Upload
inspectafi
View
48
Download
3
Embed Size (px)
Citation preview
Sertifioinnilla kilpailuetua - Inspectan tietopäivä 7.9.2016Älä anna tietosuoja-asetuksen turruttaa
1
Tuukka Haarni, Pääarvioija
Julkinen
Näistä (ainakin) puhutaanPäivän pointit
Julkinen2
►Tietosuoja-asetus – mistä on kysymys?
►Henkilötieto – mitä se on?
►Mitä taustalla?
►Mitä minun (organisaationi) pitäisi tehdä?
►Standardeista ja sertifioitumisesta on apua
Pääarvioija / Lead auditor / JärjestelmäsertifiointiTuukka Haarni
►Inspecta Sertifioinnissa vuodesta 2015, ICT-alalla lähes 20 v►Pitkä arviointikokemus (CMMI-DEV, CMMI-SVC, ISO 9001, ISO/IEC 20000-1, ISO/IEC 27001,
SÄHKE2, sisäinen auditointi ym.).►Erikoistumisalat►Strateginen prosessikehitys ja liiketoiminnan muutosjohtaminen / Jatkuva parantaminen / Laajojen ICT-
järjestelmien myynti, määrittely, toimitus ja ylläpito / Hankehallinta / Laadun ja riskien hallinta / Mittaaminen ja analysointi / Kokoonpanonhallinta / Ohjelmistojen tietoturvallisuus / Kyberturvallisuus / Tietosuoja
►Finnish Software Measurement Association FiSMA ry►Varapuheenjohtaja
►International Organization for Standardization ISO► ISO/IEC JTC 001 Information technology /SC 27 IT Security techniques – Committee member
►Suomen Standardisoimisliitto SFS►Seurantaryhmät SFS/SR 307 - ISO JTC 1/SC 27 ”IT Security techniques” ja SFS/SR 308 - JTC 1/ SC 40 ”IT
Service Management and IT Governance”►CEN-CENELEC Focus Group on Cybersecurity (CSCG)►National representative
Julkinen5
►GDPR = General Data Protection Regulation = EU:n tietosuoja-asetus►PII = Personally Identifiable Information = Henkilötieto►PIA = Privacy Impact Assessment = Tietosuojan vaikutustenarviointi
… ja muutamia lyhenteitäEU:n tietosuoja-asetus….
6
Pitäisikö turtua vai huolestua?Tietosuoja-asetus
Oikeus tulla unohdetuksi
Tietojen minimointivaatimus
Käsittelyn lainmukaisuus
Käsittelyn perustuminen suostumukseen
Oikeus tietojen oikaisemiseenOikeus käsittelyn rajoittamiseen
Oikeus siirtää tiedot järjestelmästä toiseen
Lasten henkilötietojen rekisteröintiin liittyvä suo stumus
Rekisterinpitäjän vastuut
Kirjanpitovelvollisuus
Ilmoitusvelvollisuus
Tietosuojavastaava
Tietosuojaa koskeva vaikutustenarviointi
Vastuu henkilötietojen käsittelijöistä ja alihankki joista
Asianmukaiset tekniset ja organisatoriset toimenpiteet tietosuojan suhteen
Hallinnolliset seuraamukset
Julkinen7
►Tietosuoja = Yksityisyyden suojaaminen henkilötietoja käsiteltäessä►Tietoturva = Tiedon luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen►Tietosuoja on ihmisten yksityiselämän suojaamista, ja siihen kuuluu kunkin oikeus
henkilötietoihinsa. Rekisteröityjen oikeuksien perusperiaatteena on henkilötietojen suojan takaaminen valtuudettomalta tai henkilöä vahingoittavalta tietojen käytöltä.
►Rekisteröidyn oikeudet vs. rekisterinpitäjän velvollisuudet►Asetuksen tavoitteena on yhdenmukainen ja korkeatasoinen luonnollisten
henkilöiden suojelu ja henkilötietojen liikkuvuuden esteiden poistaminen Euroopan unionissa
►Kahden vuoden siirtymäaika � 25.5.2018►Tulee voimaan jäsenvaltioissa sellaisenaan►Tarkentava kansallinen lainsäädäntö mahdollista►Mahdolliset sanktiot jopa rekisterinpitäjälle jopa 20 MEUR
Mistä on kysymys?Tietosuoja-asetus
Julkinen8
►Asetuksessa tarkoitetaan ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
►Rooleja►Rekisteröity►Rekisterinpitäjä►Käsittelijä►Vastaanottaja►Kolmas osapuoli
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679Henkilötieto – mitä se on?
Julkinen9
Digitalisaatio, sähköiset palvelut
Ulkoistus, pilvipalvelut
Uudet päätelaitteet, aika- ja
paikkariippumattomuus
Sensorit, aktiivisuusrannekkeet
Big Data, profilointi, kohdennus
Tieto on arvokasta – ja sitä on paljon
Mahdollisuus tiedusteluun,
vahingontekoon ja taloudelliseen hyötyyn
Mitä tietoa minusta on / kenen hallussa / missä säilytetään?
Riskit, uhkat, tietoturva
Tieto- ja kyberturvallisuus korostuvatTaustalla uudenlaiset tietojen keräämisen ja käsitt elyn tavat
Tietoturvallisuus on edellytys tietosuojan toteutumiselle
Julkinen10
Tunnista henkilötiedot sekä henkilötietojen suojaamiseen liittyvät roolit organisaatiossa
Tunnista tietojärjestelmät ja määrittelepääsynhallinta sekä valmiudet asetuksen vaatimuksiin
Muodosta tilannekuva tietosuojan kyvykkyysarvioinnilla
Kartoita riskit ja käynnistä projekti tarvittaville muutoksille - Arvioi kattavuus ja riittävyys
Ylläpidä ja kehitä tietosuojakyvykkyyttä -Arvioi uudelleen säännöllisesti ja erityisesti muutosten yhteydessä
(Aloita joka tapauksessa jo tänään…)Mitä minun pitäisi tehdä?
STARTTODAY
Julkinen11
►Organisaation johto ei ole tietoinen velvoitteista eikä sitoutunut tietosuojan hallintaan
►Tietosuojan merkitystä vähätellään, resurssit puuttuvat, vastuita ei märitelty►Koulutusta ei ole järjestetty tai sen kattavuus puutteellista, tietoisuus ei ole
riittävällä tasolla►Organisaatiolta puuttuu tietosuojapolitiikka ja / tai tietosuojan hallintajärjestelmä►Ei tiedetä mitä rekistereitä on käytössä, mitä ne sisältävät, miten ne on suojattu►Henkilötietojen käsittelyoikeuksia ei ole rajoitettu eikä pääsynhallinta ole kunnossa►Tietojärjestelmien tietoturva on puutteellista►Tietosuojan vaatimuksia ei ole huomioitu kolmannen osapuolen sopimuksissa►Henkilötietojen siirto EU:n ulkopuolelle ilman tietoturvatakeita
”Meillä on rekisteriselosteet kunnossa, ei siis huolta….”Tyypillisimmät puutteet
Lähde: Jarkko Aula (2016). Tietosuoja ja tyypillisimmät puutteet. LinkedIn-blogi.
12
►Asetuksessa vaatimuksia, joilla suoria liityntöjä standardeihin ISO/IEC 27001 ja ISO/IEC 20000-1►Käsittelyn turvallisuus►Henkilötietojen pseudonymisointi ja salaus►Kyky taata henkilötietoja käsitelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys,
käytettävyys ja vikasietoisuus► Jatkuvuuden ja palautumisen hallinnan vaatimukset►Yritysten velvollisuus vuotuiseen kontrollien tarkistamiseen ja järjestelmien testaamiseen► Tietosuoja toimittaja- / alihankintaketjussa – henkilöstön tietoisuus► Tietoturvahäiriöt vs. tietosuojaloukkaukset
►Sertifioitu tietoturvallisuuden hallintajärjestelmä (ISO 27001 – ISMS) on hyvä tuki –vaikkei suoranainen tae – tietosuojakyvykkyydelle (tietosuojaa ei voi olla ilman tietoturvaa)► Johtaminen ja kokonaisvaltainen lähestymistapa riskienhallinta korostuvat►Hallintakeinoissa lukuisia ”täsmäosumia” tietosuojaan
Kättä pidempää johtamisen tueksiStandardeista ja sertifioitumisesta on apua
Julkinen13
►Organisaatiot, joilla asiat ovat kunnossa, tulevat varmasti hyödyntämään tätä tietoa julkisuuskuvansa rakentamisessa
►Sertifioituminen on yksi tapa osoittaa luotettavuutta ja vaatimuksenmukaista toimintaa
►Asetuksen 42 artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta eikä se rajoita 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia.
Nopeat syövät varmasti hitaatVaatimuksenmukaisuuden osoittaminen kilpailuetuna
14
►Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta
►EU-tietosuojan kokonaisuudistus, VAHTI-raportti – 1/2016►SFS-ISO/IEC 29100 Informaatioteknologia. Turvallisuus. Tietosuojan perusteet►SFS-ISO/IEC 29190 Informaatioteknologia. Turvallisuus. Tietosuojakyvykkyyden
arviointimal li►SFS-ISO/IEC 27001 Informaatioteknologia. Turvallisuustekniikat. Tietoturvallisuuden
hallintajärjestelmät. Vaatimukset
Työn alla mm.► ISO/IEC DIS 29134 Privacy impact assessment — Guidelines
► ISO/IEC DIS 29151 Code of practice for personally identifiable informatio n protection
► ISO/IEC 1st CD 19086-4 Cloud computing – Service Level Agreement (SLA) framewo rk – Part 4: Security and privacy
► Proposal for a new work item on Information technology Enhancement to ISO/IEC 27001 for privacy management
Paljon uuttakin on tulossaLainsäädäntö, tukimateriaali ja standardit