Tietoturva ja GDPR. Näistä puhuttiin erityisesti viime- ja edellisvuonna, eikä syyttä. Mutta mistä on oikeasti kyse? Miten oikeasti varmistat, että lähestymistapasi tietosuoja-asioihin ja kyberturvallisuuteen ja GDPR:ään näyttäytyy kilpailuetuna eikä riskitekijänä?
Aloitetaan avaamalla hieman terminologiaa. Asiantuntijoiden puheissa toistuu usein sana “vaatimustenmukaisuus”, kun kuvataan tietoja- tai tietoturvasääntöjä ja niiden täyttämiseksi tehtäviä tai vaadittavia toimenpiteitä. Yleensä tiedämme näiden sääntöjen olevan olemassa hyvästä syystä, mutta emme useinkaan hahmota yksittäisten määräysten perimmäistä tarkoitusta. Siinä mielessäkin “vaatimustenmukaisuus” on varsin osuva termi.
Kun GDPR tuli voimaan 25. toukokuuta 2018, näytti hetken siltä, että joka toinen yrittäjä pelkäsi koko bisneksensä puolesta. Monet pohtivat millainen taakka GDPR tulisi olemaan ja kuinka siitä selvittäisiin.
Nyt kun tästä on jo aikaa, on helppo havaita, että liike-elämä ei lamaantunut GPDR:n vuoksi, mutta muutos sai yritykset kiinnittämään entistä tarkemmin huomiota tietosuojaan. Nyt pandemia-aaltojen ja etätyön aikakaudella tästä on iloa myös parantuneen kyberturvallisuuden muodossa.
Meidän on oltava tietoisia siitä, että uusi todellisuus synnyttää yrityksille jatkuvasti lisääntyneitä tietoturvariskejä. Toisaalta tiukemmat säännöt ja lisääntynyt fokus vaatimusten noudattamiseen ovat lisänneet mahdollisuuksia luoda muita kilpailuetuja.
Kilpailuetu
Mutta miten ihmeessä sääntöjen tarkka noudattaminen voisi olla kilpailuetu? Tämä on todellisuutta esimerkiksi silloin kun yritys valitsee toimittajaa tai yhteistyökumppania, joka täyttää uudet säännökset tai haluaa toimittajan, joka toimii pakollisia vaatimuksia korkeammalla turvallisuustasolla.
Tällainen tilanne on usein silloin kun valitaan pilvipohjaista SaaS-ratkaisua. Sen halutaan täyttävän sekä nykyiset, että tulevaisuuden tietoturvavaatimukset sekä paikallisella että kansainvälisellä tasolla.
Jos SaaS-toimittaja tuntee sekä globaalit että paikalliset tietoturvavaatimukset, ja eri maiden tulkinnat esimerkiksi GDPR:stä, voivat heidän asiakkaansa käyttää palvelua kaikissa niissä maissa joissa he haluavat toimia. Tämä mahdollistaa nopeat liikkeet myös ulkomaille, ilman että täytyy vaihtaa käytössä olevia järjestelmiä.
On myös selvää, että useimmat yritykset haluavat tehdä yhteistyötä sellaisten toimittajien ja kumppanien kanssa, joiden haltuun annetut tiedot pysyvät turvassa. Jos siis pystyt osoittamaan, että yrityksesi operoi dokumentoidusti tavallista korkeammalla turvatasolla, voi tätä tosiasiaa usein hyödyntää myös myyntitilanteissa.
Valitse oikea toimittaja
Kun valitset pilvipohjaisen ohelmiston toimittajaa, on erittäin tärkeää käydä kauppaa sellaisen henkilön kanssa, jolla on tarvittavat resurssit tietojesi suojaamiseen. On selvää, että tämä on tietynlaisissa yrityksissä ja liiketoiminnoissa tärkeämpää kuin muissa, mutta on tärkeää, että tietoturva on kunnossa aina kun mitä tahansa ulkopuolelta tulevia henkilö- ja muita tietoja hyödynnetään.
Siksi on erittäin suositeltavaa tehdä Tietojenkäsittelysopimus, eli DPA-sppimus (Data Processing Agreement), joka noudattaa sääntöjä ja tulkintoja, joita sovelletaan niissä maissa, joissa aiotaan toimia. Jos haluat varmistaa, että valitsemasi toimittaja noudattaa nykyisia säädöksiä ja suhtautuu kyberturvallisuuteen vakavasti, on saatavilla myös sertifikaatteja ja standardeja, joilla tämä voidaan todentaa. Parhaat SaaS-toimittajat antavat yleensä mahdollisuuden tehdä kattavan Tietojenkäsittelysopimuksen jo etukäteen. Siinä rekisterinpitäjä ja henkilötietojen käsittelijä sopivat mm. siitä miten käsittelijän tulee suojata rekisterinpitäjän sille luovuttamat tiedot yksityishenkilöiden osalta. Muista se.
Jotkut toimittajat ovat menneet jopa mennä pidemmälle ja hankkineet itselleen ISAE 3402 Type II -sertifikaatin. Tämä voi tapahtua sekä suorana vastauksena asiakkaiden että liikekumppaneiden vaatimuksiin, mutta syy voi olla myös se, että yritys haluaa sen avulla osoittaa uskottavuutensa markkinoilla. Tämä erityinen sertifikaatti on kansainvälinen standardi IT-palveluntarjoajille, silloin kun tarvitaan erityisen korkeatasoista tietoturvaa ja valvontaa. Tällaisella sertifioinnilla on merkitystä erityisesti herkemmillä aloilla, kuten pankki- ja rahoitusalalla, televiestinnässä tai julkisella sektorilla. Sertifikaatti osoittaa, että toimittaja täyttää turvallisen pilvipalvelun kriteerit tiettyjen parametrien valossa, mukaan lukien tietoturva.
Loppusuosituksemme on, että tutkit perusteellisesti millainen lähestymistapa potentaiaalisella toimittajallasi on tietoturva-asioihin. Tämä kannattaa selvittää mahdollisimman varhaisessa vaiheessa ostoprosessia. Se voi säästää merkittävästi aikaa ja resursseja myöhemmässä vaiheessa. Neuvo on ehkä banaali, mutta siltikin ehkä kaikkein tärkein.
