Eurooppalaisen kyberimperialismin alkusoitto – tai miksi tietosuoja-asetus ei ole ilmainen lounas
Euroopan unionin tietosuoja-asetus astui voimaan toukokuussa 2016 ja sitä on sovellettu käytännössä maailmanlaajuisesti siirtymäajan päätyttyä 25.5.2018. 1)Kirjoituksen otsikko tulee amerikkalaisen Styxhexenhammer666-nimimerkin hiljattain julkaisemasta Youtube-videosta, jossa hän kritisoi EU:n valmisteilla olevan tekijänoikeusdirektiivin 13 artiklaa. Tietosuoja-asetuksen toimeenpano on ollut hyvin haastavaa lähes kaikille yrityksille ja organisaatioille toimialaan katsomatta, sillä lähes jokainen toimija käsittelee tavalla tai toisella henkilötietoja. Uutisista olemme kuulleet ja lukeneet, että Yhdysvalloissa EU-alueen kansalaiset eivät tällä hetkellä pääse tiettyihin verkkopalveluihin, työntekijän oikeudet omiin tietoihinsa kohentuvat merkittävästi ja uusi tietosuojalainsäädäntö aiheuttanee päänvaivaa myös jatkossa. 2)Olen aiemmin kirjoittanut muutamia tietosuoja-asetusta koskevia yleistajuisia artikkeleita. Uskoin aiemmin jokseenkin vahvasti siihen, että uusi yhtenäinen tietosuoja-asetus on mahdollista kääntää yritysten liiketoimintaeduksi (ja uskon tähän jossain määrin vieläkin) ja asiakkaiden hyväksi, mutta mitä enemmän olen lukenut valtavirran tietosuojahehkutuksesta poikkeavia näkemyksiä, sen varmempi olen siitä, että tietosuoja-asetuksella ja sen vaihtelevilla kansallisilla tulkinnoilla voi olla pidemmällä aikavälillä monenlaisia haitallisia vaikutuksia erityisesti kehitteillä oleviin uusiin teknologioihin ja datavetoiseen liiketoimintaan. Ympäröivä maailma yksinkertaisesti muuttuu aivan eri…
Tietosuojavastaava tarvitsee tukea ja kannustusta onnistuakseen
“Tietosuojavastaava ei osoita todellista asiantuntemustaan pelkästään kieltoja jakelemalla, vaan kertomalla, miten henkilötietoja voidaan turvallisin mielin käsitellä.” – Hannu Kasanen, Deloitte (Cyber Security, Privacy Lead) 1)s. 50 Tietosuoja-asetus ja tietosuojavastaava ovat kaksi asiaa, jotka ovat todennäköisesti päätyneet useimpien ajatuksiin viimeistään viime vuonna. Valmistautuminen on monissa paikoissa käynnissä, mutta todennäköisesti paljon on vielä tehtävää. Pyörää ei tarvitse keksiä uudelleen, koska monenlaista tietoa, kokemuksia ja malleja on tarjolla. Kaikkea lukemaansa ei pidä uskoa, vaan tärkeintä on jäsentää ja toteuttaa tietosuojatyö yhdessä organisaation tärkeimpien sidosryhmien – ja ennen kaikkea tietosuojavastaavan – kanssa. Mukaan on syytä myös valita riittävä määrä osaavaa lakimiesapua ja muita luotettavia yhteistyötahoja, jos tekemistä on paljon; ja joissakin organisaatioissa työtä voi olla vielä paljon jäljellä. Toivottavasti mahdollisimman moni on kuitenkin jo pitkällä tietosuoja-asetukseen valmistautumisessa. Tampereen kaupungin tietosuojavastaavalta Ari Andreassonilta, Pirkanmaan sairaanhoitopiirin konsernin tietosuojavastaavalta Jaana Riikoselta ja tietosuojavaltuuten toimistossa työskentelevältä ylitarkastaja Arto Ylipartaselta ilmestyi jo viime vuonna Tietosanoman kustantamana mianio kirja, Osaava tietosuojavastaava. Andreasson ja Ylipartanen…
Useful GDPR resources & assets which you should check out
A lot has been written about the GDPR that will apply from 25 May 2018 onwards. There is a multitude of good sources to make sense of the GDPR, and how this new data protection regulation will change the way organizations collect and process personal data within their organization. During my own study of the GDPR and its operational impacts, I have come across a lot of very useful articles, blog posts, and webinars dealing with the various aspect of the regulation. Most of these resources are free-of-charge and some of them will require you to submit some personal details in order to gain the access. Some of the more extensive one stop GDPR asset libraries are partly open for anyone to explore. 1)See for example IAPP’s library and 2twenty4 Consulting’s GDPRwiki. Here I’ve collected some of the helpful stuff I’ve found during my exploration, feel free to check these…
GDPR accountability & compliance: Don’t let the falling bricks hit you!
As I explained at length in my earlier article on the GDPR, businesses, organizations, institutions and other entities throughout the world are facing a huge challenge to become compliant with the new reformed European data protection legislation. The GDPR comes into effect throughout the world on 25 May 2018, and its profound implications are not limited to the geographical area of the EU alone. What needs to be acknowledged is that the EU data protection rules will affect almost everyone as the GDPR takes data security and privacy to an entirely new level. Most important things to know are displayed in Figure 1. As I highlighted in my earlier post on the topic, GDPR is not just a compliance IT project with some new organizational and technological aspects. The GDPR, as was emphasized by many experts on the subject, extends well beyond the geographical boundaries of the EU and its jurisdiction…