EU:n tietosuoja-asetus edellyttää tehokkaita tietojen hävittämismenetelmiä

maanantai 28. marraskuuta 2016 - Jyri Pohja

Snowden-skandaalin myötä paineet tietosuojan sääntelyn kiristämiseksi EU-tasolla ovat lisääntyneet. Yritysten tietoturvan ja henkilötietojen käsittelyn vähimmäisvaatimuksia ollaan tiukentamassa. Haasteena on löytää keinot tietojen käsittelyyn vastuullisella ja tehokkaalla tavalla. Olipa kyseessä ministeriön korkean turvaluokituksen asiakirjat tai verkkokaupan asiakkaan luottokorttitiedot, digitaaliset verkot ovat täynnä luottamuksellisia tietoja, joiden määrä ja koko kasvavat päivittäin.

Olemme siirtyneet digitalisaation aikakaudelle, jota määrittää Big Data. Termillä viitataan hyvin suurten, järjestelemättömien ja jatkuvasti lisääntyvien tietomassojen keräämiseen. Big Dataa syntyy joka sekunti niin paljon, että sen tallentaminen, hallitseminen ja hyödyntäminen kaupallisiin tarkoituksiin on oma erikoisalansa. Ongelmana ei ole ainoastaan tietojen määrä vaan myös niiden laatu.

Haasteena järjestelemätön tieto

Vielä pari vuosikymmentä sitten tiedot olivat enemmän tai vähemmän järjesteltyjä, siististi lajiteltuna erilaisiin tietokantoihin. Tämä oli mahdollista, koska yhtenäistä ja maailmanlaajuista verkkoa ei ollut olemassa. Tiedot tallennettiin joko fyysisesti arkistokaappeihin tai sähköisesti tallennusvälineille. Kun ihmisten välinen kanssakäyminen alkoi tapahtua pääosin tietoverkkojen kautta, tämän kaltainen järjestelmä kävi mahdottomaksi järjestelemättömien tietomäärien räjähdysmäisen kasvun myötä.

Samaan aikaan ihmisten käyttämien tietoverkkoihin kytkettyjen laitteiden kirjo on laajentunut älypuhelimista taulutietokoneisiin ja puheohjattuihin televisioihin sekä tietoja prosessoiviin jääkaappeihin. Lukuisat sovellukset ja valvontakamerat tuottavat valtavan määrän monimutkaista tietoa, jonka käsittelyyn tarvitaan aivan uusi lähestymistapa. Tässä peliin astuvat myös yksilöiden oikeudet, jotka edellyttävät tietojen hävittämistä henkilön sitä vaatiessa.

Kuinka paljon tietoa on olemassa?

Kukaan ei osaa sanoa tarkasti tämänhetkistä maailmanlaajuista sähköisesti tallennetun tiedon määrää, mutta eräiden arvioiden mukaan 90% kaikesta maailman tämän hetkisestä tiedosta on syntynyt viimeisen kahden vuoden aikana. Erityisesti kannettavien laitteiden lisääntynyt käyttö on vaikuttanut tietojen määrän eksponentiaaliseen kasvuun.

IBM arvioi, että yli 75 % päivittäin tuotetusta tiedosta on laadultaan järjestelemätöntä ja peräisin suurimmaksi osaksi älypuhelimista. Tämän suunnattoman tietomäärän hallitseminen on käymässä yhä haastavammaksi, koska verkkoon kytkettyjen laitteiden määrän uskotaan kasvavan 1,5:een henkilöä kohti vuoteen 2020 mennessä.

Ensi vuonna maailmassa ladataan kännykkäsovelluksia yli 268 miljardia kertaa. Sovellus- ja mobiilipelimarkkinat ovat samalla tuottaneet 65 miljardin euron voitot ja tehneet kännykkäsovelluksista maailman suosituimman laskentatyökalun. Vuonna 2017 Gartner-tutkimusyhtiön mukaan älylaitteiden käyttäjät tuottavat tietoa omasta käyttäytymisestään yli sataan sovellukseen tai palveluun päivittäin.

Haittaohjelmien sekä tietojen kalastelun lisääntyminen ovat korostaneet hyvän tiedonkäsittelyn ja tietosuojan merkitystä.

Oikeus unohtua

Vastauksena Big Datan asettamiin haasteisiin ja turvallisuusuhkiin EU:ssa on viime vuosina kehitetty paremmin tätä päivää vastaavaa lainsäädäntöä. Tähän sääntelyyn lukeutuu uusi tietosuoja-asetus, joka vahvistaa kansalaisten oikeuksia vaatia itseensä liittyvien tietojen hävittämistä ja tulla unohdetuksi. Asetus hyväksyttiin kuluvan vuoden huhtikuussa ja EU:ssa toimivien yritysten on noudatettava asetuksen vaatimia menetelmiä viimeistään 25. toukokuuta 2018.

Uusi tietosuoja-asetus on merkittävä kehitysaskel unionin tietosuojapolitiikassa, jolla yhdenmukaistetaan tähän asti voimassa olleita säädöksiä, kuten EU:n tietosuojadirektiivi 95/46/EC. Yritysten on näin helpompi ymmärtää velvollisuutensa henkilötietojen käsittelyssä. Uusi asetus ottaa huomioon myös muita tärkeitä ilmiöitä, kuten globalisaation ja teknologiakehityksen. Tämä vaikuttaa olennaisesti sosiaalisten medioiden, kuten Facebook, Twitter ja Google+, toimintaympäristöön.  Uusi lainsäädäntö kattaa kaikki digitaalisen aikakauden viestintäkeinot ja -palvelut sekä näiden käytön seurauksena syntyvät tietomassat.

Asetus edellyttää lähes kaikilta sekä yksityisen että julkisen sektorin yrityksiltä tehokkaita ja todistettavia menetelmiä tietojen hävittämisessä. Yritysten tulee kyetä näyttämään, että heillä on kaikki tarvittavat keinot tietojen seuraamiseen, tarkasteluun ja arvioimiseen. Asetuksen tavoitteena on minimoida tarpeeton tietojen kerääminen ja edellyttää yrityksiltä riittäviä varmistustoimia tietojen käsittelyssä.

EU:ssa toimivat yritykset alkavat hiljattain tiedostaa uudenlaisen vastuunsa. Tähän myötävaikuttavat erityisesti laiminlyöntien kalliit seuraamukset. Asetuksen velvoitteiden rikkominen voi johtaa sanktioihin, jotka yltävät räikeimmissä tapauksissa jopa 20 miljoonaan euroon tai 4 %:iin yrityksen maailmanlaajuisesta liikevaihdosta. Tästä huolimatta monen yrityksen osaaminen ja valmiudet tietojen asianmukaiseen hävittämiseen ovat heikot. Läheskään kaikki eivät ymmärrä laajamittaisen tiedonkeruun riskejä ja tietosuojan merkitystä.

EU-säännösten rikkomisesta koituvien seurausten kiristyessä monissa yrityksissä pohditaan, millaisia ovat ne käytännön toimet, joilla tiedot voidaan hävittää turvallisesti? Mitä riskejä liittyy tarpeettomien tietojen turhaan säilyttämiseen? Palaamme näihin kysymyksiin lähitulevaisuudessa.

Image credit: “european-union-flags-olga, olga shulman” (CC BY 2.0) by  lednichenkoolga 

 

 

 

 

 

img_600x600_shirtontrack

Soita ja pyydä apua heti!