tietoturva datamike
taloushallinto

taloushallinto

S&J Soft Systems Oy
PL 51, 02151 Espoo
Puh: 0400 467 574
posti@datamike.fi

Sari GDPR tietoturvalaite
79.90 eur + alv

Euroopan unionin laajuinen tietosuoja-asetus tuli voimaan toukokuussa 2016. Asetuksella on kuitenkin kahden vuoden siirtymäaika, joka päättyy toukokuussa 2018. Tämän jälkeen pitää henkilötietojen käsittely ja tallennus asetuksen mukaiseen kuntoon. Uusin Datamike täyttää nämä vaatimukset. Vaatimusten noudattamatta jättäminen voi johtaa jopa 20 miljoonan euron sakkoihin.

Lisää tietoa asiasta EU:n tietosuojauudistus
ja Varaudu näihin: Vuoden 2018 pahimmat tietoturvauhat
ja Viestintävirasto: Kehittynyt VPNFilter-haittaohjelma saastuttanut koti- ja pienyritysreitittimiä

Sari GDPR tietoturvalaite seuraa sisäverkon liikennettä ja tarkkailee onko sinne tullut ylimääräistä verkkoliikennettä ja tuntemattomia käyttäjiä. Mikäli ongelmia tai riskejä havaitaan siitä ilmoitetaan ja sisäverkon tilasta raportoidaan.
Virustorjunta-ohjelmat eivät tee samaa asiaa - niiden toiminta keskittyy useimmiten vain yhteen tietokoneeseen ja toimivat vain kun tietokone on käynnissä.

Kuinka voit muuten suojautua itsesi ja yrityksesi uuden lainmuutoksen (GDPR) osalta?

Selvitä missä henkilötietoja säilytetään. Monissa yrityksissä ja yhteisöissä on edelleen epäselvää missä kaikkialla erilaisia henkilötietoja on ja kuka niitä ylläpitää ja kuka vastaa. Yrityksissä ja yhteisöissä on nimettävä tietosuojavastaava ja tietomurroista raportoitava 72 tunnin sisällä. Tämä voi olla ongelmallista, sillä monet tietomurrot ovat jääneet suurillakin toimijoilla havaitsematta pitkiksi ajoiksi.

Henkilötietoja voi olla erilaisissa tallennumedioissa, paperilla, mapeissa, tietokannoissa ja netissä. GDPR määräykset koskevat näitä kaikkia - tietoturva pitää GDPR:n mukaan olla mediasta riippumatta kunnossa. Perinteisten medioiden kohdalla (paperi, mappi, muistitikku) saattaa olla riittävää, että em. media on lukkojen takana. Internet-pohjainen tietojen säilytys on sen sijaan haasteiden edessä.

Tärkeä muutos on, että vastuu tiedoista ja todistustaakka tietoturvasta siirtyy rekisterin ylläpitäjälle.

Esimerkki valaisee muutosta. Esim. joku yritys on ostanyt www-sivuston joltain palveluntarjoajalta tai käyttää jotain viranomaisten ylläpitämää nettisivustoa henkilötietojen käsittelyyn (esim. palkkatiedot). Tämän nettisivun avulla hän sitten ylläpitää palkanlaskentaa, laskutusta, ym. henkilötietoja.
Jos joku murtautuu www-sivuille ja vie esim. palkkarekisteristä henkilötiedot vastuu ei ole enään esim. suureltao osin nettisivupalveluntarjoajalla vaan rekisterin ylläpitäjällä. Nettipalveluntarjoaja ei ole GDPR:n mukaan tietojen "ylläpitäjä".

Koskee kaikkia: yhdistyksiä, kuntia, taloyhtiöitä, yrityksiä ym.
On tärkeää myös huomata, että GDPR koskee kaikkia: yrityksiä kuin yhteisöjäkin ja viranomaisia. Kunnissa valtion virastoissa ym. myös tehtävä vaaditut muutokset tietoturvaan. Monissa kunnissa edelleenkin on vallalla käsitys, että tietoturvauudistus koskee vain yrityksiä - näin ei ole asian laita.
Talo- ja kiinteistöyhtiötä varten on myös Kinteistöliitolla informatiivinen sivu: EU:n tietosuoja-asetus taloyhtiöissä. Taloyhtiön puolesta asianmukaisesta tietosuoja- ja tietoturvavelvoitteiden täyttämisestä huolehtii palveluntuottaja isännöintiyritys, hallitus, kiinteistöhuolto, jne.

GDPR lainsäädäntö siis lähtee siitä asetelmasta, että jos tallennat tietosi esim. nettiin niin myös vastaat niistä itse. Sanktiot rikkeistä myös kovenevat: tietoturvan laiminlyönnistä voidaan määrätä sakkoa jopa 20 miljoonaa euroa. PK yritysten kannattaa siis harkita vakavasti onko mielekästä tallentaa kaikki tiedot nettiin. GDPR pyrkii siis suitsimaan villiintynyttä käytäntöä, jossa kaikki on kopioitu nettiin, jossa ne on kännykällä helposti tavoitettavissa. Valitettavasti myös hämärätahot pääsevät usein käsiksi tietoihin.

Pienyrittäjien kannalta tilanne saattaa olla ongelmallinen: harva omaa valmiuksia omakohtaisesti varmistua siitä, että tietomurrot on estetty. Kuinka yksittäin kirjanpitäjä voi varmistua, ettei nettiin tallennetut tiedot mene muiden haltuun? Tällöin kannattaa vahvasti harkita tietojen pitämistä vain omalla tietokoneella jos muiden ei tarvitse niitä nähdä. Erilaisia raportit, jotka eivät sisällä henkilötietoja voi sen sijaan riittävällä turvatakuulla esittää myös netissä.

Lisäksi asiakkaiden oikeudet laajenevat siten, että heillä on "oikeus tulla unohdetuksi". Rekisterinpitäjän on poistettava kaikki tähän henkilöön liittyvät henkilötiedot tallennusmedioistaan. Lisäksi rekisterinpitäjän on osoitettava, että asiakas on alunperin erityisen selvästi antanut suostumuksensa säilyttää tietonsa erilaisilla medioissa ja palvelimilla.
Tietojen käsittely mm. netissä esim. markkinointiin vaatii siis selkeän suostumuksen. Sivun alareunassa valmiiksi rastitettu "Suostun"ei enää riitä. Yrityksen on nimenomaan varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet.
Tietisuojaviranomaiset päivittävät lähiaikoina mitä muutoksia tulee ja miten niitä tulkitaan.