YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.
Mikä on tietosuojan ja tietoturvan ero?
Jokaisella ihmisellä on oikeus henkilötietojensa suojaan. Tietosuoja on kansalaisen (rekisteröity) perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä.
Tietosuojan tarkoituksena on varmistaa, toteuttaa ja osoittaa, miten, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä.
Tietoturva on yksi tietosuojan toteuttamisen ja -toteutumisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa organisatorisia sekä teknisiä toimenpiteitä, joilla varmistetaan tiedon
- luottamuksellisuus
- eheys
- käytettävyys
Tietosuojasta ja tietoturvasta puhuttaessa nämä käsitteet sekoittuvat usein keskenään, samoin kuin näiden käsitteiden sisältämät asiat. Käsitteiden sekoittuminen puhekielessä ei ole vaarallista, mutta keskustelua ja omaa ymmärrystä helpottaa, kun hahmottaa, mitä milläkin käsitteellä tarkoitetaan.
Tietosuojan (GDPR) tavoite on rekisteröidyn eli yksittäisen henkilön, jonka tietoja käsitellään, luottamuksen ja oikeuksien – kuten yksityisyyden – toteutuminen henkilötietoja käsiteltäessä.
Tietoturvan tavoitteena on suojata kaikkia organisaation toiminnan kannalta tärkeitä tietoja.
Henkilötiedot ovat vain osa sitä tietomassaa, jota tietoturva suojaa. Myös esimerkiksi liikesalaisuudet, hinnastot, tekijänoikeuksin suojatut tiedot sekä erilaiset turvallisuutta koskevat tiedot ovat usein organisaation toiminnan ja kilpailukyvyn kannalta tärkeitä tietoja, joita tulee suojata siinä missä henkilötietojakin.
Tietoturvalla tarkoitetaan kaikkia niitä erilaisia hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus, eheys ja käytettävyys. Hallinnollisia toimia ovat esimerkiksi tietoturvakoulutus, tietoturvapolitiikat tai organisaation salasanapolitiikka ja teknisiä toimia esimerkiksi palomuurit, torjuntaohjelmistot ja muut tekniset suojaustoimenpiteet.
Suunnittelu ja kokonaiskuvan hallitseminen onnistumisen ytimessä
Tietosuoja asettaa säännöt, joiden mukaan tulee toimia aina henkilötietoja käsiteltäessä, ja tietoturva tarjoaa ne keinot, joilla henkilötietoja suojataan.
Käsitteinä nämä kulkevat käsi kädessä, ja iso osa tietosuojasta toteutetaan tietoturvatoimenpiteillä. Kun tietosuojasta huolehditaan asianmukaisesti, tulee myös tietoturva väistämättä huomioiduksi henkilötietojen osalta.
Tietosuojasta huolehtiminen tarkoittaa esimerkiksi sitä, että organisaatiossa kaikki henkilötietojen käsittely on suunniteltu koko tiedon elinkaaren ajan tiedon keräämisestä sen tuhoamiseen asti (tietovirtakuvaukset).
Jotta tämä on mahdollista, tulee organisaatiolla olla ensin selkeä kuva siitä, minkälaisia henkilötietoja organisaatiossa käsitellään ja missä tarkoituksessa. Kun kokonaiskuva on selvillä, on helpompi hahmottaa, minkälaista tietoturvan tasoa, eli minkälaisia suojatoimia, mikäkin henkilötieto edellyttää.
Asiakastietoja vai uutiskirjeen vastaanottajia?
Riskiperusteisen lähestymistavan mukaan henkilötietojen suojatoimet tulee suhteuttaa rekisteröidyn oikeuksille ja vapauksille mahdollisesti käsittelystä aiheutuvaan riskiin.
Ajatus on varmistaa henkilötietojen suoja korkean riskin toiminnassa ja välttää pieniriskisten toimintojen liian tiukkaa sääntelyä.
Esimerkiksi kun käsitellään asiakastietoja, liittyy niiden käsittelyyn isompia riskejä ja suojatoimien tason tulee olla korkea. Jos taas käsitellään uutiskirjeen vastaanottajia, on rekisteröidylle aiheutuva riski todennäköisesti pienempi eikä tietojen käsittelyn suojaustoimien tarvitse olla niin korkeita.
Tule kuulemaan lisää aiheesta Ota GDPR haltuun -koulutuksessamme 17.5.
Teksti ja kaaviokuva: COB Juha Oravala, D-Fence Oy, Cyber Threat Unit
Kuva: Pixabay