Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.
Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua.
Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä tietotilinpäätös tarkoittaa?
Mitä hyötyjä se tarjoaa?
Miten tietotilinpäätös tehdään?
Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää.
Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödyntämällä?
1. 1
Miten voit valmistautua EU:n tietosuoja-
asetukseen tietotilinpäätöstä hyödyntämällä?
Webinaari 19.4.2017 klo 9.30 - Aloitamme pian
2. 2
Jo viides EU:n tietosuoja-
asetukseen liittyvä
webinaarimme.
Aiemmat osat löytyvät
Centeron www-sivuilta tai
suoraan Youtube-
kanavaltamme.
Jo 5. GDRP-webinaari
4. EU:n tietosuoja-asetus (GDPR)
Henkilötietojen käsittely
Henkilötietoinventaari
Liiketoimintaprosessit
Tietojärjestelmät
Muut osapuolet / kumppanit
Tietoturvallisuus
Koulutus ja osaaminen
Ohjeistukset ja viestintä
Koulutukset
Tietoturva (ICT & fyysinen)
Tekninen auditointi
Tietosuojariskien hallinta
Tietosuojakäytänteet
Kansallinen sääntely,
ohjeistus ja tulkinta
EU:n sääntely,
ohjeistus ja tulkinta
Tietosuoja-asetus
Tietosuojavastaava /
organisaatio
Tietosuojaorganisaatio
ja hallintamalli
Rekisteröidyn
oikeudet ja suostumus
Pyynnöt/vastustamiset
Suostumus
Tiedonannot
Ohjaus
Kehittäminen
Tietosuojanseuranta
Määrittely
Rekisteröit
y
Viranomaise
t
Tietoturvaloukkaukset
Tiedonanto & yhteistyöVaatimustenmukaisuuden
seuranta
Valvonta & sertifiointi
=
Henkilötietotilinpäätös
5. Lisähyötyä tiedonhallinnan menetelmillä
• Tiedonhallinnan kehittämisprojektit itsessään on nähty kannattavaksi
investoinniksi jo ennen tietosuoja-asetuksen asettamia vaatimuksia
• Henkilötietotilinpäätös on tiedonhallinnan kehittämisprojekti
• Tietojen käsittelystä ja käsittelyjärjestelmistä kerätyn tiedon avulla voidaan
muun muassa:
• Tehostaa olemassa olevien järjestelmien ja työkalujen käyttöä
• Tehostaa järjestelmien kehitystä ja integraatiota
• Luoda sujuvampia tiedonkäsittelyn ja liiketoiminnan prosesseja
• Luoda toimintatapoja tiedon tehokkaammaksi hyödyntämiseksi
• Kehittää datasta liiketoiminnallisesti ja kaupallisesti saatavia hyötyjä
6. Tietotilinpäätös osana tietosuoja-asetuksen toteuttamista
Konserni
Liiketoiminnan
osa-alue
Liiketoiminta-
yksikkö
Tietojärjestelmät
Henkilötietojen
käsittelyprosessit
Poistaminen
Anonymisointi
Rajoittaminen
Tiedon hallinta
Mitä?
Missä?
Miten?
Tietovarannot
Omistajuus
Elinikä
Käsittely
Tiedon elinkaari
Käsiteltävät
henkilötiedot
Tietosuojakäytänteet, rekisteriselosteet & kerätyt suostumukset
Kehitys-
kohteet
Kattava ymmärrys
henkilötiedoista ja
niiden käsittelystä
7. Tietotilinpäätöksen toteuttaminen
Määrittele…
• Henkilötiedot
• Kohde
• Tavoite
Kartoita keskeiset…
• Prosessit
• Henkilöt
• Järjestelmät
Josta lopputuloksena:
• Määritelty & rajattu tavoite
• Haastattelutarpeet
• Dokumenttitarpeet
Vaihe 1: Liiketoimintaprosessit
Kartoita…
• Liiketoiminnan prosessit
• Manuaaliset (sivu)prosessit
• Järjestelmäarkkitehtuuri
Jotta ymmärretään miten
henkilötietoa…
• Varastoidaan
• Käsitellään
• Siirretään
Josta lopputuloksena:
• Listaus keskeisistä järjestelmistä
• Korkean tason prosessikuvaukset
• Listaus manuaalisista prosesseista
Vaihe 2: Käsitemalli
Analysoi tiedon…
• Tyypit
• Kategoriat
• Rakenne
• Luottamuksellisuus
• Keskinäiset suhteet
Jotta voidaan määritellä…
• Tiedon elinkaari
• Tietovuot
• Pääsy tietoon
• Vastuulliset tahot
Josta lopputuloksena:
• Tiedon elinkaaren kuvaukset
• Tietovuokaaviot
• Korkean tason kuvaus rooleista ja
käyttöoikeuksista
Vaihe 3: Tietosuojan kehittäminen
Määrittele tietosuoja-asetuksen…
• Vaikutusalueet
• Painopistealueet
Jotta voidaan kohdentaa…
• Vaikutustenarvioinnit
(Privacy Impact Assessments)
• Kehittämistoimenpiteet
• Tietoturvakontrollit
Josta lopputuloksena:
• Listaus vaikutustenarviointien
kohdejärjestelmistä ja -
prosesseista
• Kehitysehdotuslistaus
Aloitus
Selkeä ymmärrys tietosuoja-asetuksen vaikutuksista,
keskeisistä kehityskohteista sekä jatkoselvitystarpeista
8. Yhteenveto
• Hyvin tehty tietotilinpäätös on onnistuneen tietosuojan
kehityshankkeen kivijalka
• Tietotilinpäätös tarjoaa faktoihin perustuvan kuvan nykytilasta ja sen
kehittämistarpeista tietosuojan asetuksenmukaiseksi saattamiseen
• Tärkeintä on prosessi, ei dokumentti
• Dokumentti elää läpi tietosuojan kehityshankkeen, ja myös
ylläpitovaiheessa
• Tietotilinpäätöksestä voidaan tehdä erilaisia versioita erilaisiin
tarpeisiin
• Hyödyt ulottuvat myös muuhun liiketoimintaan tietosuojan ulkopuolelle!
9. Sparta Consulting | Paremman Tiedon
Valossa
Sparta Consulting Oy
Miko Eklöf
Kyberturvallisuusasiantuntija
044 788 8815
miko.eklof@spartaconsulting.f
i
Heimo Hänninen
Vanhempi konsultti
040 550 9428
heimo.hanninen@spartaconsulti
ng.fi
Fredrikinkatu 47, 3. krs.
00100 Helsinki
041 538 7797
office@spartaconsulting.fi
Osallistujien tervehtiminen
Tarvittaessa odotellaan hetki. Aloitus viimeistään 9.35.
[Kuva videoon]
Esitellään vetäjät:
Teemu Tiainen, Centero Oy:n asiakassuhteista vastaava henkilö
Lisäksi asiantuntijavieraana Sparta Consultingilta Miko Eklöf sekä Heimo Hänninen, jotka voivat kohta esitellä itsensä tarkemmin
Aihe yleisesti:
Tietotilinpäätöksen hyödyntäminen tietosuoja-asetukseen valmistaudutaessa
Järjestyksessään jo 5. EU:n tietosuoja-asetukseen ja siihen valmistautumiseen liittyvä webinaari
Kannattaa käydä katsomassa muutkin osat
Sparta Consulting on konsultointitalo, jossa yhdistyy tiedonhallinnan ja kyberturvallisuuden osaaminen. Ollaan nähty, että nämä asiat kulkee käsi kädessä, jo ennen tietosuoja-asetusta.
Tiedon on oltava hallussa, jotta sitä voidaan suojata, ja suojattua jotta se pysyy hallussa. Tämä on etenkin totta, kun puhutaan tietosuoja-asetuksesta. Tähän liittyen meiltä on myös lähiaikoina tulossa tuotejulkistus.
Tietosuoja-asetus antaa tietojen suojaamisen lisäksi paljon vaatimuksia myös tietojen asianmukaisesta käsittelystä, siirtämisestä ja säilyttämisestä. Mitään näistä toimenpiteistä ei voida toteuttaa (ainakaan kovin tehokkaasti) jollei tiedetä missä ja miten tietoa organisaatiossa käsitellään!
Henkilötietojen tietotilinpäätös voidaan nähdä työkaluna osoitusvelvollisuuden toteuttamiseen. Osoitusvelvollisuuden (”accountability”) avulla organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:
lainmukaisuus, kohtuullisuus ja läpinäkyvyys;
käyttötarkoitussidonnaisuus;
tietojen minimointi;
täsmällisyys;
säilytyksen rajoittaminen sekä;
eheys ja luottamuksellisuus.
Tietotilinpäätös on pelkkää tietosuojaa monipuolisempi työkalu. Tietotilinpäätös on osa tietojohtamista ja sitä voidaan käyttää organisaation sisäisenä tietojohtamisen raporttina. Tietotilinpäätöksellä voidaan myös raportoida organisaation sidosryhmille tietojen käsittelyä koskevista keskeisistä asioista. Näistä tiedoista on erityistä hyötyä jo silloin, kun vasta suunnitellaan tietosuojan saattamista asetuksenmukaiselle tasolle
VAHTI 1/2016: VAHTI-ohjeessa lueteltu kaikkiaan 13 dokumentaation osakokonaisuutta. Näistä tietotilinpäätös kattaa kokonaisuudessaan 3-4 ja koskettaa lisäksi ainakin 5:ttä.
Kerrotaan että seuraavaksi käsitellään mahdollisia kysymyksiä, joita esityksen aikana on tullut. Kysymyksiin palataan vielä myöhemmin.
Kiitetään kiireisimpiä.
Kerro, että Centero auttaa tietoturva-aiheisissa asioissa mielellään.
Kerro että kuukauden päästä seuraava tietoturva-aiheinen palaveri, josta lisätietoa tulee sähköpostilla ja Centeron sivujen kautta.
Pohjusta vähän aihetta.
Lopetus viimeistään 10.30.