Mitä tarkoitetaan käsitteillä "tietosuoja" ja "tietoturva"? Oletko tietoinen niiden eroista? Kerromme sinulle yhden asian heti aluksi: "Tietosuoja" ja "tietoturva" eivät tarkoita samaa asiaa, vaikka niillä onkin yhteinen nimittäjä "data". Siksi näitä termejä ei pitäisi käyttää synonyymeinä. Miksi näin on? Se selviää lukemalla.
Tietosuojan ja tietoturvan erot
Mitä eroja tietosuojalla ja tietoturvalla on, vaikka ne kuulostavatkin niin samankaltaisilta? Valitettavasti termeille ei ole olemassa vakiomääritelmää, eikä eroja voida johtaa myöskään sanoista "tietosuoja" ja "tietoturva".
Aloitetaan ensin siitä, mitä tarkoitetaan "tietosuojalla", koska se on tärkeää myös tietoturvan ymmärtämisen kannalta, koska tietoturva on osa tietosuojaa.
Mitä "tietosuoja" tarkoittaa?
Selitys
Tietosuojassa on kyse sellaisten henkilöiden suojelusta, joiden henkilötietoja yritys tai paikallishallinto käsittelee tai esimerkiksi tallentaa. Henkilötiedot voivat olla mitä tahansa henkilöä koskevia tietoja, joista henkilö voidaan suoraan tai välillisesti tunnistaa. Henkilötietoja ovat esimerkiksi nimet, osoitteet, ammatit, koulutus- tai tilinumerot, terveystiedot, poliittiset mielipiteet tai tiedot uskonnollisesta vakaumuksesta. Lyhyesti sanottuna tietosuoja keskittyy yksilöihin. Tietosuojalainsäädännön olisi suojeltava yksilöitä siltä, että yritykset tai muut laitokset käsittelevät heidän henkilötietojaan mielivaltaisesti. Yksilöillä pitäisi säilyä määräysvalta omiin tietoihinsa, eikä heistä saisi tulla "läpinäkyviä yksilöitä".
Oikeudellinen kehys
Saksassa on useita tietosuojaa koskevia säädöksiä. Ensinnäkin tietosuoja on Saksassa perusoikeus. Tätä ei ehkä joskus tiedetä yleisesti, koska "tietosuojaksi" kutsuttua perusoikeutta ei ole olemassa. Tietosuoja on kuitenkin johdettu "oikeutena tiedolliseen itsemääräämisoikeuteen" yleisestä henkilöllisyysoikeudesta, GG:n 2 artiklan 1 kohdasta yhdessä GG:n 1 artiklan 1 kohdan kanssa, vuoden 1983 väestölaskentapäätöksestä lähtien. Tietosuojaa koskevan itsemääräämisoikeuden mukaan jokaisen henkilön olisi periaatteessa voitava itse päättää, haluaako hän luovuttaa tietojaan, ja hänen olisi oltava tietoinen siitä, kuka hänen tietojaan käsittelee, milloin ja miksi. Kun kyse on henkilötietojen konkreettisesta käsittelystä jokapäiväisessä työelämässä, Saksassa GDPR ja BDSG ovat kuitenkin ratkaisevassa asemassa (lisäksi voidaan edelleen soveltaa maakohtaisia ja/tai aluekohtaisia säännöksiä). Sääntelyluonteensa vuoksi yleinen tietosuoja-asetus on yleensä ensisijainen BDSG:hen nähden; BDSG täydentää kuitenkin yleistä tietosuoja-asetusta tietyillä aloilla, joilla yleinen tietosuoja-asetus ei sisällä erityisiä lausumia tai ei sisällä niitä lainkaan, esimerkiksi työntekijöiden tietosuojaa koskevissa asioissa.
Tietosuojan keskeiset periaatteet
Sen varmistamiseksi, että yritykset tai muut laitokset eivät käsittele henkilötietoja mielivaltaisesti, yleisessä tietosuoja-asetuksessa säännellään, "käsitelläänkö" tietoja ja "miten" tietoja on käsiteltävä. Ratkaisevaa on, että henkilötietoja saa käsitellä ("voidaanko") vain, jos oikeusperusta sen sallii tai jos henkilöt, joiden tietoja käsitellään, ovat antaneet siihen suostumuksensa, tietosuojasäännöstön art. 6 (1) GDPR, niin sanottu "kielto, johon liittyy suostumuksen varaaminen". Lisäksi tietosuoja-asetuksessa säädetään tietyistä periaatteista, jotka koskevat sitä, "miten" henkilötietoja on käsiteltävä, GDPR:n art. 5 GDPR. Henkilötietoja saa esimerkiksi käsitellä vain ennen käsittelyä määritettyihin tarkoituksiin (esim. sopimuksen täyttäminen), ja ne on rajoitettava minimiin (esim. ei kerätä henkilötietoja, jotka eivät ole tarpeen sopimuksen täyttämiseksi). Lisäksi tietojenkäsittelyn on oltava läpinäkyvää, mikä tarkoittaa, että henkilöille on annettava täydelliset tiedot heidän henkilötietojensa käsittelystä, jotta he voivat ymmärtää tai valvoa käsittelyä.
Yhteenveto
Tietosuoja suojaa yksilöitä heidän henkilötietojensa laittomalta käsittelyltä. Tietosuojaa koskevissa säädöksissä, erityisesti yleisessä tietosuoja-asetuksessa, säännellään sitä, "käsitelläänkö" henkilötietoja ja "miten" niitä käsitellään.
Mitä "tietoturva" tarkoittaa?
Selitys
"Tietoturva" on tietoturvan lisäksi tietoturvan osa-alue. Toisin kuin tietosuoja, tietoturva keskittyy itse tietoihin eikä henkilöihin. Siinä ei myöskään keskitytä pelkästään henkilötietoihin vaan tietoihin yleensä, joten siihen kuuluvat esimerkiksi myös operatiiviset tiedot (taseet, lähdekoodi), joilla ei ole henkilöyhteyttä. Tietoturvan tavoitteena on suojata tietoja uhkilta teknisin ja/tai organisatorisin toimenpitein. Uhkia voivat olla esimerkiksi hakkerointi, varkaus, haittaohjelmat tai inhimilliset virheet.
Oikeudellinen kehys
Tietoturvassa keskitytään varmistamaan, että tietojen suojaamiseksi on käytössä teknisiä ja/tai organisatorisia toimenpiteitä. Tietoturvasta ei ole olemassa yleisesti hyväksyttyä lakia, joka koskisi kaikkia yrityksiä. Yleisen tietosuoja-asetuksen artiklassa säädetään kuitenkin, että tietoturva on varmistettava. 32 artiklassa, että henkilötietojen suojaamiseksi on käytettävä teknisiä ja/tai organisatorisia toimenpiteitä. Tietosuoja-asetuksen 32 artiklassa luetellaan myös esimerkkitoimenpiteitä, kuten salaus tai pseudonymisointi.
Kriittisten infrastruktuurien, lyhyesti 'CRITIS', kuten terveydenhuolto-, rahoitus-, elintarvike- tai energia-alan osalta on kuitenkin olemassa erityisiä tietoturvaa koskevia säännöksiä. Tietoturvalakia sovelletaan CRITIS-järjestelmiin. Lain tarkoituksena on varmistaa, että CRITIS-järjestelmien tietotekniikkajärjestelmät ovat turvallisia. Lisäksi yritykset tai muut laitokset voidaan sertifioida tiettyjen standardien, kuten ISO 27001 tai BSI IT-Grundschutz, mukaisesti. Näissä standardeissa on tiettyjä määräyksiä siitä, miten tietoturva voidaan teoreettisesti ja käytännöllisesti toteuttaa yrityksessä tai muussa laitoksessa teknisin ja/tai organisatorisin toimenpitein.
Tietoturvan tärkeimmät suojaustavoitteet
Tietoturvan tavoitteena on varmistaa, että tiedot ovat aina suojattuja. Tietoturva on olemassa muun muassa silloin, kun kolme keskeistä suojaustavoitetta, luottamuksellisuus, saatavuus ja eheys, taataan tai niitä ei vaaranneta. Luottamuksellisuus on taattu, kun vain valtuutetuilla henkilöillä on pääsy tietoihin; saatavuus, kun tiedot ovat valtuutettujen henkilöiden saatavilla kaikkina aikoina; eheys, kun tiedot ovat oikeita ja täydellisiä.
Yhteenveto
Tietoturva suojaa kaikenlaisia tietoja katoamiselta, manipuloinnilta ja muilta uhilta, ja se voidaan saavuttaa erityisesti teknisin ja/tai organisatorisin toimenpitein.
Päätelmä
On tärkeää huomata, että vaikka tietosuoja ja tietoturva eivät olekaan identtisiä, tietosuoja voidaan taata vain tietoturvan avulla. Loppujen lopuksi siitä ei ole mitään hyötyä, jos henkilötietoja käsitellään laillisesti, mutta niitä ei ole suojattu riittävästi uhkilta teknisesti ja/tai organisatorisesti.
