7 tapaa onnistua EU-tietosuoja-asetuksen (GDPR) hallinnoimisessa

Viimeisin EU:n laajuinen tietosuoja-asetus on tarkoitus panna täytäntöön 25.5.2018 alkaen. Se on yksi merkittävimmistä turvallisuushankkeista viime vuosina, ja sillä on useita vaikutuksia yksityisiin ja julkisiin sektoreihin Euroopassa. EU-tietosuoja-asetuksessa on erilaisia ​​vaatimuksia henkilötietojen käsittelyyn ja suojaamiseen liittyen. Nämä vaatimukset edellyttävät luovaa yhteistyötä yrityksen johdon, IT-osaston sekä lakiosaston välillä.

Ylimmän johdon tehtävänä on varmistaa, että kaikki organisaation avainhenkilöt ja päätöksentekijät ovat tietoisia EU tietosuoja-asetukseen liittyvistä lakimuutoksista. Tämä auttaa heitä ymmärtämään ja arvostamaan myönteisiä vaikutuksia, joita asetuksen ennustetaan tuovan liiketoiminnalle. Tässä on seitsemän ratkaisevaa vaihetta, joiden avulla EU tietosuoja-asetusta hallinnoidaan osana projektisuunnittelua:

1. Tiedon kartoittaminen

Organisaatioiden tulee esimerkiksi tietotilinpäätöksen kautta tunnistaa yrityksen tietovirtojen nykytila, tunnistaa sieltä korjausta vaativat toimenpiteet ja laatia prosessit tietovirtojen käsittelylle. Nämä kartoitukset auttavat tunnistamaan keskeiset toiminnot, jotka sisältävät henkilötietojen käsittelyä.

2. Puutteiden arvioiminen

Ensimmäisen tunnistamisvaiheen jälkeen tulokset analysoidaan vertaamalla niitä EU tietosuoja-asetuksen vaatimuksiin. Tämä auttaa tunnistamaan puutteet, joihin on kiinnitettävä huomiota uutta asetusta noudatettaessa.

3. Yksityisyyden suojan analyysi

Tämä on yksinkertainen analyysi henkilörekistereiden suojaustasosta. Analyysin tavoitteena on hallita kaikkia riskejä ja/tai estää katastrofia tapahtumasta.

4. Toteutus

Tämä on tyypillisesti haastavin vaihe ja se vaatii organisaatiota varmistamaan, että kaikki tärkeimmät toiminnot täyttävät EU tietosuoja-asetuksen vaatimukset ennen toukokuuta 2018. Toimenpiteet toteutetaan eri organisaatioissa eri tavoilla, riippuen organisaation tietovirroista sekä tietoturvallisuuden nykytilasta. Kaikkien organisaatioiden tulee kuitenkin tunnistaa henkilötietorekisterinsä, lisätä sopimuksiin niistä maininta sekä määritellä prosessi henkilötietorekisterien käsittelyä varten.

5. Varasuunnitelman teko

Joskus arkaluonteisia tietoja saattaa vuotaa. Uusimman EU tietosuoja-asetuksen mukaan jokaisen organisaation täytyy ilmoittaa tietojen vuotamisesta tarvittaville viranomaisille. Ilmoitukseen tulee sisällyttää tiettyjä tietoja vuodosta, kuten esimerkiksi vuotaneen tiedon tyyppi, vuotoon liittyvien rekisteröityjen asianomaisten määrä ja niin edelleen. Tieto tulee tuoda viranomaisten tietoon 72 tunnin kuluessa tietovuodon huomaamisesta.

6. Jatkuva hallinta

Organisaatioiden on tärkeää tarkastella olemassa olevia yksityisyysilmoituksia ja samalla laatia suunnitelma tarvittavien muutosten tekemiseksi ennen kuin EU tietosuoja-asetus astuu voimaan.

7. Koulutus

Projektinhallinnan on varmistettava, että jokainen työntekijä tietää vastuunsa EU tietosuoja-asetuksen toteutuksessa.