Näin asiakkaan sensitiivistä dataa voi käsitellä tietoturvallisesti
Vielä muutama vuosikymmen sitten tietoturvallisuus oli huomattavasti yksinkertaisempi asia kuin nykyään. Ennen internetiä yritys sai asiakkaidensa tietoja hyvin rajallisesti ja tietojen turvallisuudesta huolehtiminen liittyi asiakirjojen fyysiseen turvallisuuteen. Nykyään yritys sen sijaan voi saada verkossa valtavan määrän tietoa esimerkiksi kaikista verkkosivujensa kävijöistä, oli kyseessä asiakas tai ei. Informaatio elää myös erilaisissa muodoissa kuin aiemmin.
SD Worxin tietoturvapäällikkö Jussi Wallendahr kertoo, että kaiken tietoturvan keskiössä on niin kutsuttu tietoturvakolmio, jonka muodostavat luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability).
Wallendahr avaa kolmion seuraavasti:
- Luottamuksellisuus: Vain oikeat henkilöt pääsevät dataan käsiksi
- Eheys: Data on luotettavaa ja oikeaa
- Saatavuus: Data on käytettävissä silloin, kun sitä tarvitaan
Näiden lisäksi tärkeää on asiakasdatan tietosuoja. Kaikki sellainen tieto, jonka avulla henkilö voidaan tunnistaa, on syytä turvata ja salata.
GDPR asettaa rajoitteet yksityisyyden suojaamiseen verkossa
Jokainen internetiä käyttävä henkilö on varmasti törmännyt tavalla tai toisella GDPR-lainsäädäntöön. Kyseessä on EU-laajuinen lainsäädäntö, joka asettaa tietyt rajoitteet yksityisyyden suojaamiseen verkossa. GDPR ei vaadi tiettyjä tietoturvatoimia tai -sertifikaatteja, mutta se asettaa tietyt periaatteet, joiden mukaan kaikkea tietoa tulisi käsitellä.
Datan käsittelyyn, yksityisyyteen ja tietoturvaan liittyvät kysymykset ovat nykyään jatkuvasti pinnalla. Mediassa törmää säännöllisesti uutisiin, joissa yksityisyydensuoja on pettänyt tai yritys saa sanktioita yksityisyydensuojan puutteellisesta hoitamisesta. Julkisuudessa on ollut suomalaisiakin yrityksiä, jotka ovat saaneet sakkoja GDPR-lainsäädännön puutteellisesta hoitamisesta.
Wallendahr kertoo, että vaikka sakkojen yksittäiset syyt poikkeavat paljon toisistaan, on sakkojen perimmäisenä syynä useimmiten jokin alla olevista kolmesta syystä:
- Tietoja on säilytetty väärin ja tietoja on päässyt vuotamaan yrityksen ulkopuolelle
- Henkilötietoja ei ole suojattu riittävän hyvin, ja ne ovat tietomurron tai huolimattomuuden vuoksi päässeet vuotamaan ulos
- Palveluntarjoaja on kerännyt liikaa informaatiota asiakkailtaan.
Myös sosiaalisen median yhtiöt ovat joutuneet viime aikoina valokeilaan tietosuojan alaisen datan käsittelystä. Tähän on useimmiten syynä se, että dataa on käsitelty väärässä paikassa.
”GDPR:n mukaan EU:n kansalaisten dataa pitää käsitellä EU-alueella. Suurten yhdysvaltalaisten some-yhtiöiden osalta tässä on tapahtunut virheitä”, Wallendahr avaa.
Sertifikaatti on osoitus tietoturvan tasosta
SD Worx aloitti määrätietoisen valmistautumisen GDPR-lainsäädäntöön hyvissä ajoin. Siinä vaiheessa, kun lainsäädäntö astui voimaan, SD Worxin prosessit olivat jo riittävällä tasolla. Lisäksi SD Worxilla on tietoturvaan liittyviä sertifikaatteja, kuten kansainvälisesti tunnistetut ISO 27701 sekä ISO 27001 -tietoturvasertifikaatit, joista jälkimmäisen yritys juuri uudisti tänä vuonna.
”Sertifikaatit ovat osoitus siitä, että tietoturvamme ja yksityisyydensuojamme ovat hyvällä tasolla ja asiakkaat voivat turvallisin mielin luottaa sensitiivisen datan SD Worxin käsiin. ISO 27001 -sertifikaatin uudistamiseksi haastateltiin 70 ihmistä SD Worxilla, ja haastattuluihin käytettiin noin 50 tuntia aikaa.” Myös erilaiset auditoinnit ovat tärkeä osa tietoturvan turvaamista SD Worxilla.
”Käytämme jatkuvasti sisäisten auditointien rinnalla ulkoisia auditoijia, jotka tarkistavat tietojen käsittelyn prosesseja ja käytänteitä ja varmistavat, että tietoa käsitellään oikein. Teemme myös omaa analyysia tiedon säilyttämisestä ja turvaamisesta.”
Tietoturva on monisyinen prosessi: jokainen tekee tietoturvatyötä
Wallendahrin mukaan asiakkaat ovat entistä enemmän kiinnostuneita siitä, mitä tietoa heistä säilytetään, ja miten se turvataan.
”Se, että asiakkaat tarkastavat tiedot, joita heistä säilytämme, on yleistynyt viime vuosien aikana.”
Asiakkaat auditoivat tietonsa yleensä osana omaa tietoturvaprosessiaan. SD Worxilla taas tietoja pyritään keräämään vain sen verran, mitä aidosti tarvitaan.
”Tietoa on helpompi suojata, kun dataa ei ole liikaa”, Wallendahr tiivistää.
Wallendahr korostaa sitä, että tietoturva on monisyinen prosessi, johon ei liity pelkästään tekninen tietoturva. Ihminen on tietoturvan kriittinen piste, joten henkilöstön osaamisen kehittämiseen tulee yrityksissä panostaa myös tietoturvaan liittyvien riskien minimoimiseksi.
”Koulutamme jatkuvasti henkilöstöä tietoturvan asioista. Meillä jokainen työntekijä tekee osaltaan tietoturvatyötä.”
Lue myös: HR ja tietoturva: näin vältät tahattomat tietovuodot
Lue seuraavaksi
Webinar recording: Data Processing – How can we ensure a secure Data Protection Program?
GDPR is a topic that many businesses still have insecurity about. How effective is our Data Protection program? How sure can we be that our processors are treating the data lawfully? Or, do we have sufficient security measured to safeguard our personal data?
Yleinen tietosuoja-asetus henkilöstö- ja palkkahallinnossa
Maksuton opas
Totuttujen toimintatapojen muuttaminen suuri haaste GDPR-työssä
Uusi yleinen tietosuoja-asetus (GDPR) vaikuttaa suuresti henkilöstö- ja palkkahallinnon työntekijöiden arkeen, sillä henkilötietojen käsittely on oleellinen ja erittäin tärkeä osa työtä. Sääntöjen asianmukaisen noudattamisen takaamiseksi pitkällä aikavälillä monien osatekijöiden on toimittava hyvin yhteen. Randstadin henkilöstöpäällikkö Camilla Campelo painottaa päivittäisten työrutiinien muuttamisen tärkeyttä.