Miten valita henkilötietojen käsittelyyn luotettava kumppani?

Henkilötietojen suoja on nyt Suomessa ajankohtaisempaa kuin koskaan. Ihmisten henkilötietoja käsitellään joka sekunti: työssä, viranomaisten taholla, terveydenhuollossa, ostosten yhteydessä, matkustaessa tai nettiä selaillessa. Yrityksissä olennaista on punnita faktojen valossa, onko palveluntarjoajan tietosuoja vakuuttavalla tasolla.

EU:n henkilötietoja koskeva tietosuoja-asetus GDPR tuli voimaan toukokuussa 2016. Siirtymäaika asetuksen täysimääräiseen soveltamiseen umpeutui kaksi vuotta myöhemmin.

GDPR herättää edelleen kysymyksiä yrityksissä. Asetuksen mukaan rekisterinpitäjä voi käyttää henkilötietojen käsittelyssä vain sellaista tietojenkäsittelijää, joka antaa riittävät takeet myös tietoturvan toteutumisesta.

Henkilötietojen käsittely on olennainen osa henkilöstö- ja palkkahallintoa. Lisäksi se on isossa roolissa organisaation muilla osastoilla.

– Keskeinen kysymys monessa yrityksessä on, miten voidaan varmistaa, että kumppani käsittelee henkilötietoja asetuksen mukaan. Epävarmuutta voi myös herättää, miten tietojenkäsittelyn turvallisuutta on mahdollista arvioida, Aditron tietosuojasta ja laatuasioista vastaava johtaja Jani Räty kertoo.

Ota huomioon kolme seikkaa

Aditro järjesti kansainvälisenä tietosuojapäivänä 28. tammikuuta webinaarin, jossa käsiteltiin ratkaisuja henkilötietojen suojaamiseen. Rädyn mukaan esille nousee kolme keskeistä tekijää, jotka kannattaa ottaa huomioon, kun organisaatiossa tehdään päätöksiä henkilötietoja käsittelevistä kumppaneista.

– Päätöksenteossa kannattaa huomioon tietojenkäsittelijän maantieteellinen sijainti, tietoja suojaavien prosessien kypsyysaste sekä se, arvioidaanko prosesseja ulkoisen tahon toimesta tai sisäisesti.

Henkilötietoja tulisi käsitellä organisaatioissa järjestelmällisesti, erillisen tietosuojaohjelman mukaisesti. Räty kertoo, että vakuuttavan tietosuojaohjelman tunnistaa muun muassa siitä, että ohjelma on ajan tasalla, läpinäkyvä, todennettu ulkoisen tahon toimesta ja sitä koskevat kuvaukset ovat tarvittaessa helposti saatavilla.

Henkilötietojen käsittelyn arvioinnissa olennainen keino voi olla esimerkiksi sertifiointi. Tietosuojan hallintajärjestelmän standardi ISO 27701 rakentuu tietoturvan ISO 27001 standardin päälle, joka varmistaa, että organisaatiossa rakennetaan myös henkilötietojen suojaus samojen periaatteiden ja kontrollien päälle kuin tietoturvakin. On myös hyödyllistä, että tietosuoja ja tietoturva omaavat yhteisen mallin riskien käsittelylle ja toiminnalle.

Yksi ensimmäisiä ISO 27701 -sertifikaatin haltijoita

Räty kertoo, että Aditro on yli viiden vuoden ajan tehnyt töitä kehittääkseen henkilötietojen suojaa järjestelmissään. Yritys onkin Pohjoismaissa yksi ensimmäisiä yrityksiä, jolle on myönnetty ISO 27701 -sertifikaatti.

– Haimme ISO 27701 -sertifikaattia, sillä näemme, että keskustelu henkilötietojen suojasta on ajankohtaista nykyhetken lisäksi myös tulevaisuudessa. Tietosuojan merkitystä korostaa kiihtyvä, maailmanlaajuinen digitalisaatio, saarekkeisiin eriytyvä internet ja kansainvälinen verkkorikollisuus. Nämä kysymykset koskettavat jokaista yksilöä ja organisaatiota, ikävänä esimerkkinä myös Suomessa tapahtuneet henkilötietojen vuodot.

Katso tästä 28.1. webinaarin tallenne: Webinar recording: Data Processing – How can we ensure a secure Data Protection Program? | Aditro

Haluatko lisätietoja henkilötietojen turvallisesta käsittelystä ja sitä koskevista ratkaisuista?
Otathan yhteyttä, niin keskustellaan aiheesta lisää!

Information Security and Quality Director Aditro
Jani Räty
+358 40 621 6001

GDPR pähkinänkuoressa

  • EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan henkilötietojen käsittelyyn, jos
    • yritys käsittelee henkilötietoja ja sijaitsee EU:ssa tai
    • mikäli yritys sijaitsee EU:n ulkopuolella, mutta käsittelee tavaroiden tai palvelujen liittyviä henkilötietoja EU:ssa tai
    • seuraa yksilöiden käyttäytymistä EU:ssa.
  • Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka koskevat tunnistettavissa olevaa henkilöä.
  • Henkilötietoja ovat muun muassa nimi, osoite, henkilökortin tai passin numero, tulot, IP-osoite tai terveydenhuollon hallussa olevat tiedot.
  • Henkilötietojen käsittelyssä organisaatioissa on kaksi roolia:
    • rekisterinpitäjä, joka päättää henkilötietojen käsittelyn tarkoituksesta ja -tavasta sekä
    • tietojenkäsittelijä, joka säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta.