Staples Business Advantage

Miksi kannattaa tarkastaa yrityksesi tietosuojaus juuri nyt?

Share via:

Kaikessa liiketoiminnassa on ensiarvoisen tärkeää varmistaa, että yrityksen tiedot ovat suojassa ja että ne noudattavat vaadittavia määräyksiä. Tämä on myös luotettavan yrityskuvan ja vaatimustenmukaisen toiminnan kannalta tärkeää. Jokaisen yrityksen velvollisuutena on varmistaa, että arkaluonteiset tiedot suojataan asianmukaisin varotoimenpitein ja että ulkopuolisilla ei ole pääsyä tällaisiin tietoihin.

Tietosuojaa koskeva uusi lainsäädäntö tulee voimaan 25.5.2018, ja muutoksella halutaan varmistaa, että tietosuojasääntely on yhdenmukaista koko EU:n alueella. Yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation) koskee kaikkea liiketoimintaa suuryrityksistä ja viranomaistahoista pk-yrityksiin.

Mitä yleinen tietosuoja-asetus tarkoittaa?
Yleinen tietosuoja-asetus on uusi primaarioikeuden piiriin kuuluva asetus, joka määrittää, kuinka yritysten tulee suojata EU:n kansalaisten henkilötiedot. Sen pääasiallisena tarkoituksena on luoda yhtenäinen tietosuojakäytäntö koko EU:n alueelle. Asetus korvaa nykyään voimassa olevan tietosuojadirektiivin 95/94/EY.

Kuinka yleinen tietosuoja-asetus vaikuttaa liiketoimintaan?
Yritysten on noudatettava entistä tarkempia henkilötietojen ja arkaluonteisten tietojen säilytystä koskevia toimintatapoja. Uuden lainsäädännön myötä tulevien velvoitteiden laiminlyönneistä voi aiheutua merkittäviä seuraamuksia ja sakkoja.

Henkilötietoja kerättäessä on noudatettava läpinäkyvyyden periaatetta. Yrityksen on aina kerrottava, kuinka kerättyä tietoa käytetään. Lisäksi kuluttajille on kerrottava, että heillä on oikeus estää tietojensa tallentaminen. Uusi ”oikeus tulla unohdetuksi” -direktiivi tarkoittaa, että kuluttaja voi vaatia yritystä poistamaan kaikki hänestä tallennetut henkilötiedot. ”Oikeus vastustaa” -direktiivi tarkoittaa, että kuluttaja voi kieltäytyä häntä koskevasta profiloinnista, jota hyödynnetään esimerkiksi suoramarkkinointitarkoituksessa.

Yritysten on ryhdyttävä tarvittaviin toimenpiteisiin tallentamiensa tietojen tietosuojan varmistamiseksi sekä fyysisessä että sähköisessä muodossa. Mahdollisiin rikkeisiin on puututtava viipymättä. Siirtymäaikana ennen uuden lainsäädännön voimaantuloa jokaisen yrityksen velvollisuus on arvioida, mikä on yrityksen tietosuojakäytäntöjen nykytila.

Miksi yleinen tietosuoja-asetus on tärkeä?
Kaikkien tietosuojadirektiiviä noudattavien yritysten on varmistettava, että yrityksen toiminta on myös yleisen tietosuoja-asetuksen mukaista ja että asetuksen mukanaan tuomia muutoksia noudatetaan. Jos yritys ei noudata yleisen tietosuoja-asetuksen vaatimuksia ja asetettuja määräyksiä tai se rikkoo niitä, yritys voidaan tuomita sakkoihin.

Koska uusi lainsäädäntö koskee kaikkia EU:n jäsenmaita, maakohtaisia tietosuojalakeja ei enää tarvita. Joihinkin yrityksiin on jopa nimettävä erityinen tietosuojavastaava, joka valvoo yleisen tietosuoja-asetuksen käyttöönottoa ja noudattamista.

Nyt siirtymäaikana on tärkeää valmistautua tulevaan, tehdä tilannekatsaus ja kartoittaa, mihin toimenpiteisiin yrityksessä on ryhdyttävä, jotta toiminta on myös uuden lainsäädännön voimaan astuessa vaatimusten mukaista.

Mitä siirtymäaikana kannattaa tehdä?
Monet yritysten tietoturvarikkomukset johtuvat yksittäisten henkilöiden huolimattomuudesta – eivät vaarallisista kyberhyökkäyksistä. Onkin ensiarvoisen tärkeää pyrkiä pienentämään riskejä mahdollisimman monin eri tavoin. Varmista ainakin seuraavat asiat:

 

  1. Tee riskiarviointisuunnitelma
    Jotta prosessit saadaan yleisen tietosuoja-asetuksen vaatimusten mukaisiksi, on tärkeää, että yrityksessä tunnistetaan nykyisten tietosuojakäytäntöjen potentiaaliset riskit ja puututaan mahdollisiin heikkouksiin. Kun riskianalyysin tulokset kootaan aikajanalle, tarvittavat toimenpiteet ja niiden toteutusaikataulut ovat helpommin hahmotettavissa. Samalla pystytään paremmin arvioimaan, mihin toimenpiteisiin kuluu eniten aikaa. Aikajana voi auttaa myös yrityksen sisäisessä työnjaossa, kun mietitään, kenen vastuulle mikäkin toimenpide kuuluu. Näin kaikki ovat tietoisia siitä, mitä kunkin on tehtävä yleisen tietosuoja-vaatimusten noudattamiseksi.

  2. Tuhoa tarpeeton paperinen tieto
    Jos käytät paljon paperimuotoisia dokumentteja tai joudut tulostamaan luottamuksellisia asiakirjoja, joita et tarvita myöhemmin, aineiston tuhoamisessa on käytettävä asiakirjatuhoojaa. On ehdottoman tärkeää, ettet jätä arkaluonteista tietoa ulkopuolisten näkyville. Samoja tietosuojarikkomusta koskevia sääntöjä sovelletaan myös työntekijä- ja asiakaskohtaisiin tietoihin, koska tällaisten luottamuksellisten tietojen vuotaminen voi yhtä lailla olla liiketoiminnalle haitallista.
    Ristiinleikkaavat silppurit leikkaavat asiakirjat pienen pieniin paloihin, jotta alkuperäinen asiakirja on mahdollisimman vaikeasti tunnistettavissa. Tarkoitukseesi sopiva asiakirjatuhooja riippuu aina toimintasi laadusta.

  3. Pidä paperisi suojassa
    Jotta toimintanne saadaan yleisen tietosuoja-asetuksen vaatimusten mukaisiksi, on tärkeää varmistaa, että fyysiset tiedot suojataan oikein. Jos tulostettua tietoa tarvitaan myös myöhemmin, tiedon säilyttämisessä on noudatettava varotoimenpiteitä. Näissä tapauksissa lukittavat laatikot ja arkistointikaapit ovat hyviä säilytyspaikkoja. Nykypäivänä tekniikka on kehittynyt huimin harppauksin, ja fyysisen tiedon säilyttäminen vanhaan tapaan lukkojen takana voi välillä jopa unohtua. Lukittavat säilytystilat ovat kuitenkin edelleen ratkaisevan tärkeitä, koska niiden avulla pystytään varmistamaan, etteivät ulkopuoliset pääse luottamuksellisiin tietoihin käsiksi.

  4. Kiinnitä huomiota salasanoihin
    Tietojen suojauksessa ei aina välttämättä muisteta, kuinka tärkeää on käyttää vahvaa, harkiten valittua salasanaa. Tietokoneen käyttäjille määritetyillä, tietyin väliajoin toistuvilla automaattisilla muistutuksilla voidaan varmistaa, että työntekijät vaihtavat salasanansa säännöllisesti. Tietosuojaa voidaan tehostaa myös määrittämällä, että salasanan on oltava riittävän monimutkainen ja että sen tulee sisältää esimerkiksi isoja kirjaimia, numeroita ja symboleja.

  5. Arvioi käyttöoikeustasot
    Aloittelevat työryhmän jäsenet eivät mitä todennäköisimmin tarvitse samoja käyttöoikeuksia kuin kauan talossa olleet johtoryhmäläiset. Samoin tietoturvasta vastaavilla on erilaiset käyttöoikeustarpeet kuin rivityöntekijöillä. Koska freelance-työntekijöitä ja tilapäistyövoimaa käyttävillä yrityksillä potentiaaliset riskit ovat muita suuremmat, myös räätälöityjen käyttöoikeuksien määrittäminen on erityisen tärkeää. Asettamalla rajoituksia sille, mihin tietoon kukakin pääsee käsiksi, voidaan vähentää tietoturvarikkomusten määrää merkittävästi ja varmistaa arkaluonteisten tietojen suojaaminen.

  6. Varmista, että virustorjuntaohjelmisto on tarpeeksi tehokas
    On ratkaisevan tärkeää, että liiketoimintaa suojataan verkkouhkilta tehokkaan virustorjuntaohjelmiston avulla. Virustorjuntaan on paneuduttava huolellisesti, koska kyberhyökkäykset yleistyvät koko ajan, ja viruksista, joilla pyritään soluttautumaan yrityksen järjestelmiin, on tullut entistä monimuotoisempia. Esitä itsellesi seuraavat kysymykset: Onko yrityksen virustorjuntaohjelmisto ajantasainen? Onko se tarpeeksi tehokas yrityksen kokoluokkaan nähden? Arvioi huolellisesti nykyisen ratkaisun kattavuutta ja varmista, että se on yleisen tietosuoja-asetuksen vaatimusten mukainen.

  7. Tee suursiivous toimistossa ja tietokoneissa
    Varmista säännöllisesti, että kaikki säilömänne tiedot ovat paikkansapitäviä, ajantasaisia ja edelleen tarpeellisia. Tämä vaaditaan yleisissä tietosuoja-säännöissä. Kunnioita myös ihmisten oikeuksia, joihin he ovat oikeutettuja yleisen tietosuoja-asetuksen nojalla. Jos henkilö ei halua, että hänen henkilötietojaan tallennetaan, hänellä on siihen lakisääteinen oikeus. Hän on myös oikeutettu siihen, että hänelle ilmoitetaan tästä oikeudesta selkeästi. Kun ohjeiden noudattamista seurataan ja turhat tiedostot ja kansiot poistetaan säännöllisesti, tiedot pysyvät järjestyksessä ja mahdolliset poikkeavuudet ja ongelmat pystytään havaitsemaan helpommin.

  8. Tee toimintasuunnitelma rikkomusten varalle
    Yritysten tulee reagoida rikkomuksiin nopeasti ja raportoida niistä asianmukaiselle viranomaiselle 72 tunnin kuluessa tapahtuneesta. Samalla on annettava selvitys siitä, kuinka kyseinen rikkomus on käsitelty ja mitä toimenpiteitä on tehty sen vaikutusten hillitsemiseksi. Kun toimintasuunnitelma on jo valmiina, prosessissa säästetään aikaa ja rikkomuksen mahdollisia vaikutuksia yritykselle ja asianosaisille voidaan pienentää.


On tärkeää, että kaikille yrityksen työntekijöille kerrotaan tietojen suojaukseen liittyvistä muutoksista sekä yleisen tietosuoja-asetuksen käyttöönotosta. Vastuu on jokaisella työntekijällä, joten aiheeseen liittyvät tiedot ja toimintasuunnitelmat on välitettävä henkilöstölle koko yrityksen laajuisesti. Siirtymävaihe on voimassa vain rajoitetun ajan, joten tietosuojan nykytilan arviointi on ensimmäinen askel kohti yleisen tietosuoja-asetuksen vaatimusten mukaista toimintaa.

Share via:

Lue myös

Ota yhteyttä
close

Tarvitsetko henkilökohtaista palvelua?

Voit soittaa Staplesin asiakaspalveluun numeroon:

010 681 681

Voit myös täyttää alla olevan lomakkeen, niin asiakaspalvelijamme ottaa sinuun pian yhteyttä.

Get help FI

Form