Lakiasiain osaamiseni on hyvää bisnesihmisen keskitasoa. Sopimuksia olen tehnyt paljon, pitkälle maalaisjärjellä ja alan standardeja noudattaen, mutta raastuvassa en ole koskaan ollut. Ehkä juuri siksi.
1. gdpr
Viime kuukausina meillä City Dev Labsissa on tietenkin valmistauduttu EU:n tietosuojalakiin eli GRPR:aan. En nyt ota kantaa koko homman mielekkyyteen, Suomessa olisimme varmasti pärjänneet ilmankin, mutta ymmärrän kyllä EU:n näkökulman. Lisäksi tunnen Saksan käytännöt ja lainsäädännön logiikat, jotka tulevat uuden tietosuojalain mukana nyt meillekin. Poliittisesti veikkaan henkilötietolain olevan digitaalisten sisämarkkinoiden koeponnistus.
Miten meillä on valmistauduttu toukokuussa tulevaan lakiin? Aika paljon on jo tehty, ja seminaarikin pidettiin, mutta odotan että loppukeväästä tulee vielä kiire kun monet asiakkaat vasta havahtuvat koko asiaan. Tähän mennessä GDPR-valmistautumiseni on ollut seuraavien kahden konkreettisen asian tekemistä.
2. Järjestelmäinventaario
Koska firmana teemme ja ylläpidämme tietojärjestelmiä, joihin tallennetaan henkilötietoja, niin City Dev Labs on henkilötietojen käsittelijä. Meidän tapauksessamme käsittely tarkoittaa yleensä sitä, että meillä on pääsy henkilötietoihin. Emme koskaan tee niille mitään ilman asiakkaamme eli rekisterinpitäjän pyyntöä, mutta olemme siis virallisesti käsittelijä, koska meillä on tietoihin pääsy, voimme muuttaa, poistaa ja koostaa niistä listoja.
Ensimmäiseksi tein inventaarion ylläpitämistämme järjestelmistä. Inventaarioni on Excel-taulukko, jossa lukee asiakkaan ja järjestelmän nimet, urlit ja lyhyt kuvaus siitä, mitä järjestelmä tekee. Lisäksi taulukossa on lista järjestelmiin tallennettavista tiedoista ja tarvittavat toimenpiteet tämän kevään osalta. Yleisin huomio on, että asiakkaamme eli rekisterinpitäjän tulisi lisätä rekisteriseloste omille verkkosivuilleen, jotkut ovat sen jo toki lisänneetkin. Varsinaista riskianalyysia en ole tehnyt ellei sitä ole erityisesti pyydetty, se on mielestäni rekisterinpitäjän eli meidän asiakkaidemme vastuulla. Aina emme nimittäin edes voi tietää, kuinka asiakkaamme järjestelmää käyttää. Esimerkiksi meidän tekemillämme WordPress-sivuilla asiakkaamme on suht’ helppo tehdä lisää lomakkeita, joilla kysellään vaikka kengän numeroa ja kotiosoitetta vaikkei näitä tietoja alunperin kysyttykään.
Sitä en vielä ole saanut selville, täytyykö asiakkaidemme tehdä rekisteriseloste sellaisista järjestelmistä, joihin webistä ei ole edes pääsyä. Eli näemmekö webbisivuilla kohta ilmoituksia siitä, että “Meidän henkilökunnallamme on puhelimet, joiden muistissa on asiakkaidemme nimiä ja puhelinnumeroita”, tai “Käytämme laskutusjärjestelmää, johon on tallennettu asiakkaidemme sähköpostiosoitteet”. Tietääkö kukaan, täytyykö tällaisista ulkoisista järjestelmistä olla myös rekisterikuvaus?
3. Tietosuojaliite ja tietoturvakuvaus
Kuulumme Koodia Suomesta -yhteisöön, joka edistää suomalaista ohjelmointiosaamista. Koodia Suomesta on teettänyt lakiasiaintoimistossa sopimusliitteen tietosuojasta, jota meilläkin on jäseninä oikeus käyttää. Parhaillaan siis lisäämme tietosuojaliitteen olemassa oleviin ylläpitosopimuksiin. Liitteessä tehdään selväksi eri roolit ja listataan asiakkaan järjestelmässä käsiteltävät henkilötiedot.
City Dev Labsin tietoturvakäytännöt ovat aina olleet korkealla tasolla, mutta nyt niistä tehdään myös kirjallinen dokumentaatio. Tietoturva on yhdistelmä teknisiä ratkaisuja, ammattitaitoa ja ihmisen tietoisuutta asiasta. Kyse on pienistä yksityiskohdista, jotka on huomioitava koko ohjelmiston elinkaaren ajalle, suunnittelusta teknologiavalintoihin, toteutukseen ja ylläpitoon. Vaikka kaikki olisi tehty muuten oikein ja parhaalla mahdollisella tavalla, mutta kukaan ei vuosiin tee päivityksiä käytettyihin ohjelmistokomponentteihin, niin tietoturva rapautuu ja hakkeri voi iskeä. Hakkeri tai hakkerioletettu kun ei yleensä ole kiinnostunut siitä sinun sivustostasi vaan haittaohjelmistot etsivät koneellisesti tiedossa olevia haavoittuvaisuuksia.
Tietosuojaliitteessä kuvataan siis sekä yleiset tietoturvakäytännöt että asiakkaalle tekemämme uniikin sovelluksen rakenne niiltä osin kuin se on tietosuojan ja -turvan kannalta relevanttia. Tällaista tavaraa ovat esim. integraatiot toisiin järjestelmiin. Kolmas tärkeä asia on dokumentoida ja saada asiakkaalta hyväksyntä alihankkijoiden käyttöön. Me emme pyöritä palvelimia missään toimiston siivouskomerossa vaan hankimme käyttöpalvelun alinhakintana alan asiantuntijoilta kuten Planeetta Ops Host ja Pilvia. Heidän tietonsa ja omat palvelinpuolen tietoturvakuvauksnsa ovat näin tärkeä osa tämän kevään sopimustyötä. Alihankkijoidemme tietoturvakuvaukset ovat tärkeä osa GDPR-sopimuspaketteja silloinkin, kun varsinainen sopimus tulee asiakkaan puolelta.
GDPR-kevääseen kuuluu varmasti muutakin, ainakin ne pari juttua, joissa me toimimme rekisterinpitäjänä. Mutta nämä kaksi kokonaisuutta eli järjestelmäinventaario ja tietosuojasopimus tietoturvakuvauksineen ovat toistaiseksi olleet tärkeimmät konkreettiset toimenpiteet.