Apua pk-yrityksille tietosuojan toteuttamiseen

Miten pk-yritys voi toteuttaa tietosuojan tehokkaasti?

Jaakko Viitanen esitteli tätä konkreettista sisältöä Elinkeinoelämän keskusliitto EK:n koulutustilaisuudessa 17.11.2017 Helsingissä.

1) Analysoi tietosuojanne tilanne

  • Mikä on henkilötietojen käsittelyn nykytila?
  • Mitä kehittämistarpeita niistä löytyy?
  • Millainen riski niihin liittyy?
  • Mitä asioita tulee ensisijassa laittaa kuntoon?
    • Aloita asiakkaisiin ja viranomaisiin niveltyvistä

2) Toteuta tai teetä tarvittavat muutokset

  • Prosessien ja työmenettelyjen määrittely ja ohjeistukset
  • Tietojärjestelmiin liittyvät tekniset vaatimukset
    • mm. rekisteröidyn oikeuksien toteuttamiseksi kuten omien tietojen poisto ja tietojen saaminen ulos siirrettävässä muodossa
  • Hankintoihin ja sopimuksiin liittyvät muutokset
  • Valvonnan ja seurannan organisointi
    • mm. tietojärjestelmien lokit ja niiden seuranta

3) Varmista muutokset jatkossa

  • Projektina vaatimuksenmukaisuuden tason saavuttaminen, jatkuvana toimintana riittävä seuranta ja valvonta
  • Henkilökunnan, kumppaneiden, asiakkaiden kouluttaminen
  • Riittävän dokumentaation ja ohjeistuksien teettäminen
  • Arkipäiväinen seuranta
  • Mahdollista tietosuoja ja poikkeamista selviäminen
    • Oikeilla tietoturvatyökaluilla (käyttövaltuushallinta, lokienhallinta)
    • Oikeilla tiedon hallinnan työkaluilla (tietojärjestelmät, kirjanpito tietosuojatapahtumista)

Apukysymyksiä selvitykseen

  • Mitä henkilötietoja käsittelemme? Miksi? Tarvitaanko tätä kaikkea kerättyä henkilötietoa? Mitä tästä on dokumentoitu, entä mitä sovittu? Mikä riski tähän liittyy?
  • Ketkä käsittelevät henkilötietojamme? Miksi? Mitä tästä on sovittu ja mitä ohjeistettu? Miten tätä seuraamme? Mikä riski tähän liittyy?
  • Mitä kerromme tästä asiakkaille? Missä tilanteissa ja miten?
  • Mitä ovat rekisteröidyn oikeudet? Miten ne liittyvät meihin? Miten huolehdimme näistä? Mitä riskejä näihin liittyy?
  • Miten todistamme sisään rakennetun ja oletusarvoisen tietosuojamme, tietosuoja-asetuksen mukaisuuden? Entä miten vastaamme ilmoitusvelvollisuuteen?
  • Kuka vastaa meillä näistä asioita? Millä kyvykkyyksillä?