Tietoturva vs. tietosuoja
Koskeeko tämä ISO- vai tietosuojavastaavaamme, vai onko asia sama kummassakin tapauksessa? Kuka tarkalleen ottaen on vastuussa tästä tapauksesta, ja onko siitä ylipäätään tarpeen ilmoittaa? Jotta voimme keskustella tietoturvan ja tietosuojan yhtäläisyyksistä ja eroista, on ensin määriteltävä nämä kaksi alaa.
Eurooppalainen tietosuojalainsäädäntö suojaa pääasiassa vain luonnollisia henkilöitä, ja sen tarkoituksena on suojella henkilötietojen luvattomalta käsittelyltä. Tämä juontaa juurensa tiedolliseen itsemääräämisoikeuteen, jota on suojattu entistäkin voimakkaammin yleisen tietosuoja-asetuksen ja siihen liittyvän lainsäädännön käyttöönoton jälkeen. Näin ollen voidaan sanoa, että henkilötietojen käsittely on lähtökohtaisesti kielletty, ellei käsittely ole sallittua lainsäädännön tai suostumuksen nojalla.
Toisaalta tietoturva on verrattavissa tilausten käsittelyä koskevien sopimuksiemme liitteeseen, TOM:iin, eli teknisiin ja organisatorisiin toimenpiteisiin tietojen suojaamiseksi. Tietoturva koskee erilaisten suojelutavoitteiden, kuten esimerkiksi seuraavien, suojelua
- Luottamuksellisuus,
- Rehellisyys,
- Saatavuus.
Täyttääkseen eri lakien ja tietosuojalainsäädännön tiukat vaatimukset yritysten on otettava käyttöön vankimmat tekniset ja organisatoriset toimenpiteet tietosuojaloukkausten ja verkkohyökkäysten estämiseksi.
Erot ovat motivaatiossa
Tietosuojatoimenpiteiden toteuttamisessa noudatetaan useimmiten lakisääteisiä vaatimuksia, mutta tietoturvan toteuttamista yrityksissä ei säännellä yhtä tiukasti. Erilaisia standardeja ja määrittelyjä on olemassa, mutta tietoturvassa ei ole velvoitetta, kuten tietosuojalainsäädännön mukainen velvoite nimetä tietyn koon ylittävä edustaja. Erot ovat siis motivaatiossa. Siinä missä tietoturvaa pitäisi toteuttaa kaikkien yritysten omasta edusta käsin, tietosuojavaatimusten toteuttamista säädellään lailla ja ainakin yksityisellä sektorilla se turvataan sanktiotoimenpiteillä.
Ristiriidat näiden kahden alueen välillä
Ristiriitoja voi syntyä erityisesti henkilötietojen säilyttämisen yhteydessä. Ristiriita syntyy esimerkiksi silloin, kun tallennamme varmuuskopioita asiakkaidemme tietokannoista varmistaaksemme saatavuutta koskevan suojelutavoitteen. Näin tehdessämme toimimme kuitenkin mahdollisesti tietosuojaperiaatteiden vastaisesti. Mitä oikeastaan tapahtuu, jos asiakas esittää rekisteröidyn pyynnön ja meidän on poistettava kaikki henkilötiedot? Käytännössä haastava tapaus on varmuuskopiosukupolvien siivoaminen juuri tällaisia rekisteröityjen pyyntöjä varten. Turvallisuuden kannalta haluamme säilyttää varmuuskopiot hätätilanteen varalta, mutta tietosuojan kannalta meidän on poistettava osa tiedoista ja täytettävä velvollisuutemme rekisteröityjä kohtaan. Toinen esimerkki ovat lokitiedostot. Yhteyslokeja seuraamalla voimme tarkistaa, mitkä käyttäjät ovat tehneet mitäkin toimia. Näin varmistamme eheyden ja voimme todistaa, jos jokin menee pieleen. Tietosuojan kannalta tietojen tallentaminen on kuitenkin toistaiseksi kielletty, ellei siihen ole saatu suostumusta tai ellei siihen ole oikeudellista perustetta.
Yhteenvetona voidaan todeta, että tietosuoja ja tietoturva ovat aiheita, joita olisi tarkasteltava kokonaisvaltaisesti. Ristiriitoja voi kuitenkin syntyä, koska näiden alojen tavoitteet ovat erilaiset. Me Increase Your Skills -yrityksessä olemme ottaneet tehtäväksi kouluttaa ihmisiä molemmilla aloilla parhaalla mahdollisella tavalla ja siten varmistaa tehokkaan tietoturvan ja myös tietosuojan tason.