10/01/2018
Pitkään ja hartaasti valmisteltu EU:n uusi tietosuoja-asetus sai sinetit ylleen ja tuli voimaan 21. toukokuuta 2016. Vuosi 2016 olikin monille yrityksille herätyksen aikaa. Tietoisuus uudesta asetuksesta on alkanut levitä kohtuullisesti niin yrityksiin, kuin kuluttajiinkin. Se onkin tärkeää, sillä asetus koskee käytännössä jokaista yritystä, ja ajanlasku toukokuulle 2018 on jo pitkällä. Silloin voimaan astuvat sanktiot, jotka voivat pahimmillaan olla jopa 20 miljoonaa euroa, tai 4% yrityksen globaalista liikevaihdosta (emoyhtiöt mukaan luettuna), kumpi tahansa on suurempi.
Uusi asetus kannattaa siis ottaa vakavasti. Se antaa kansalliselle valvontaviranomaiselle vallan määrätä jopa kymmenien miljoonien eurojen sakkoja asetuksen vaatimusten noudattamatta jättämisestä.
Jokainen yritys käsittelee henkilötietoja. Esim. jokainen ERP-, CRM-, HR- järjestelmä varastoi ja käsittelee henkilötietoja. Jokaisella yrittäjällä ja työntekijällä on puhelimessaan asiakkaiden, tai potentiaalisten asiakkaiden henkilötietoja, samoin kaikilla yrityksillä on työntekijöidensä henkilötiedot. Palkanlaskenta, sairaspoissaolot, yhteystiedot, jopa pelkkä puhelinnumero on yksilöivä henkilötieto. Usein virheellisesti ajatellaan, että henkilötiedon määritelmä ei koske esim. B2B-kauppaa. Todellisuudessa kuitenkin esimerkiksi asiakkaan yhteyshenkilö Matti.Meikalainen@yritys.com on henkilötieto, sillä se voidaan yksilöidä tiettyyn henkilöön. Nopeasti huomaa, että asia koskettaa jokaista yritystä tavalla tai toisella, useimmiten todella monella tavalla.
Jokaisella näissä rekistereissä olevilla henkilöillä on tähänkin asti ollut oikeus tietojensa tarkastamiseen, niiden oikaisuun ja poistoon. Nyt EU:n tietosuoja-asetus tuo näiden lisäksi vastuun yrityksille kertoa aiempaa yksityiskohtaisemmin miten tietoja käsitellään ja miksi. Uusia vastuita ei myöskään pääse sivuuttamaan vain lisäämällä pienen lisäkappaleen pienifonttisen ja 136-sivuisen käyttäjäsopimuksen kolmanneksi viimeiseen kappaleeseen muun ”lakijargonin” joukkoon, vaan asia on erikseen selkeästi esitettävä. Uutena asiana tuli myös oikeus tietojen siirrettävyyteen eri rekisterien / yritysten välillä, sekä mahdollisuus kieltäytyä automatisoidusta profiloinnista ilman ihmisen osallistumista ketjuun henkilön ominaisuuksia määritettäessä.
Uusi tietosuoja-asetus suosittaa kaikkia yrityksiä nimittämään tietosuojavastaavan. Suoranaisena velvoitteena se on julkiselle sektorille ja yrityksille, jotka harjoittavat laajamittaista seurantaa tai arkaluonteisten tietojen käsittelyä.
Tietosuojavastaavalla tulee olla asiantuntemusta tietosuojalainsäädännöstä ja sen käytännöistä yrityksen toiminnassa. Tehtäviin kuuluu myös toimia kontaktihenkilönä viranomaisille, sekä rekisteröidyille. Tietosuojavastaavan tulee raportoida suoraan yrityksen johdolle.
Uusi tietosuoja-asetus tuo mukanaan tietoturvaloukkausten ilmoitusvelvollisuuden. Jokainen yritys on velvoitettu ilmoittamaan henkilötietoihin kohdistuvista tietoturvaloukkauksista viranomaistaholle, sekä jokaiselle rekisteröidylle, jonka tietoja ko. loukkaus koskee. Aikaikkuna ilmoituksen tekemiseen on lyhyt, 72 tuntia. Tällainen vasteaika vaatii yrityksiltä korkeatasoista valmiutta loukkausten havaitsemiseen, vahinkojen minimointiin sekä ilmoittamiseen.
Tietosuoja-asetuksen myötä on syytä tarkistaa yrityksen ulkoistus- ja yhteistyösopimukset. Mikäli ulkoinen palveluntarjoaja käsittelee, ylläpitää tai tarkastelee henkilötietoja, tulee myös tämän tahon täyttää asetuksen asettamat vaatimukset.
Tekemisen voi ulkoistaa, vastuuta ei.
Tietosuoja-asetus astui voimaan 21. toukokuuta 2016, jolloin alkoi kahden vuoden siirtymäaika. Yritysten kannattaa toimia siis jo tänään, sillä viranomaisvelvoitteet ja valvonta alkavat sanktioineen jo 25. Toukokuuta 2018.
NIS2-direktiivi astui voimaan 2023 syksyllä, ja sen täytäntöönpano Suomessa alkaa 2024 lokakuussa – eli pian. Osa yrityksistä on valmistautunut direktiivin säädöksiin jo nyt. Toiset ovat taas havahtuneet selvittämään, koskeeko NIS2 omaa liiketoimintaa, ja loput ovat...
Lue lisää
Vuosi 2024 on NetNordicilla alkanut vauhdikkaasti. Julkistus uusista yrityskaupoista vahvistaa ennestään pilviosaamistamme, mutta erityisesti tietoturvan saralla on tapahtunut jo paljon. Asiantuntijamme seuraavat jatkuvasti kyberturvallisuuden kentän kehitystä varmistaakseen, että asiakkaillamme on paras suojaus alati muuttuvia tietoturvauhkia...
Lue lisää
NetNordicin ja AddSecuren suhteella on tärkeä rooli AddSecuren digitaalisen omaisuuden turvaamisessa! AddSecure on eurooppalainen yritys, jolla on noin 50 000 turvallisten IoT-yhteyksien alalla toimivaa asiakasta, ja se käsittelee päivittäin noin 550 000 kriittisen tärkeää yhteyttä....
Lue lisää
Managers often delegate responsibility and risk ownership when they shouldn’t. It’s not uncommon for an employee to identify a risk, report it to management, and have it ignored. However, management should be the ones making...
Lue lisää
”NetNordic on ollut mahtava kumppani, olemme tehneet heidän kanssaan yhteistyötä ja teemme sitä jatkossakin”, sanoo Wihuri Groupin tietohallintojohtaja Juha-Matti Heino. Wihuri on globaali suomalainen teollisuus- ja kauppakonserni, joka toimii pakkausten, päivittäistavaroiden tukkukaupan, teknisen kaupan ja...
Lue lisää
Nomentia on eurooppalaisten kassanhallinta- ja kassanhallintaratkaisujen kategoriajohtaja, ja sen tavoitteena on tarjota ainutlaatuisia pilvipohjaisia kassanhallinta- ja kassanhallintaratkaisuja. Yritys asettaa suuren painoarvon tietojensa turvallisuudelle, pitäen sitä yhtenä keskeisimmistä velvollisuuksistaan. Tässä pyrkimyksessään vahvistaa kybervalmiuksiaan Nomentia valitsi kumppanikseen...
Lue lisää
Tiesitkö, että vuonna 2022 tietoturvaloukkauksen havaitseminen kesti keskimäärin 277 päivää ja tietoturvaloukkauksen rajoittaminen 70 päivää. Ponemon Instituten ja IBM Securityn vuonna 2022 julkaiseman raportin mukaan 277 päivän keskiarvo vuonna 2022 tarkoittaa, että jos tietoturvaloukkaus tapahtuisi...
Lue lisää
NetNordic osallistui ”Splunk Boss of the SOC” -haasteeseen ja voitti! Yli 350 osallistuneen tiimin joukosta NetNordic SOC osoitti huippuosaamisemme ja sai kunniakkaan ensimmäisen sijan.Boss of the SOC -kilpailu on sinisen joukkueen versio Capture the flag...
Lue lisää
Kesä lähenee ja sen mukana myös paljon odotetut lomat! Jokaisella meillä on enemmän tai vähemmän kiire päättää alkuvuoden kiireet, valmistella syys- ja talvikautta, sekä varmistella terassit ja mökkipihat kesäjuhlien ja rentojen lepopäivien viettoon. On silti...
Lue lisää
Red Team Testing, tai Red Teaming, on hyvin erilainen testaustapa normaalista penetraatiotestauksesta, jossa testataan verkkopalveluja. Red Teamingissa digitaalisen tietomurron lisäksi on myös fyysinen turvallisuuden testaus, joka tarkoittaa, että menemme paikan päälle yritystiloihin yrittäen murtautua rakennuksiin,...
Lue lisää
Penetraatiotestaus, englanniksi ’penetration testing’ tai ’pen test’, on auktorisoitu simuloitu verkkohyökkäys, jossa käytetään testaustekniikkaa järjestelmän kaikkien haavoittuvuuksien tunnistamiseksi ja sen turvallisuustason arvioimiseksi. Penetraatiotestaus on eräänlainen tietoturvatarkastus, jolla varmistetaan ohjelmiston suojaus joko ennen tuotantoon siirtymistä tai...
Lue lisää
Kyberrikollisuus jatkaa vauhdikasta kehittymistään ja monipuolistumistaan. Kyberhyökkäyksiä on myös entistä helpompi tehdä, koska rikolliset voivat ostaa helposti ja halvalla vahvaankin hyökkäykseen vaadittavat välineet ja kapasiteetin. Aiheesta on tehty useita tutkimuksia ja tilastoja, joista käytännössä kaikki...
Lue lisää