tietoturva, tietosuoja

Tietosuoja vai tietoturva?

EU:n tietosuoja-asetuksen myötä tietosuoja käsitteenä  on noussut vahvasti esille. Tietosuoja sekoitetaan usein tietoturvaan. Ne liittyvät luonnollisesti toisiinsa, mutta tarkoittavat eri asioita.

Mitä on tietosuoja?

Tietosuoja on yksityisyyden suojaa, jonka perustuslaki takaa kaikille henkilöille. Tietosuojan keskiössä ovat henkilörekisterit, joiden ylläpitämiseen sekä käsittelyyn muun muassa EU:n tietosuoja-asetuksella on tarkoitus vaikuttaa. EU:n tietosuoja-asetus ei ole ainoa henkilötietojen käsittelyyn vaikuttava asetus, vaan esimerkiksi henkilötietolaki ja salassapitovelvollisuus ottavat myös kantaa henkilötietojen käsittelyyn. Juridiikka tuo vahvasti omat vaatimuksensa tietosuojaan, ja tietosuojaa säädellään useassa eri laissa. Keskityn tässä tietosuojan osalta EU:n tietosuoja-asetukseen.

Tietosuoja voidaan nähdä yhtenä tietoturvallisuuden osa-alueena, jota ‘ohjaavat’ avainperiaatteet. Rekisterissä olevalla henkilöllä (rekisteröidyllä) on oikeus

  • saada tietoa miten hänen henkilötietoja käsitellään sekä nähdä omat tietonsa
  • vaatia henkilötietojensa oikaisemista tai poistaa omat henkilötiedonsa eli tulla unohdetuksi
  • tarvittaessa rajoittaa henkilötietojen käsittelyä
  • vastustaa henkilötietojen käsittelyä
  • vastustaa automaattista päätöksentekoa

Visman tietosuojasivustolla kerromme miten me toteutamme tietosuojaa.
Täältä löydät tietoja EU:n yleisestä tietosuoja-asetuksesta.

Mitä on tietoturva?

Tietoturvalla tarkoitetaan tiedon saatavuuden, eheyden ja luottamuksellisuuden huolehtimista. Tässä yhteydessä tieto voi olla esimerkiksi digitaalisessa tai fyysisessä muodossa. Saatavuus takaa tiedon saatavuuden tarvittaessa. Eheys tarkoittaa, että tieto on luotettavaa ja muuttumatonta esimerkiksi tietoturvahyökkäyksen jälkeen. Luottamuksellisuus varmistaa, että tietoa käsittelevät vain ne henkilöt, joilla on oikeus käsitellä sitä.

Tietoturva on osaorganisaation kokonaisturvallisuutta, johon kuuluu keskeisenä tekijänä riskien hallinta. Tietoturvallisuuden tulee olla osana organisaation prosesseja ja toiminnan jatkuvaa. Tietoturvalle on erilaisia hallintamalleja, kuten ISO/IEC 27001, joka sisältää muun muassa seuraavia osa-alueita:

  • tietoturvapolitiikka sekä johtaminen
  • henkilöstöturvallisuus
  • tietojärjestelmien sekä tietoliikenteen tietoturvallisuus
  • tiedon hallinta sekä suojeltava omaisuus
  • toiminnan jatkuvuus
  • fyysinen turvallisuus

Visman Trust Center Security -sivustolta löytyy lisää tietoa, miten me toteutamme tietoturvallisuutta.

Tietoturva osana tietosuojaa

Tietosuojan ja tietoturvan keskeinen liittymäkohta syntyy esimerkiksi EU:n tietosuoja-asetuksen artikloissa 24 (rekisterinpitäjän vastuu) sekä 32 (käsittelyn turvallisuus). Artiklassa 24 todetaan: ‘..rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta… ‘ sekä artiklassa 32 seuraavasti: …henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

  1. henkilötietojen pseudonymisointi ja salaus;
  2. kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
  3. kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
  4. menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Ovatko henkilötiedot pilvipalvelussa, verkkojaoilla vai henkilökohtaisilla tietokoneilla?

Tietosuoja-asetuksen näkökulmasta yrityksen kannattaa miettiä seuraavat asiat:

  • Henkilötietojen nykytila – missä henkilötietoa säilytetään? Ovatko ne pilvipalvelussa, verkkojaoilla, yrityksen henkilökunnan tietokoneilla vai paperimapeissa.
  • Yrityksen rooli – yrityksellä pitää olla käsitys käytettävistä henkilörekistereistä, joihin henkilötietoja kerätään. Henkilörekisterien suhteen yritys voi olla rekisterinpitäjän tai tietojen käsittelijän roolissa.
  • Tietosuojaseloste – seloste laaditaan kaikista rekistereistä, jotka sisältävät henkilötietoja. Tietosuojaselosteessa on muun muassa ilmoitettu henkilötietojen käsittelijä, minkä vuoksi henkilötietoja kerätään ja mihin tietoja käytetään sekä mahdolliset henkilötietojen luovutukset.
  • Sopimukset – tietosuoja-asetus edellyttää että asiakkaiden, toimittajien sekä muiden yrityksen toimintaan osallistuvien osapuolien kanssa on sopimukset tietosuojasta.
  • Tietoturva – yrityksen pitää varmistaa henkilörekisterien suojaus sekä henkilötietojen käsittelyn turvallisuus.

Tietoturvallisuus on siis keskeinen osa tietosuojaa, mutta panostamalla tietoturvaan ei tietosuojan vaatimuksia saada toteutettua. Juridisissa-asioissa autamme sekä tietoturva- että tietosuoja-asioissa. Lue lisää

Mika toimii Visma Enterprisessa Security Officerina. Hän huolehtii myös yrityksen tietosuojasta, vastaten että Visma Enterprise toimii GDPR -asetuksen mukaisesti.
Connect with Mika: