Kaikki ovat kuulleet GDPR:stä, ja varsinkin sen laiminlyönnistä aiheutuvista miljoonasakoista. Pelkällä panikoinnilla ei edistetä kenenkään tietosuojaa, kun taas muutamalla täsmätoimella saa jo paljon aikaan.
Ihmisten yksilönsuojaa puolustava GDPR eli General Data Protection Regulation -tietosuoja-asetus on puhuttanut jo voimaanastumisvuodesta 2016 lähtien. Surullista lain saamassa huomiossa on kuitenkin se, että ykkösargumentteina ovat olleet kärjistetyt väittämät asetuksen laiminlyönnin aiheuttamista sanktioista. Näillä kauhutarinoilla on kyllä saatu tehokkaasti yritysjohtajienkin huomio kiinnitettyä tietoturva-asioihin, mikä on hyvä, mutta silti GDPR:n ei tarvitsisi mielestäni olla peikko. Tietoturvan saa nimittäin kuntoon muutamalla selkeällä toimella ja siksi esitänkin kolme kysymystä, jotka jokaisen dataa käsittelevän kannattaa kysyä itseltään viimeistään nyt.
1. Mihin käytän hallussani olevaa tietoa?
Koko tietosuoja-asetuksen kantava ajatus on vahvistaa ihmisten oikeutta päättä itseään koskevan datan käsittelystä. Yksinkertaistettuna siis kaikkeen tiedonkäyttöön pitää aina olla selkeä syy – kaikilla on oikeus yksityisyyteen, eikä kenenkään henkilökohtaisia tietoja voi mennä noin vain kurkkimaan. Ensimmäinen kysymys kaikkeen datan käyttöön pitäisikin siksi mielestäni olla: mihin käytän tietoa?
Yksityisen ja julkisen raja on hyvin häilyvä ja siksi on välillä vaikea määrittää mikä on omalle toiminnalle olennaista tietoa – onneksi tähän voi ottaa avuksi laitehallinnan. Mobiilihallinnalla voidaan rajata yrityksen nähtäville vain se osa tiedosta, joka on oikeasti yritykselle tarpeellista ja suojata loput vain käyttäjän nähtäväksi. Esimerkiksi iPhonen terveystiedot ovat käyttäjälle henkilökohtaisia, eikä vaikkapa teleoperaattori tee niillä yhtään mitään. Myöskään yksityiset mobiilisovellukset eivät kuulu muille (kunhan ne ovat turvallisia), mutta taas työssä käytettävien sovellusten tietoturva on yritysten vastuulla. Ottamalla mobiilihallinnan käyttöön ei GDPR:ää voi rikkoa edes vahingossa.
2. Onko tietoturvajärjestelmä kunnossa?
GDPR:n myötä tiedon turvaaminen ei ole enää suositus vaan vaatimus – kämmejä ei vain saa enää tulla. Erityisesti käden jatkeenakin tunnetut ja joka paikassa mukana kulkevat älypuhelimet ovat haavoittuvia tietomurroille, sillä niiltä on usein pääsy sähköposteihin ja muihin yrityksen tietoihin. Alan termeillä ilmaistuna aktiivisia hyökkäysvektoreita on kaikkialla – esimerkiksi lähimaksu on yksi täysin inhimillinen riskitekijä. Tietoturvajärjestelmän Mobile Protectionilla saa helposti mobiililaitteet sekä niissä olevan datan hallintaan ja näin myös asiakkaiden tietoturvan kondikseen.
3. Mitä jos homma menee silti vihkoon?
Aina kaikki ei kuitenkaan mene niin kuin Strömsössä, ja siksi yleinen kysymys liittyen tietoturvaan onkin: mitä tehdä silloin, kun joku on käyttänyt tietoja väärin?
Jatkossa jokaisen yrityksen pitää pystyä havaitsemaan henkilötietoihin kohdistuvat loukkaukset, ilmoittaa siitä sekä viranomaiselle että kuluttajalle ja lisäksi pyrkiä minimoimaan vahingot.
Älä huoli, et ole ensimmäinen joka mokaa tässä. Erilaiset tietoturvavirheet ovat itseasiassa yhä tavallisempia. GDPR tuo kuitenkin mukanaan sen, että jatkossa jokaisen yrityksen pitää pystyä havaitsemaan henkilötietoihin kohdistuvat loukkaukset, ilmoittaa siitä sekä viranomaiselle että kuluttajalle ja lisäksi pyrkiä minimoimaan vahingot. Ennaltaehkäisy on aina paras ratkaisu, mutta kuten jokaisessa kriisissä, jo tapahtunutta virhettä ei voi enää peruuttaa, joten silloin tärkeää on se, että vahinkoon reagoidaan nopeasti, siitä kerrotaan avoimesti ja siitä opitaan.
Kun yritys hoitaa tietosuojan hyvin, se luo toiminnasta parempaa kuvaa ja vahvistaa asiakkaiden luottamusta. Koska organisaatiot voivat omalla toiminnallaan hyvin tukea henkilötietojen suojausta, on GDPR mielestäni enemmänkin kilpailuvaltti kuin pakollinen paha, ja siksi se on oikein hyvä asia paitsi yksityishenkilöille myös yrityksille.