Miten arkaluontoiset henkilötiedot suojataan?

Kaikessa henkilötietojen käsittelyssä pitää perusasioiden olla kunnossa. Käsittelyn pitää olla suunnitelmallista, henkilöt pitää ohjeistaa, järjestelmät pitää suojata, käsittelyä tulee seurata ja ongelmiin pitää reagoida.

Suojausten riittävyys vaihtelee tapauskohtaisesti. Arkaluontoisten henkilötietojen tietoturvaloukkauksien seuraukset ovat tavanomaista suuremmat, minkä vuoksi ne pitää suojata muita henkilötietoja paremmin.

Yleisin ohje arkaluontoisten henkilötietojen suojaamisen tasosta on ”riittävästi”. Konkreettisia ohjeita riittävyydestä onkin jo paljon vaikeampi löytää. Mitä tuo itsestään selvältä kuulostava ohje sitten tarkoittaa?

Selvitä riittävä suojaus riskiarvioinnilla

Arkaluontoisia henkilötietoja käsiteltäessä korostuu riskilähtöisen arvioinnin merkitys. Koko käsittelyprosessi on arvioitava ja havaitut puutteet korjattava siten, että tietoturvaloukkauksen riski on riittävän pieni käsittelyn kaikissa vaiheissa. Jos arkaluontoisen tiedon käsittelyyn liittyy useampia riskitekijöitä, kuten vaikkapa uusi teknologia tai tiedon suuri määrä, pitää tehdä myös erillinen vaikutustenarviointi.

Esimerkkejä tyypillisistä arkaluontoisten tietojen suojausvaatimuksista ovat systemaattinen pääsyoikeuksien hallinta, tietojen käytön säännöllinen valvonta, tietojen salaaminen sekä tietoja käsittelevien henkilöiden salassapitosopimukset.

Suojaustoimenpiteiden riittävyyttä voi arvioida esimerkiksi erilaisia standardeja tai menetelmiä vastaan. Henkilötietojen suojaaminen, kuten muukin tietoturvallisuus, on kuitenkin jatkuvaa toimintaa ja sen kehittämistä, joten riskien- ja vaikutustenarviointiin on syytä palata säännöllisesti ja tarkastella toimenpiteiden ”riittävyyttä” uudelleen.

Pahinta on kokonaan puuttuva suojaus

Yhteinen nimittäjä useille tietoturvaloukkauksille on selkeä laiminlyönti. Kyse ei ole niinkään heikosta suojauksesta vaan suojauksen puuttumisesta kokonaan. Roskalaatikosta löytyy arkaluontoisia tietoja, joku julkaisee vahingossa henkilöiden terveystietoja tai potilastietoja säilytetään yhteisillä levyalueilla. Julkisuuteen päätyneet tapaukset ovat todennäköisesti vain jäävuoren huippu. Suojauksia suunnitellessa ensimmäinen askel onkin varmistaa suojausten kattavuus – kohtalainenkin suojaus on parempi kuin puuttuva suojaus.

Arkaluontoisten henkilötietojen käsittely EU:n tietosuoja-asetuksen näkökulmasta

Jos haluat kuulla lisää arkaluontoisten henkilötietojen käsittelystä EU:n tietosuoja-asetuksen näkökulmasta, ilmoittaudu Keski-Suomen kauppakamarin ja Relatorin torstaina 15.3 pidettävään tietosuojatietoiskuun. Ilmoittaudu ja lue lisää kauppakamarin sivuilla.