Tietosuojasta tietoturvaan – Miten tietoturva tulisi ottaa huomioon henkilötietojen käsittelyssä?

Tietosuoja on EU:n yleisen tietosuoja-asetuksen (GDPR) myötä saanut ansaittua kiinnostusta yritysten ja muiden toimijoiden keskuudessa. Kuitenkin tietosuoja käsitteenä kattaa lähtökohtaisesti vain henkilötietojen käsittelyn eli sen lainsäädäntökehikon, jonka puitteissa henkilötietoja on sallittua käsitellä, eikä sitä tule sekoittaa tietoturvaan. Tietoturva taas kattaa tekniset, hallinnolliset ja muut toimenpiteet, joilla tietoa – olipa se henkilötietoa tai ei – suojataan ja turvataan tietojen luottamuksellisuus, eheys ja saatavuus.

Vaikka henkilötietojen tietoturvaloukkaus ei aina tarkoitakaan GDPR:n velvollisuuksien rikkomista, usein tietoturvaloukkaukset, kuten tietomurrot, paljastavat puutteita henkilötietojen tietoturvan järjestämisessä ja voivat johtaa huomattaviin taloudellisiin seuraamuksiin ja merkittävään mainevahinkoon – kuten esimerkiksi Marriott- ja British Airways -tapauksissa, joissa puutteet tietoturvassa johtivat tietomurtoon.

Mitä yritysten tulisi sitten ottaa huomioon pohtiessaan henkilötietoja koskevia tietoturvatoimenpiteitä? Ja erityisesti tilanteessa, jossa tietojen käsittelyyn osallistuu palveluntarjoajia? Olemme koonneet tähän näkökulmia tietoturvariskien tunnistamiseen ja henkilötietoja käsittelevien toimittajien arviointiin.

Lähtökohtaisesti meidän tulee muistaa, että GDPR edellyttää rekisterinpitäjät ja näiden lukuun toimivat käsittelijät toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan tietoturvan varmistamiseksi.

Asianmukaisen tietoturvatason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, joita ovat erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton

Tietoturvatoimenpiteitä valittaessa on riskien lisäksi huomioitava uusin tekniikka, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Kun mitoitamme tietoturvatoimenpiteitä, tulee meidän ottaa huomioon, että näillä toimenpiteillä varaudumme hypoteettisiin, tulevaisuudessa tapahtuviin asioihin. Kun taas arvioimme jo aikaisemmin tapahtuneen tietoturvaloukkauksen riskejä rekisteröidyille, tällöin keskitymme yksittäistapauksin. Lisäksi on syytä muistaa, että arvioitaessa tietoturvaloukkauksen aiheuttamaa riskiä henkilöiden oikeuksille ja vapauksille keskitymme eri asioihin kuin tietosuojaa koskevassa vaikutustenarvioinnissa (data protection impact assessment, DPIA). Jälkimmäisessä keskitymme yleisemmin sen arvioimiseen, mitkä ovat yleisesti tarpeellisia suojatoimenpiteitä ja miten osoitetaan GDPR:n noudattaminen, kun taas jo tapahtuneiden tietoturvaloukkausten osalta arvioinnissa keskitymme enemmän siihen, miten voimme parhaiten minimoida rekisteröidyn tietoihin tosiasiassa kohdistuneen riskin ja miten pystymme korjaamaan havaitut puutteet.

GDPR edellyttää toimijoita – niin rekisterinpitäjiä kuin käsittelijöitäkin – tunnistamaan ja arvioimaan niitä riskejä, joita henkilötietojen käsittelyyn liittyy. Arvioinnin tueksi on tehty lukuisi eri oppaita. Esimerkiksi Yhdistyneen kuningaskunnan tietoturvaviranomainen Enisa on julkaissut kattavan oppaan riskien arviointiin liittyvistä ja eritasoisten riskien edellyttämistä toimenpiteistä (Enisa – Handbook on Security of Personal Data Processing). Avustavaa ohjeistusta arviointeihin voi hakea myös Valtionhallinnon tietoturvallisuuden johtoryhmän kehittämistä koskevista VAHTI-ohjeista.

Riskien arvioinnin tulee olla jatkuva prosessi – ei pistemäinen projekti. Toimijoiden onkin jatkuvasti seurattava toimintaympäristöään ja mahdollisia uusia, varsinkin ulkopuolisia tietoturvauhkia. Tietoturvaa tulee myös säännönmukaisesti testata. Tämä voidaan toteuttaa muun muassa simulaatioharjoituksilla ja penetraatiotestauksilla. Mitä korkeampi riski käsittelyyn liittyy, sitä järeämpiä tietoturvatoimenpiteitä toimijan edellytetään toteuttavan. Tietyillä aloilla, kuten esimerkiksi. terveydenhuollossa, teletoiminnassa, pankki- ja vakuutustoiminnassa, energia-alalla ja muilla yhteiskunnan toiminnan kannalta kriittisillä toiminnoilla, lainsäädäntö, viranomaismääräykset ja alan itsesääntely asettavat lisävaatimuksia tietoturvan suhteen.

Nämä kaikki on huomioitava tietoturvaratkaisuissa – myös hankittaessa palveluja toimittajilta. Valittavat ratkaisut tulee suhteuttaa harjoitettavaan toimintaan ja osapuolten tulee ottaa huomioon ratkaisujen toteuttamiskustannukset niitä valittaessa. Kuitenkaan tietoturvan toteuttamiskustannukset eivät voi olla hyväksyttävä peruste jättää toteuttamatta sellaisia tietoturvatoimia, joita kyseisellä toimialalla yleisesti tunnistetut riskit tai sääntely edellyttävät.

Kun hankitaan palveluja tai järjestelmiä, joiden yhteydessä käsitellään henkilötietoja, tulee arvioida kykeneekö järjestelmä- tai palvelutoimittaja varmistamaan sen, että heidän toimittamiensa palveluiden ja järjestelmien tietoturva vastaa olemassa olevia riskejä ja sääntelyn vaatimuksia. Tietosuoja-asetus edellyttää rekisterinpitäjän käyttävän vain sellaisia käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tietosuoja-asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

Kuitenkin vaikka tietoturvaloukkaus tapahtuisi käsittelijän roolissa toimivan toimittajan toiminnassa, usein tietosuojaviranomaisten katseet kääntyvät myös rekisterinpitäjän suuntaan sen arvioimiseksi, millaisia toimia rekisterinpitäjä on toteuttanut toimittajaa valitessaan. Valitettavan usein toimittajia valittaessa ja sopimuksia laadittaessa nämä vaatimukset jäävät vaille tarvittavaa huomiota. Usein sopimuksissa on vain edellytetty toimittajalta riittäviä tietoturva toimenpiteitä ilman, että on tarkemmin määritelty ja sovittu, mitä tai minkä tasoisia toimenpiteiden tulee olla. Hankinnoissa on syytä yhteistyössä sisäisten ja ulkoisten tietoturva-asiantuntijoiden ja juristien kanssa määrittää ja kirjata sopimukseen vaaditut tietoturvavaatimukset. Varsinkin liiketoiminnalle kriittisten järjestelmien kehityksen ja toimituksen yhteydessä tulee huomioida tietoturvanäkökulmat koko järjestelmän elinkaaren ajalta.

Esimerkiksi tietojärjestelmähankinnoissa on suositeltavaa jo tarjousvaiheessa (RFI/RFP) kuvata ostajana olevan yrityksen tietoturvavaatimukset ja edellyttää toimittajia kuvaamaan vaatimuksia vastaavat tietoturvan toteuttamisratkaisut. Toimittajilta tulee myös tarvittaessa vaatia sertifiointia esimerkiksi soveltuvien tietoturvastandardien, kuten esimerkiksi ISO 27000 -standardien, maksukortteja koskevan PCI DSS -standardin tai Yhdysvaltain NIST Cybersecurity Framework -ohjeistuksen, noudattamisesta. Kriittisten järjestelmien tulee edellyttää tietoturvaa koskevia auditointi- tai vastaavia verifiointioikeuksia, jotta asiakkaan suuntaan säilyy läpinäkyvyys sen tietoja koskevista tietoturvatoimenpiteistä.

Kuuntele myös ajankohtainen podcast aiheesta: Boreniuksen IP & Tech -praktiikan osakas Erkko Korhonen sekä lakiasiain- ja kehitysjohtaja Niko Jakobsson ja toimitusjohtaja Casper Herler keskustelevat tietoturvan ja tietosuojan tulevista kehityssuunnista.

***

Koska kyseessä on erittäin laaja kokonaisuus, käsittelemme vielä erikseen tietoturvaan liittyvän koulutuksen, varautumissuunnitelman ja vakuuttamisen merkitystä seuraavassa blogikirjoituksessamme. Jos ylläesitetyt näkökulmat herättävät kysymyksiä tai haluat muutoin keskustella teemasta, tietosuojaan ja tietoturvaan erikoistuneet asiantuntijamme keskustelevat mielellään kanssanne.