400 päivää ja EU:n tietosuoja-asetus (GDPR) tulee voimaan — oletko valmis?

GDPR tuo henkilötietojen käsittelyyn paljon uusia vaatimuksia, jotka tulee ottaa huomion yrityksen toiminnassa. Yrityksille ja organisaatioille, jotka eivät ota huomioon näitä GDPR-vaatimuksia, voidaan asettaa merkittäviä taloudellisia sanktioita (jopa 4% edellisen vuoden liikevaihdosta). Tämä tarkoittaa, että GDPR-vaatimusten täyttämisen tulisi olla korkea prioriteetti yrityksissä ja organisaatioissa. Näin ei kuitenkaan ole tällä hetkellä.

Useat asiantuntijat ovat sitä mieltä, että GDPR-vaatimusten toteuttamisessa tarvitaan enemmän työtä kuin Millenium-bugin korjaamisessa. Ja tähän bugiin varautumisessa aikaa oli useita vuosia, kun taas GDPR astuu voimaan noin 400 päivän kuluttua..

Vaatimusten täyttäminen

Mitä siis täytyisi tehdä, jotta GDPR-vaatimustenmukaisuus on huomioitu, kun laki astuu voimaan. Tässä muutama vinkki vaatimustenmukaisuuteen:

  • Tiedottaminen ja koulutus ovat tärkeitä GDPR-projektin onnistumisessa. Johdon ja sidosryhmien täytyy ymmärtää mikä GDPR on, mitä toimenpiteitä varautumisessa tulee tehdä ja miksi toimenpiteet tehdään.
  • Suorita alustava arviointi ymmärtääksesi minkä laajuinen projektisi tulee olemaan — sekä maantieteellisesti että tietovirtojen suhteen.

Analysoi tilannetta seuraavin kysymyksin:

  • Mitä henkilötietoja kerätään ja miten niitä hallitaan
  • Kuinka tiedot kerätään? Kuinka niitä käytetään ja varastoidaan?
  • Kuinka ja millä menetelmillä tietoja jaetaan?
  • Kuinka hyvin tietosuoja on toteutettu?
  • Mitkä lainsäädännöt vaikuttavat henkilötietojen keräämiseen GDPR:n lisäksi?
  • Mitä tietoturvamekanismeja on olemassa ja onko riskejä tunnistettu?

Analysoi kriittisiä tietovirtoja havaitaksesi missä henkilötietoja säilytetään. Tietovirtadiagrammi auttaa havaitsemaan kuinka henkilötiedot liikkuvat ja mihin sopivat turvamekanismit tulisi asentaa niiden turvaamiseksi.

  • Suojaa ja valvo IT-ympäristöä, jossa henkilötietoja käsitellään ja säilytetään, kellon ympäri. Ajantasainen tilannekuva vaatii edistyksellisiä valvontajärjestelmiä, kuten IBM Securityn QRadar -järjestelmän.
  • Kaikkien henkilötietoja käsittelevien henkilöiden tulee ymmärtää GDPR. Varmista, että oikeat henkilöt saavat riittävän koulutuksen asiasta.

Kuinka pitkällä teidän organisaatiossa ollaan GDPR-vaatimustenmukaisuudessa? Mitkä ovat suurimmat haasteet?

Jos tarvitset apua varautumisessa tai oikeiden suojautumisen ratkaisujen löytämisessä, ota yhteyttä meihin.