View
86
Download
1
Category
Preview:
Citation preview
How can you ensure that your company is driving digitalization in a secure way?
Tervetuloa
Mikä on ”GDPR” ja miksi se on tärkeä?
Uusia oikeuksia rekisteröidyille
Yksityiskohtaisemmat tietosuojavaatimukset
Uudet mahdollisuudet
Sovelletaan 25.5.2018 alkaen
Yhdenmukaisemmat säännöt
Asetus vs. direktiivi
Laajempi soveltamisala
Täsmällisyys
Osoitus-velvollisuus
Lainmukaisuus, kohtuullisuus, läpinäkyvyys
Käyttötarkoitus-sidonnaisuus
Henkilötietojen käsittelyä koskevat periaatteetEheys ja
luottamuk-sellisuus
Tietojenminimointi
Säilytyksenrajoittaminen
Osoitusvelvollisuus
• Organisaation on pystyttävä osoittamaan,
että on huolehtinut asetuksen mukaisista
velvoitteistaan
• Jatkuva prosessi, jossa suunnitellaan,
arvioidaan ja priorisoidaan
yksityisyydensuojaan liittyviä näkökohtia,
tehdään riskilähtöisiä päätöksiä ja
dokumentoidaan kaikki
• Tavoitteena varmistaa, että asetusta ei
noudateta vain paperilla, vaan sen
vaatimukset huomioidaan myös
todellisuudessa ja jatkuvasti
• Rekisterinpitäjän ja henkilötietojen käsittelijän toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet asetuksen vaatimusten täyttämiseksi ja rekisteröityjen oikeuksien suojelemiseksi
• Esim. pseudonymisointi ja salaus; järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; kyky palauttaa nopeasti tietojen saatavuus ja pääsy niihin viansattuessa; säännöllinen toimenpiteiden testaus ja arviointi. Käytännesäännöt ja sertifikaatit.
• Tietosuoja huomioitava jo suunnitteluvaiheessa (“privacy by design”)
• Toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja (”Privacy by default”)
• Tietoturvaloukkaukset ja niistä ilmoittaminen
• Rekisterinpitäjät saavat käyttää vain sellaisia henkilötietojen käsittelijöitä, jotka pystyvät takaamaan asianmukaisten toimenpiteiden käytön
Tietoturva
GDPR – käytännön
kehitystoimet15.11.2017
Mikko Viemerö (CIPP/E, CIPM, CIPT, CISA, CISM)
13
Document Classification: KPMG Confidential
© 2017 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a
Swiss entity. All rights reserved..
Osoitusvelvollisuus ja riskilähtöisyys
GDPR 24 artikla
Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten
henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan
vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset
toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan asetuksen
vaatimuksia.
Rekisterinpitäjä vastaa eritoten siitä, ja sen on pystyttävä osoittamaan se, että henkilötietojen
käsittelyn periaatteita (art. 5) on noudatettu.
14
Document Classification: KPMG Confidential
© 2017 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a
Swiss entity. All rights reserved..
Osoitusvelvollisuus
käytännössä
Läpinäkyvyys
Sisäiset
arvioinnitDokumentaatio
Auditoinnit
Rekisteröityjen
oikeuksien toteuttaminen
Hyvä hallintotapa
Kumppanuuksien
hallinta
KoulutusTietosuojavastaava
Riskianalyysit
Tietovuotojen
hallinta
Kv. tiedonsiirrot
Johtaminen ja
vastuutus
Sanktiot
OSOITUS-VELVOLLISUU
S
Tieto-inventa
ariHallinnointi ja
vastuut
Politiikat ja ohj.
Riskien-hallinta
Sisään-rakenne
ttu tietosu
oja
Rekisteröidyn
oikeudetTietosuoja-
vastaava
Sopimukset ja alih.
hallinta
Tietoturva
Valvonta
Koulutus
Arviointi &
kehitys
15
Document Classification: KPMG Confidential
© 2017 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affilia ted with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Tyypillinen kehityshanke
Asiakkaan viestintä henkilöstölle ja sidosryhmille
Vaihe 4
• Vaatimusten-
mukaisuuden
audit
Vaihe 3
• Kehitystyö
Vaihe 2
• Priorisoitus
kehitys-
suunnitelma
Vaihe 1
• Gap-analyysi
• Riskianalyysi
• Kehitys-
suositukset
Asiantuntijoiden osallistuminen
Projektin johto
Kokonaiskesto 12 – 20 viikkoa
GDPR vaatimustenmukaisuus
Kokonaiskesto vaihtelee
Vaihe 0
• “Data
mapping”
Kokonaiskesto vaihtelee
16
Document Classification: KPMG Confidential
© 2017 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affilia ted with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Menestyksekkään kehityshankkeen avaimet
Johdon tukiHallinta-rakenteet
Aktiivinen projektin-
johto
Riittävät resurssit
Vankka metodologia
17
Document Classification: KPMG Confidential
© 2017 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affilia ted with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Kriittisiä alueita kehitystyössä
Riskien arviointiTietosuojan johtaminen ja
politiikatKoulutus
Prosessit; tiedon
elinkaaren hallinta
Henkilötietoinventaari /
data mapping
Sopimukset ja
alihankkijoiden hallinta
Järjestelmät ja
arkkitehtuuriTietoturva Rekisteröidyn oikeudet
18
Document Classification: KPMG Confidential
© 2017 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affilia ted with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Kokemuksia kenttätyöstäTietosuojan ”kolme ulottuvuutta” – lainsäädäntö, prosessit, tekniikka
GDPR-vaatimusten tulkinta – riskit vs. liikkumavara (riskilähtöisyys!)
Organisaation kulttuurinmuutos toisinaan tarpeen
Tietosuojavastaavan rooli keskeinen
Usein kehitysvelkaa jo nykyiseen lainsäädäntöön
Riittämätön osaaminen saattaa johtaa liikaan riskinottoon tai liiketoimintamahdollisuuksien hylkäämiseen
Kompensoivat kontrollit
Kehityskohtia tulee olemaan auki 25.5.2018 tärkeintä silloin toimenpidesuunnitelma
Document Classification: KPMG Confidential
The KPMG name and logo are registered trademarks or trademarks of KPMG International.
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity.
Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is
received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a
thorough examination of the particular situation.
© 2017 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Yhteystiedot
Mikko Viemerö
Tietosuojapalvelut
Cyber Security Services
Puh.: +358 20 760 3530
E-mail: mikko.viemero@kpmg.fi
Miten voi aloittaa valmistautumisen?
Selvitä, mitä henkilötietoja organisaatiosi on
kerännyt ja missä ne sijaitsevatKartoitus1
Hallitse henkilötietojen käyttötapoja ja -
oikeuksiaHallinta2
Ota käyttöön turvamekanismeja
haavoittuvuuksien ja tietomurtojen estämiseksi,
havaitsemiseksi ja niihin reagoimiseksiSuojaus3
Reagoi tietopyyntöihin, ilmoita tietomurrot ja
säilytä vaadittu dokumentaatio. Raportointi4
What to do next?
• Self assessment and Bench Marking to your industry https://www.gdprbenchmark.com/
https://www.microsoft.com/en-us/trustcenter/privacy/gdpr/resources
Recommended