Tietosuoja-asetus GDPR astui voimaan suuren kohinan saattelemana toukokuussa. Suomen yrityskenttä suhtautuu yhä liian sinisilmäisesti tietoturvaan kohdistuviin uhkiin.
– Tietosuoja-asetuksen tuoma muutos on merkittävä. Asetuksien vaatimien tietoturvailmoitusten määrä ja laajuus ovat yllättäneet viranomaiset sekä muut alalla toimijat. Siinä missä aiemmin ei ollut näkyvyyttä, ollaan siirrytty lähes täydelliseen läpinäkyvyyteen. Viranomaisilla pääfokus on löytää olennainen näiden ilmoitusten joukosta, toteaa Dittmar & Indreniuksen asianajaja Jukka Lång.
Ilmoitusten suuri määrä kertoo myös haavoittuvuudesta.
– Hyökkäykset ja ennen kaikkea inhimillisistä virheistä aiheutuneet tietovuodot ovat todella yleisiä. Yritysten tulee varautua siihen, että tietosuojaan liittyvien ilmoitusten myötä tapahtunut tulee julki, niin asiakkaille, yhteistyökumppaneille kuin laajemminkin.
– Melko usein organisaatioilla on heikot valmiudet ymmärtää, mitä tietoa on viety ja mitä sillä ylipäänsä on tehty. On varmaa, että suojaus on pettänyt, mutta onko tiedolla tehty jotain väärää, sitä ei välttämättä saada selville. Riskeihin ei olla kunnolla varauduttu, kertoo Lång.
Vastuuta ei voi pakoilla
EU:ssa Saksa on ensimmäisenä määrännyt sakkoja riittämättömästä tietoturvatoimenpiteiden toteutuksesta. Suomessa tietosuojavaltuutettu saa sakotusvaltuudet vuoden 2019 alussa.
– Yrityksellä tulee olla etukäteen mietityt prosessit, toimintatavat ja periaatteet myös tietoturvan toteutuksen suhteen. Yrityksen tulee selkeästi määrittää toimintavaltuudet sekä vastuut yrityksen sisällä ja luoda toimintatapa, jossa tietoturvan toteuttamiseen osallistetaan myös muut yrityksen toiminnot kuin tietohallinto, kuten juristit ja viestintä.
– Yritys ei saa jäädä passiiviseksi tietosuojan suhteen. Vaikka järjestelmät ja palvelut voidaan ulkoistaa, vastuuta ei, Lång toteaa.