Onko yrityksesi tietojärjestelmäintegraatioissa huomioitu EU:n tietosuoja-asetuksen vaatimukset? Digian Tessa Viitanen kertoo, miten rakennat asetuksenpitävät integraatiot.
Integraatiot alkavat olla enenevässä määrin ympäristökokonaisuuksien välisiä, eivät yksittäisten järjestelmien välisiä. Laajat ympäristökokonaisuudet monimutkaistavat integraatioiden teknistä toteutusta, mikä asettaa omat haasteensa tietojenkäsittelyn laillisten vaatimusten täyttymiselle.
Vuonna 2018 voimaan astuva EU:n tietosuoja-asetus tulee vaikuttamaan merkittävästi tietojen siirtoon järjestelmien välillä, oli sitten kyseessä yhden tai useamman yrityksen välinen tiedonsiirto. Tämä tulee ottaa huomioon myös integraatioiden toteutuksessa.
Haasteena tiedon sijainti
Ensimmäinen haaste on tietojen sijainti, eli missä järjestelmissä tai missä maassa tietoa käsitellään. Monet luulevat, että pilvipalvelun toimittaja on vastuussa tietosisällöstä, vaikka todellisuudessa lopullinen vastuu tietosisällöstä on sitä käsittelevällä yrityksellä.
Siksi onkin tärkeää tietää:
- missä järjestelmää ylläpidetään
- kenellä on pääsy kyseiseen tietoon
- mihin tietoa varmuuskopioidaan tai lokitetaan.
Jos integraation tai toisen järjestelmän ylläpito tapahtuu EU:n ulkopuolella, on syytä varmistaa, että maalla ylipäätään on EU:n kanssa sopimus tietosuojasta.
Muista myös tarkistaa, ettei sopimuksessa ole mainintaa Safe Harbourista, koska se todettiin pätemättömäksi lokakuussa 6.10.2015. Sen tilalle on tullut US Privacy Shield -sopimus, joka hyväksyttiin 12.7.2016.
Henkilötietoja on kuitenkin voitu vahingossa siirtää järjestelmien välillä vanhojen sopimusten puitteissa, koska valvonta ei ole ollut ajantasaista. Tämän vuoksi integraatiorajapintojen välillä siirrettävää tietoa tulisi valvoa aivan samalla tavoin kuin mitä tahansa muutakin rekisteriä.
Loppukäyttäjän oikeudet kasvavat
Kun EU:n tietosuoja-asetuksen sääntelemää henkilötietoa tai arkaluontoista tietoa siirretään, tulee se tehdä vaatimusten mukaisesti.
Asetuksessa esimerkiksi vaaditaan, että loppukäyttäjälle on voitava kertoa kenelle tietoa siirretään, mihin tarkoitukseen sitä siirretään ja miksi sitä siirretään. Loppukäyttäjällä tulee myös olemaan oikeus siirtää omat tietonsa (pois lukien viranomaisrekisterit) toiselle toimittajalle, jolloin integraatioiden tarve tulee varmasti lisääntymään.
Ennen kuin tietoa ryhdytään siirtämään järjestelmästä toiseen, on vähintään oltava selvillä:
- mitä tietoa siirretään
- onko juuri tämän tiedon siirtäminen pakollista vai voidaanko tietoa pseudonymisoida. Henkilöä ei voida tunnistaa suoraan pseudonymisoidusta tunnuksesta, mutta se voidaan liittää käyttäjän identiteettiin tarvittaessa (artikla 25, joka kuvaa oletusarvoisen ja sisäänrakennetun tietosuojan)
- onko siirrettävä tieto ylipäätään tietosuoja-asetuksen vaatimusten piirissä
- millä tasolla se on vaatimusten piirissä
- onko vastaanottava rajapinta ja järjestelmä tai ympäristökokonaisuus rakennettu EU:n tietosuoja-asetusten mukaisesti vastaanottamaan tietoa
- vaatiiko tiedonsiirto molemmilta yrityksiltä kenties artikla 37 mukaista tietosuojavastaavaa? Artikla 37 kuvaa tietosuojavastaavan roolin ja missä tapauksissa rooli vaaditaan.
Näiden lisäksi on hyvä tietää, että:
- evästeiden käytöstä on annettu erillinen ohjeistus, jota on noudatettava, kun tietoa kerätään evästeiden avulla. Evästeiden keräämisen osalta on muun muassa ilmoitettava, kenelle tietoa jaetaan integraatioiden kautta.
- henkilöllä on oikeus vastustaa automaattista tiedon keräämistä, joka on kuvattu artiklassa 21. Integraatioissa tämä on haastava ratkaista, jos sitä ei ole huomioitu järjestelmän toiminnallisuuksien tasolla.
- kirjausketju, eli ns. audit trail, on voitava tallentaa ja varmistaa.
Asetus tuo myös muita oikeuksia käyttäjille. Tässä kirjoituksessa on nostettu esiin vain integraatioiden osalta kriittiset artiklat.
Miten tietoa siirretään palveluntarjoajien välillä?
Etenkin tiedon siirto kolmansille osapuolille tulee olemaan haastava toteuttaa käytännössä, koska formaattia tiedonsiirtoon ei ole määritelty. Vaatimuksena on, että tieto tulee siirtää missä tahansa yleisesti käytetyssä, koneellisesti luettavissa olevassa muodossa.
Käytännössä tietoa on voitava siirtää eri käyttöliittymien välillä siinäkin tapauksessa, että tietosisältö ja täytettävät kentät poikkeavat toisistaan. Tämä osa-alue tulee varmasti olemaan teknisesti yksi hankalimmista toteuttaa.
Yksinkertaisin tapa käsitellä siirtotapahtumia olisikin integraatiorajapinta, jonka kautta määritellään ns. policyt, millä tavalla tietoa siirretään eri palveluntarjoajien välillä.
Myös tiedon suuri määrä voi osoittautua haasteeksi, jos tietosisältöä ei ole ennalta sovittu, eikä palveluntarjoajien kesken ole nimettyä kansainvälistä standardia. Sen vuoksi rajapinnan tulisi mahdollistaa tiedon vieminen ja tuominen useissa eri formaatissa, eri kenttänimillä ja sisältörakenteilla.
Tietoturvaloukkauksesta ilmoitettava 72 tunnin sisällä
Asetuksessa vaaditaan myös, että yritysten on ilmoitettava asiakkailleen mahdollisesta tietoturvaloukkauksesta 72 tunnin sisällä sen tapahtumisesta. Siksi on tärkeää varmistaa, että integraatioliikenne on aina salattua ja ratkaisua valvotaan asianmukaisesti SIEM-ratkaisulla.
Muussa tapauksessa vaatimusta tietoturvaloukkauksen ilmoittamisesta on lähes mahdoton noudattaa, koska vuotoa ei välttämättä ehditä havaita määrätyn ajan sisällä. Silloin voidaan myös todeta, ettei integraatiorajapintojen välistä tiedonsiirtoa ole suojattu asianmukaisesti.
Miten muuttuvaan lainsäädäntöön kannattaa varautua?
EU:n uuden tietosuoja-asetuksen myötä onkin suositeltavaa tehdä yleinen nopea vaikutusarviointi tiedonkulkuprosessista ja tietosisällöstä (Privacy Impact Assessment, PIA). Jos DPIA-vaatimukset täyttyvät PIAssa, tulee tehdä erikseen tietosuojaa koskevan vaikutusarviointi (Data Protection Impact Assessment, DPIA), mikäli arkaluonteista tietoa siirretään järjestelmästä toiseen automaattisesti tai käsittelijän toimesta.
Arvioiden pohjalta on hyvä lähteä määrittelemään, mitä askeleita yrityksen tulisi seuraavaksi ottaa varmistaakseen lainmukaisen ja turvallisen tiedonsiirron.
