojen salaamiseen automaattisesti tai tuomalla valmiit painikkeet käytettäväksi Office työkaluihin.

Mitkä tiedot ovat henkilötietoja?

Yksi webinaarissa eniten esitetty kysymys oli, mitkä tiedot ovat tietosuoja-asetuksen piiriin kuuluvia henkilötietoja. Tyhjentävää vastausta tähän ei ole, mutta periaatteessa kaikki tiedot, joista pystytään yksikäsitteisesti tunnistamaan henkilö, ovat henkilötietoja. Tämän vuoksi tietoja täytyy arvioida ja määrittää kussakin organisaatiossa tapauskohtaisesti.

”Huojentava tieto organisaatioille kuitenkin on, että vahvasti salattu tieto määritetään asetuksessa turvalliseksi eli katsotaan, että se ei voi vuotaa, kun organisaatio on toteuttanut asianmukaiset organisatoriset ja tekniset toimet tietojen suojaamiseksi. Microsoftin järjestelmien ja palvelujen valmiit salauskäytännöt siis helpottavat organisaatioiden urakkaa selvästi”, Siponen kertoo.

Katso webinaaritallenne ja perehdy tarkemmin Microsoftin vinkkeihin ja tukeen organisaatioille niiden valmistautumisessa EU:n tietosuoja-asetukseen.

Voit myös lukea lisää aiheesta Microsoftin Uutishuoneesta.

 

Lisätietoja:

Aki Siponen, teknologiajohtaja, Microsoft Oy, [email protected]
Antti Alila, tuotepäällikkö, Microsoft Server & Cloud, [email protected]

Tags: , ,