On erittäin hyvä, että henkilötietoturvassa on hyvät aikomukset, mutta ollakseen todella vaatimusten mukaisia organisaatioiden tulee varmistaa, että ne käyttävät asianmukaisia teknisiä ja organisatorisia toimenpiteitä.
Ensimmäisen todellisen tietosuojalain muutoksen myötä 20 vuoteen, katsotaanpa, mitä yleinen tietosuoja-asetus (GDPR) kertoo turvallisuusperiaatteista.
- henkilötietojen turvallisuutta ei ole mitään uutta. The Tietosuojaseloste Laki (DPA) 1998 suosittelee, että parhaisiin käytäntöihin kuuluisi tietoihin kohdistuvien riskien arviointi ja asianmukaisten turvatoimien käyttöönotto. Mutta GDPR:n myötä nämä suositukset ovat nyt lakisääteisiä.
Uusissa asetuksissa 5 artiklan 1 kohdan f alakohdassa puhutaan henkilötietojen eheys ja luottamuksellisuus, joka tunnetaan nykyään GDPR:n "turvallisuusperiaatteena":
"Käsitelty tavalla, joka varmistaa henkilötietojen asianmukaisen turvallisuuden, mukaan lukien suojan luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta, käyttämällä asianmukaisia teknisiä tai organisatorisia toimenpiteitä."
Turvallisuusperiaatteen tarkoituksena on varmistaa, että organisaatiosi turvatoimenpiteet auttavat estämään hallussasi olevien henkilötietojen katoamisen, varastamisen tai millään tavalla vaarantumisen. Joten kun puhumme tietoturva, sisällytämme myös kyber-, fyysisen ja organisaation turvallisuuden.
Information Commissioner's Office (ICO) suosittelee, että turvallisuusperiaatetta tarkastellaan GDPR:n artiklan 32, erityisesti 32 artiklan 1, rinnalla.
"Ottaen huomioon tekniikan tason, toteutuskustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä vaihtelevan todennäköisyyden ja vakavuuden riskin luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän ja käsittelijän on toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan turvallisuustason varmistamiseksi."
Jos organisaatiot ja yksilöt eivät noudata tietoturva prosessien ja periaatteiden mukaisesti omaisuudelle ja ihmishengelle aiheutuva riski voi olla merkittävä. Joitakin esimerkkejä haitoista ovat:
Tietoturva on ennen kaikkea lakisääteinen vaatimus, joka myös auttaa sinua harjoittamaan hyvää tiedonhallintaa ja esittelemään sitä sinulle toimitusketju ja asiakkaita, joihin voit luottaa.
Lisäksi mitä enemmän työtä teet täällä, sitä parempi, koska ICO arvioi käytössäsi olevat tekniset ja organisatoriset toimenpiteet harkitessaan sakkoa – jos pahin tapahtuisi.
ISMS.online säästää aikaa ja rahaa ISO 27001 -sertifikaatin saamiseksi ja tekee sen ylläpidosta helppoa.
Tietoturvapäällikkö, Honeysuckle Health
ISMS.onlinen avulla versionhallintaan, käytäntöjen hyväksymiseen ja käytäntöjen jakamiseen liittyvät haasteet ovat menneisyyttä.
Kuten olemme jo käsitelleet, turvallisuusperiaatteet kattavat kaikki henkilötietojen käsittelyn osa-alueet (kyber- ja fyysiset).
Turvatoimilla varmistetaan siis, että henkilötietoihin pääsevät käsiksi vain valtuutetut henkilöt luovuttamista tai poistamista varten. Toimenpiteillä varmistetaan, että tiedot ovat tarkkoja ja täydellisiä ja että ne ovat edelleen saatavilla ja käyttökelpoisia. Tämä viittaa luottamuksellisuuden, eheyden ja saatavuuden periaatteeseen.
Vaikka GDPR ei anna erityisiä suosituksia tai määritelmiä turvatoimenpiteistäsi, organisaatiosi odotetaan ottavan käyttöön "asianmukaisen" turvallisuustason. Määrittääksesi, mitä pidetään sopivana sinulle, sinun tulee ensin mitata riski ja arvioida henkilötietojen arvo.
Organisatoriseen toimenpiteeseen kuuluisi mm tietoriskien arviointi. Myös tietokulttuurin rakentaminen ja tietoverkkoturvallisuus organisaatiossasi on olennaista periaatteiden toteuttamisessa päivittäin. Tämä voi olla a Tietosuojavastaava (DPO) tai muu henkilöstön jäsen, joka on vastuussa turvallisuustietoisuuden välittämisestä.
ICO suosittelee myös, että sisällytät seuraavat asiat ryhtyessäsi toimiin turvallisuusperiaatteen noudattamiseksi:
- organisaatiosi avainhenkilöiden välinen koordinointi (esim. tietoturvapäällikön tulee tietää IT-laitteiden käyttöönotosta ja hävittämisestä);
- pääsy tiloihin tai laitteisiin, jotka on annettu kenelle tahansa organisaatiosi ulkopuoliselle henkilölle (esim. tietokoneen ylläpitoa varten) ja siitä aiheutuvat lisäturvallisuusnäkökohdat;
- liiketoiminnan jatkuvuus järjestelyt, jotka määrittelevät, kuinka suojaat ja palautat hallussasi olevat henkilötiedot; ja
- määräajoin varmistaaksesi, että turvatoimenpiteesi ovat asianmukaisia ja ajan tasalla.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Ensimmäinen askel luottamuksellisuuden, eheyden ja saatavuuden periaatteen noudattamisessa on tietää, missä kaikki henkilötietosi ovat. Onneksi ISMS.onlinella on ratkaisu siitä.
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa