Uuden tietosuojalain siirtymäaika päättyy 25.5.2018. Tähän on enää muutama kuukausi. Jos et ole vielä aloittanut, tee se nyt. Paljon on vielä tehtävissä. Ensimmäinen askel GDPR:n haltuun ottamisessa on nykytilan kartoittaminen. Suurin haaste on se, etteivät organisaatiot välttämättä tiedä tarkasti, mitä henkilötietoja järjestelmistä löytyy. Hämärän peitossa on myös missä ja miten tietoja käsitellään, säilytetään ja ylläpidetään ja ehkä tärkeimpänä: kuka tiedoista vastaa.
Henkilötietojen viidakko
Henkilötietoja voi olla siellä täällä: ohjelmistojen tietokannoissa, yksittäisissä Excel-tiedostoissa, työntekijöiden työpöydille tallennettuna tai paperisissa mapeissa. GDPR ei välitä missä muodossa tiedot ovat. Kaikkia tietoja pitää jatkossa käsitellä ja hallinnoida vaatimusten mukaan, riippumatta niiden säilytyspaikasta tai olomuodosta. Hyvä kysymys kuuluukin: ovatko kaikki olemassa olevat rekisterit todella tarpeen? Jos jostain mapin pohjalta löytyy vielä vanhoja markkinointikäyttöön tarkoitettuja rekisterejä, lienee olla aika tuhota ne tai kysyä vastaanottajilta lupa viestimiseen myös jatkossa.
Kysy nämä kysymykset selvittääksesi nykytilan
- Kuinka keräämme henkilötietoja?
- Onko meillä käsittelyoikeus muihin rekistereihin esim. asiakkaan/verkoston/yhteistyökumppanin rekisterit)?
- Miksi keräämme juuri nämä tiedot ja tarvitsemmeko kaiken?
- Mihin tarkoitukseen keräämme henkilötietoja?
- Onko meillä asiallinen peruste henkilötietojen käsittelylle?
- Kenelle luovutamme henkilötietoja (yhteistyökumppanit, palkanlaskija, työterveys jne.)?
- Kuka vastaa kustakin rekisteristä ja niiden ylläpidosta?
Aloita omasta työpöydästäsi
Tässä vaiheessa on siis tärkeää selvittää missä henkilödataa on, mitä dataa meillä on, missä sitä pitää olla ja missä sitä ei pidä olla. Henkilötietoja ei voi olla enää ympäriinsä organisaation syövereissä. Aloita siis omista tiedostoistasi. Kuvittele kauhuesimerkki työpöydästä, jolta löytyy useampi henkilötietoja sisältävä dokumentti: verokortteja, henkilöstön lääkärintodistuksia, avainasiakkaiden yhteystiedot, käyttäjälistoja. Kyseinen työpöytä on onneksi tässä tapauksessa kuvitelmaa, mutta valitettavan usein henkilöiden tietokoneilta löytyy paljon sellaista dataa, jotka uuden tietosuojalain mukaan pitäisi käsitellä jotenkin muuten kuin yksittäisten työntekijöiden paikallisilla koneilla tai tiedostoissa.
GDPR on siis ennen kaikkea toimintatapoja!
Microsoft on sitoutunut täyttämään GDPR:n vaatimukset omien pilvipalveluidensa suhteen 25.5.2018 mennessä
Microsoft 365 tarjoaa hyviä työkaluja GDPR-toimenpiteisiin, kuten esimerkiksi henkilötietojen suojaamiseen ja prosessien tehostamiseen. Keskitetyn hallinnan avulla voit suojata käyttäjien identiteettejä sekä rajoittaa käyttöoikeuksia. Käyttöoikeuksien hallinnoimisen ohella organisaatiossa kulkevan tiedon hallinnointi ja sen oikea luokittelu esim. sensitiiviseksi on avainasemassa tietoturvallisessa työskentelyssä.
GDPR-asetus edellyttää Data Controller -roolissa olevia yrityksiä käyttämään ainoastaan sellaisia ulkopuolisia tiedonkäsittelijöitä, jotka täyttävät heille asetetut GDPR-vaatimukset henkilötietojen käsittelyn osalta. Microsoft julkaisi maaliskuussa 2017 sopimukset, joissa taataan nämä ominaisuudet Microsoftin pilvipalveluille.
Microsoft suosittaa, että asiakkaat tarkastaisivat omat GDPR-vaatimuksensa.
Lisätietoja eri Microsoft 365 -tuotteiden ja lisäpalveluiden tarjoamista edistyksellisistä tietosuoja- ja tietoturvaominaisuuksista Microsoftin omilta sivuilta microsoft.com/security.