eu:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari

1

EU:n uuden tietosuoja-asetuksen vaikutukset

yrityksiinWebinaari 21.9.2016

Copyright 2016 Trend Micro Inc.2

Trend Micro

27 years focused on security software, largest independent vendor

Consistent – A World Safe for Exchanging Digital Information

Headquartered in Japan, Tokyo Exchange Nikkei Index (4704)

8 consecutive years on Dow Jones Sustainability Indexes

Customers include 48 of top 50 global corporations

5300+ employees, 50 countries worldwide

500k commercial customers &155M endpoints protected

Small Business

Midsize Business

Enterprise

ConsumerConsumers


http://www.trendmicro.co.uk/euregulation/


Euroopan Unionin tietosuoja-asetus1 artikla

Kohde ja tavoitteet

1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.

2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

3. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.

2 artikla

Aineellinen soveltamisala

1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus

muodostaa rekisterin osa.

http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN


KäsitteetHenkilötieto

Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto). Henkilötietojen käsittely Kaikki henkilötietoihin kohdistuvat toimet (tiedon elinkaari; suunnittelusta → hävittämiseen).

Henkilötietojen erityiset tietoryhmät, ”arkaluonteiset henkilötiedot”

Tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja, terveyttä koskevia tietoja, tai seksuaaliseen käyttäytymiseen liittyviä tietoja. Erityisiä tietoryhmiä koskeva käsittely on erikseen säänneltyä.

Henkilötietojen käsittelijä

Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta.

Rekisterinpitäjä

Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Rekisteröity

Henkilö, jonka henkilötietoja käsitellään.

http://www.gdpr.fi/sanasto/


Velvoitteet”...rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta.”

24 artikla

1. Tilivelvollisuus

2. Tietosuojavastaavan nimitys

3. Ilmoitusvelvollisuus tietoturvaloukkauksesta

4. Henkilötietojen käsittely, poisto, luovutus, siirto...


Käsittelyn turvallisuus32 artikla

Käsittelyn turvallisuus

1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit

rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a) henkilötietojen pseudonymisointi ja salaus;

b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen,

häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.


Ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksesta 1/2

33 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle...

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.


Ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksesta 2/2

33 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän

dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.


Milloin tietosuojavastaava pitää nimittää?Tietosuojavastaava on asetuksen määrittelemä rooli, jonka rekisterinpitäjän ja henkilötiedon käsittelijän on nimettävä määritellyissä tilanteissa:

a) jos tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin tuomioistuin),

b) ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa, tai

c) ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.

Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan. Konserni voi nimittää yhden ainoan tietosuojavastaavan samoin kuin yksi tietosuojavastaava voidaan nimittää useampaa viranomaista tai julkishallinnon elintä varten.

http://www.elinakoivumaki.com/2016/06/vaatiiko-uusi-laki-yritykseenne-tietosuojavastaavan/


Hallinnolliset seuraamukset

• Valvontaviranomainen voi määrätä rekisterinpitäjälle tai henkilötietojen käsittelijälle sakon tietosuoja-asetuksen vaatimusten laiminlyönnistä.

• Sakon suuruus määräytyy rikkomuksen luonteen perusteella.

• Sakon enimmäismäärä on 20 milj. € tai 4% yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.


Miten kannattaa valmistautua?1. Tutustu uuteen asetukseen

2. Selvitä missä organisaatiosi palvelimet ja data sijaitsevat.

3. Ota uusi asetus huomioon koko järjestelmäarkkitehtuurissa.

4. Varmista kokonaisuuden tietoturvataso ja miten sitä seurataan.

5. Pohdi kuinka asiakastiedot voidaan toimittaa pyynnöstä rekisteröidylle.

6. Mieti, miten todennat, että alaikäisellä on vanhempien lupa verkkopalvelun käyttöön.

7. Selvitä, miten varmistua siitä, että rekisteröidyn tiedot on poistettu asiakkaan pyynnöstä järjestelmästä ja kuinka tämä vahvistetaan.

http://blog.planeetta.net/7-tapaa-miten-eun-tietosuoja-asetus-vaikuttaa-ohjelmistoyrityksiin

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:ST_5419_2016_INIT


VM:n suosituksia muutosvaiheeseen• Valtiovarainministeriön asettama valtionhallinnon tietoja

kyberturvallisuuden johtoryhmä (VAHTI) on 2.6.2016 julkaissut raportin, jonka tarkoitus on helpottaa organisaatioiden valmistautumista sen edellyttämiin muutoksiin

• Raportti antaa käytännön suosituksia muutokseen valmistautumiseen, siinä esitellään uudistuksen ydinasioita: rekisteröityjen oikeuksia, rekisterinpitäjien ja käsittelijöiden velvollisuuksia sekä sen keskeiset termit

• Jokaisen henkilötietoja käsittelevän organisaation pitää täyttää toiminnassaan EU-tietosuoja-asetuksen vaatimukset 25.5.2018, jolloin siirtymäaika päättyy

• Myös muut kuin julkishallinnon organisaatiot voivat hyödyntää suosituksia kehittäessään henkilötietojen käsittelyä uusien vaatimusten mukaisiksi

http://vm.fi/artikkeli/-/asset_publisher/lakiuudistus-parantaa-tietosuojaa-eu-ssa-tuore-raportti-uudistuksesta-antaa-suosituksia-muutosvaiheeseen


Miten Trend Micro voi auttaa?Asetuksen perusteluteksti, resitaali nro 49 :

”On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, (...), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden. ”

”Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.”

Switch

Proxy

Router

Private & Public Cloud

Smart Protection Network

FileReputationService

Email ReputationServices

WebReputation

Service

WRSFRS

ERS

Datacenter

Endpoints

Endpoint SecurityNetwork SecuritySystem Security

Firewall

Verkko- ja tietoturvallisuuden varmistusTrend Micro ratkaisuilla

Central managementOnpremise & CloudPhysical servers & VMsWorkstations & mobilesAutomated provisioningPolicy based security

Workstations & Mobile devices

Gartner Magic Quadrant forEndpoint Protection Platforms

Leader for14 straight years!

Trend Micro: Parasta suojaa nykyaikaisia uhkia vastaan


Pilven tietoturvan jaettu vastuu

• Palveluntarjoaja vastaa: Facilities

Physical Security

Physical Infrastructure

• Asiakas vastaa: Operating Systems

Application

Data

Network Firewall Configuration

Asiakas on edelleen vastuussa käyttöjärjestelmä- ja

sovellustason tietoturvasta sekä datasta.

Switch

Proxy

Router

Private & Public Cloud

Smart Protection Network

FileReputationService

Email ReputationServices

WebReputation

Service

WRSFRS

ERS

Datacenter

Endpoint Sensor

Firewall

Network Content InspectionAdvanced Threat Detection

Custom SandboxingBreach Detection System

Tietoturvaloukkauksien havainta, esto ja ilmoitusvelvollisuus

Endpoints

Endpoint Sensor


Riskien hallinta edellyttää kerroksellista suojaa

Servers

Protect server workloads wherever

they may be -- physical, virtual or cloud


Networks


Servers

Detect and block threats hitting the data center and

user environments, maximizing efficiency


Users

Networks


Protect user activities anywhere on any

device reducing initial point of infection Need for connected

threat defense and centralized visibility

increases

Servers


Strong Central Visibility

User-based visibility, investigation & management


Copyright 2015 Trend Micro Inc. 24

Prioritized view of alerts across the

environment

Security for SaaS-based applications

Advanced Threat Detection• Finds zero-day and

hidden threats• Sandbox file analysis

in the cloud

DLP• Discovery and

visibility into confidential data usage

• 240 customizable templatesDirect cloud-to-cloud integration

Trend Micro Cloud App Security


Defend against network & application attacks with Intrusion Detection & Prevention

• Prevent vulnerability exploits(Shellshock, Heartbleed)

• Reduce the need for emergency patching

• Accelerate compliance with key regulations like GDPR

Patch Available

Patch applied, Protected

Test Begin Deployment

Zero dayVulnerability Disclosed

Traditional Patch management time line

Deep Security patch available in <24 hours

Protected against attack

Vulnerability Assessment reporting

Copyright 2015 Trend Micro Inc. 27

Vulnerability Assessment Reporting

28

Kiitos, Kimmo!Centero jatkaa vielä hetken, jonka jälkeen kysymysten ja vastausten aika…

29

Hallinnollinen tietoturva• Tietoturvan johtaminen ja hallinnointi

• Organisaation tietoturvapolitiikka ja -ohjeistus

Fyysinen tietoturva • Toimitilojen ja laitteiden fyysinen suojaaminen

Laitteistoturvallisuus• Esimerkiksi tietokoneiden yleinen suojaaminen

• Centero / Trend Micro

Ohjelmistoturvallisuus• Ohjelmistojen tietoturvaan liittyvät asiat


Tietoaineiston turvallisuus• Sähköisten ja paperisten dokumenttien käsittely ja suojaaminen


Tietoliikenneturvallisuus• Esimerkiksi tiedonsiirtoon liittyvät tietoturvamekanismit


Henkilöstöturvallisuus• Rooleihin, vastuihin ja tietoturvaohjeistuksiin liittyvät asiat


Käyttöturvallisuus• Esimerkiksi salasanoihin liittyvät asiat.


Tietoturvan osa-alueet

30

• Keskiviikkona 19.10. jatkamme aiheen työstämistä. Silloin aiheena tekniseen tietoturvaan liittyvien osa-alueiden palastelu käytännön toimenpiteisiin.

• Tule mukaan tai ohjaa sopiva muu taho organisaatiostanne osallistumaan!

Webinaari #2 - Tekninen tietoturva

31

Kysymysten aika!Kiitos osallistumisestasi!

eu:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari

Law