Euroopan Unioni valmistelee uutta, huomattavasti aiempaa säätelyä tiukempaa tietosuoja-asetusta. Uusi sääntely vaikuttaa suureen osaan suomalaisista yrityksistä ja muista organisaatioista. Asetuksen noudattamatta jättämiselle on suunniteltu tuntuvia sanktioita, joten ei ole ihme, että aihe puhututtaa. Koska aiheesta liikkuu paljon huhuja ja vähemmän ajantasaista tietoa, otimme asiasta selvää. Pureskelimme tulokset yhdessä yhteistyökumppanimme Trend Micron kanssa selkokielisen muotoon ja esittelimme ne maksuttomassa webinaarissa 21.9.2016 klo 9.30–10.30. MIKÄ IHMEEN TIETOSUOJA-ASETUS? Mitä GDPR:stä (General Data Protection Regulation) pitää tietää? Webinaarissa kerromme: •Millaista tietoa ja millaisia yrityksiä tietosuoja-asetus koskee? •Missä valmistelutyö tällä hetkellä menee ja miltä aikataulu näyttää? •Miten mikäkin tieto pitää suojata? •Millaisia sanktioita yritykselle voi tulla, jos suojaus epäonnistuu? •Miten ja milloin yrityksen kannattaa alkaa varautua uuteen sääntelyyn? •Mitkä ovat asetusta silmällä pitäen keskeisimmät toimenpiteet, joista pitää huolehtia? Webinaarin vetäjät: Webinaarin asiantuntijavieraana toimii Trend Micron maajohtaja (Suomi ja Baltia), Kimmo Vesajoki. Isäntänä toimii Centeron asiakassuhteista vastaava Teemu Tiainen.

1. 1
EU:n uuden tietosuoja-
asetuksen vaikutukset
yrityksiin
Webinaari 21.9.2016

2. Copyright 2016 Trend Micro Inc.2
Trend Micro
 27 years focused on security software, largest independent vendor
 Consistent – A World Safe for Exchanging Digital Information
 Headquartered in Japan, Tokyo Exchange Nikkei Index (4704)
 8 consecutive years on Dow Jones Sustainability Indexes
 Customers include 48 of top 50 global corporations
 5300+ employees, 50 countries worldwide
500k commercial customers &
155M endpoints protected
Small
Business
Midsize
Business
Enterprise
ConsumerConsumers

3. Copyright 2016 Trend Micro Inc.3
http://www.trendmicro.co.uk/euregulation/

4. Copyright 2016 Trend Micro Inc.4
Euroopan Unionin tietosuoja-asetus
1 artikla
Kohde ja tavoitteet
1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka
koskevat henkilötietojen vapaata liikkuvuutta.
2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan
henkilötietojen suojaan.
3. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden
suojeluun henkilötietojen käsittelyssä.
2 artikla
Aineellinen soveltamisala
1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten
henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus
muodostaa rekisterin osa.
http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN

5. Copyright 2016 Trend Micro Inc.5
Käsitteet
Henkilötieto
Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva,
biometrinen tai geneettinen tieto). Henkilötietojen käsittely Kaikki henkilötietoihin kohdistuvat toimet (tiedon elinkaari;
suunnittelusta → hävittämiseen).
Henkilötietojen erityiset tietoryhmät, ”arkaluonteiset henkilötiedot”
Tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton
jäsenyys, geneettisiä tietoja, terveyttä koskevia tietoja, tai seksuaaliseen käyttäytymiseen liittyviä tietoja. Erityisiä tietoryhmiä
koskeva käsittely on erikseen säänneltyä.
Henkilötietojen käsittelijä
Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän
toimeksiannosta.
Rekisterinpitäjä
Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa
määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Rekisteröity
Henkilö, jonka henkilötietoja käsitellään.
http://www.gdpr.fi/sanasto/

6. Copyright 2016 Trend Micro Inc.6
Velvoitteet
”...rekisterinpitäjän on toteutettava tarvittavat tekniset ja
organisatoriset toimenpiteet, joilla voidaan varmistaa ja
osoittaa, että käsittelyssä noudatetaan tätä asetusta.”
24 artikla
1. Tilivelvollisuus
2. Tietosuojavastaavan nimitys
3. Ilmoitusvelvollisuus tietoturvaloukkauksesta
4. Henkilötietojen käsittely, poisto, luovutus, siirto...

7. Copyright 2016 Trend Micro Inc.7
Käsittelyn turvallisuus
32 artikla
Käsittelyn turvallisuus
1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä
luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit
rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi
asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta
tietojenkäsittelyn turvallisuuden varmistamiseksi.
2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti
siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen,
häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

8. Copyright 2016 Trend Micro Inc.8
Ilmoitusvelvollisuus henkilötietojen
tietoturvaloukkauksesta 1/2
33 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja
mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle...
2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta
viivytystä saatuaan sen tietoonsa.
3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään
a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen
ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen
tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

9. Copyright 2016 Trend Micro Inc.9
Ilmoitusvelvollisuus henkilötietojen
tietoturvaloukkauksesta 2/2
33 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen
tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän
dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

10. Copyright 2016 Trend Micro Inc.10
Milloin tietosuojavastaava pitää nimittää?
Tietosuojavastaava on asetuksen määrittelemä rooli, jonka rekisterinpitäjän
ja henkilötiedon käsittelijän on nimettävä määritellyissä tilanteissa:
a) jos tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin
tuomioistuin),
b) ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät rekisteröityjen
säännöllistä ja järjestelmällistä seurantaa laajassa mitassa, tai
c) ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen
erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.
Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan. Konserni voi
nimittää yhden ainoan tietosuojavastaavan samoin kuin yksi tietosuojavastaava
voidaan nimittää useampaa viranomaista tai julkishallinnon elintä varten.
http://www.elinakoivumaki.com/2016/06/vaatiiko-uusi-laki-yritykseenne-tietosuojavastaavan/

11. Copyright 2016 Trend Micro Inc.11
Hallinnolliset seuraamukset
• Valvontaviranomainen voi määrätä rekisterinpitäjälle tai
henkilötietojen käsittelijälle sakon tietosuoja-asetuksen
vaatimusten laiminlyönnistä.
• Sakon suuruus määräytyy rikkomuksen luonteen perusteella.
• Sakon enimmäismäärä on 20 milj. € tai 4% yrityksen
edeltävän tilikauden vuotuisesta maailmanlaajuisesta
kokonaisliikevaihdosta.

12. Copyright 2016 Trend Micro Inc.12
Miten kannattaa valmistautua?
1. Tutustu uuteen asetukseen
2. Selvitä missä organisaatiosi palvelimet ja data sijaitsevat.
3. Ota uusi asetus huomioon koko järjestelmäarkkitehtuurissa.
4. Varmista kokonaisuuden tietoturvataso ja miten sitä seurataan.
5. Pohdi kuinka asiakastiedot voidaan toimittaa pyynnöstä rekisteröidylle.
6. Mieti, miten todennat, että alaikäisellä on vanhempien lupa
verkkopalvelun käyttöön.
7. Selvitä, miten varmistua siitä, että rekisteröidyn tiedot on poistettu
asiakkaan pyynnöstä järjestelmästä ja kuinka tämä vahvistetaan.
http://blog.planeetta.net/7-tapaa-miten-eun-tietosuoja-asetus-vaikuttaa-ohjelmistoyrityksiin

13. Copyright 2016 Trend Micro Inc.13
VM:n suosituksia muutosvaiheeseen
• Valtiovarainministeriön asettama valtionhallinnon tieto- ja
kyberturvallisuuden johtoryhmä (VAHTI) on 2.6.2016 julkaissut raportin,
jonka tarkoitus on helpottaa organisaatioiden valmistautumista sen
edellyttämiin muutoksiin
• Raportti antaa käytännön suosituksia muutokseen valmistautumiseen, siinä
esitellään uudistuksen ydinasioita: rekisteröityjen oikeuksia,
rekisterinpitäjien ja käsittelijöiden velvollisuuksia sekä sen keskeiset termit
• Jokaisen henkilötietoja käsittelevän organisaation pitää täyttää
toiminnassaan EU-tietosuoja-asetuksen vaatimukset 25.5.2018, jolloin
siirtymäaika päättyy
• Myös muut kuin julkishallinnon organisaatiot voivat hyödyntää suosituksia
kehittäessään henkilötietojen käsittelyä uusien vaatimusten mukaisiksi
http://vm.fi/artikkeli/-/asset_publisher/lakiuudistus-parantaa-tietosuojaa-eu-
ssa-tuore-raportti-uudistuksesta-antaa-suosituksia-muutosvaiheeseen

14. Copyright 2016 Trend Micro Inc.14
Miten Trend Micro voi auttaa?
Asetuksen perusteluteksti, resitaali nro 49 :
”On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä
on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, (...), sähköisten viestintäverkkojen ja -
palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja
tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta
tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen
saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä
tarjottujen tai välitettävien palvelujen turvallisuuden. ”
”Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin
jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille
viestintäjärjestelmille koituvien vahinkojen estäminen.”

15. Switch
Proxy
Router
Private & Public Cloud
Smart Protection
Network
File
Reputation
Service
Email
Reputation
Services
Web
Reputation
Service
WRS
FRS
ERS
Datacenter
Endpoints
Endpoint Security
Network Security
System Security
Firewall
Verkko- ja tietoturvallisuuden varmistus
Trend Micro ratkaisuilla
Central management
Onpremise & Cloud
Physical servers & VMs
Workstations & mobiles
Automated provisioning
Policy based security
Workstations &
Mobile devices

16. Gartner Magic Quadrant for
Endpoint Protection Platforms
Leader for
14 straight years!
Trend Micro: Parasta suojaa nykyaikaisia uhkia vastaan

17. Copyright 2016 Trend Micro Inc.17
Pilven tietoturvan jaettu vastuu
• Palveluntarjoaja vastaa:
 Facilities
 Physical Security
 Physical Infrastructure
• Asiakas vastaa:
 Operating Systems
 Application
 Data
 Network Firewall
Configuration
Asiakas on edelleen vastuussa käyttöjärjestelmä- ja
sovellustason tietoturvasta sekä datasta.

18. Switch
Proxy
Router
Private & Public Cloud
Smart Protection
Network
File
Reputation
Service
Email
Reputation
Services
Web
Reputation
Service
WRS
FRS
ERS
Datacenter
Endpoint Sensor
Firewall
Network Content Inspection
Advanced Threat Detection
Custom SandboxingBreach Detection
System
Tietoturvaloukkauksien havainta, esto ja
ilmoitusvelvollisuus
Endpoints
Endpoint Sensor

19. Copyright 2016 Trend Micro Inc.19
Riskien hallinta edellyttää kerroksellista suojaa
Servers
Protect server
workloads wherever
they may be -- physical,
virtual or cloud

20. Copyright 2016 Trend Micro Inc.20
Networks
Riskien hallinta edellyttää kerroksellista suojaa
Servers
Detect and block threats
hitting the data center and
user environments,
maximizing efficiency

21. Copyright 2016 Trend Micro Inc.21
Users
Networks
Riskien hallinta edellyttää kerroksellista suojaa
Protect user activities
anywhere on any
device reducing initial
point of infection Need for connected
threat defense and
centralized visibility
increases
Servers

22. Copyright 2016 Trend Micro Inc.23
Strong Central Visibility
User-based visibility, investigation & management

23. Copyright 2016 Trend Micro Inc.24
Copyright 2015 Trend Micro Inc. 24
Prioritized view of
alerts across the
environment

24. Security for SaaS-based applications
Advanced Threat
Detection
• Finds zero-day and
hidden threats
• Sandbox file analysis
in the cloud
DLP
• Discovery and
visibility into
confidential data
usage
• 240 customizable
templatesDirect cloud-to-cloud integration
Trend Micro
Cloud App Security

25. Copyright 2016 Trend Micro Inc.26
Defend against network & application attacks
with Intrusion Detection & Prevention
• Prevent vulnerability exploits
(Shellshock, Heartbleed)
• Reduce the need for emergency
patching
• Accelerate compliance with key
regulations like GDPR
Patch
Available
Patch applied,
Protected
Test Begin
Deployment
Zero day
Vulnerability
Disclosed
Traditional Patch management time line
Deep Security patch available in <24 hours
Protected against attack

26. Vulnerability Assessment reporting
Copyright 2015 Trend Micro Inc. 27
Vulnerability Assessment Reporting

27. 28
Kiitos, Kimmo!
Centero jatkaa vielä hetken, jonka jälkeen kysymysten ja vastausten aika…

28. 29
Hallinnollinen tietoturva
• Tietoturvan johtaminen ja hallinnointi
• Organisaation tietoturvapolitiikka ja -ohjeistus
Fyysinen tietoturva • Toimitilojen ja laitteiden fyysinen suojaaminen
Laitteistoturvallisuus
• Esimerkiksi tietokoneiden yleinen suojaaminen
• Centero / Trend Micro
Ohjelmistoturvallisuus
• Ohjelmistojen tietoturvaan liittyvät asiat
• Centero / Trend Micro
Tietoaineiston turvallisuus
• Sähköisten ja paperisten dokumenttien käsittely ja suojaaminen
• Centero / Trend Micro
Tietoliikenneturvallisuus
• Esimerkiksi tiedonsiirtoon liittyvät tietoturvamekanismit
• Centero / Trend Micro
Henkilöstöturvallisuus
• Rooleihin, vastuihin ja tietoturvaohjeistuksiin liittyvät asiat
• Organisaation tietoturvapolitiikka ja -ohjeistus
Käyttöturvallisuus
• Esimerkiksi salasanoihin liittyvät asiat.
• Organisaation tietoturvapolitiikka ja -ohjeistus
Tietoturvan osa-alueet

29. 30
• Keskiviikkona 19.10. jatkamme aiheen työstämistä. Silloin aiheena
tekniseen tietoturvaan liittyvien osa-alueiden palastelu käytännön
toimenpiteisiin.
• Tule mukaan tai ohjaa sopiva muu taho organisaatiostanne
osallistumaan!
Webinaari #2 - Tekninen tietoturva

30. 31
Kysymysten aika!
Kiitos osallistumisestasi!