Vastaamon tietomurron jälkeen yritykset huolestuivat tietoturvasta, kun arkaluontoinen tieto päätyi rikollisten käsiin. Myös palkanlaskennassa käsitellään arkaluontoista tietoa. Castrén & Snellmanin asianajaja Kim Parviainen, joka on erikoistunut mm. digitaalisen maailman sääntelykysymyksiin ja riitoihin, valottaa yritysten tietoturvaan liittyviä velvoitteita.
Vaikka Suomessa on totuttu siihen, että julkisia verotietoja ovat muun muassa nimi, syntymävuosi, verotettava ansiotulo ja pääomatulo, verojen kokonaismäärä ja maksettava tai palautettava veron määrä, suurimmalle osalle meistä palkka on yksityisyyden ydinpiiriin kuuluvaa tietoa. Tietoturva-asetuksessa onkin ilmoitusvelvollisuus, jos palkkatiedot sattuisivat vuotamaan.
– Palkanlaskentayrityksen tietovuoto olisi vakavamman asteen tilanne juridisesti, mutta myös palkanlaskentayrityksen toiminnan kannalta, kertoo asianajaja Kim Parviainen.
Arkaluontoista tietoa käsitellään säännöllisesti palkanlaskentayrityksissä. Palkanlaskenta tietää henkilötunnuksemme ja saa sairaustodistukset sekä usein myös tiedon ammattiyhdistysjäsenyydestä.
– Syntyisi monta vakavaa tilannetta, jos palkkatiedot olisivat vapaassa levityksessä.
Millaisia tietoturvavaatimuksia liittyy arkaluonteisten tietojen käsittelyyn?
– Lain mukaan on toteutettava riskiä vastaava turvallisuustaso. Laissa ei ole yksityiskohtaisia vaatimuksia, joten turvallisuustaso jää rekisterinpitäjän itsensä harkittavaksi. Koska riski palkkatietojen käsittelyssä on korkea, tämä luonnollisesti nostaa vaadittavaa turvallisuustasoa.
Yritykset voivat peilata omaa turvallisuustasoaan olemassa oleviin auditointeihin ja tietoturvastandardeihin. Palkanlaskentayrityset joutuvat pitkälti luottamaan käyttämiensä tietoturvayritysten osaamiseen.
Miten ja missä muodossa arkaluotoista tietoa säilytetään ja siirretään?
Kim Parviainen kertoo, että laki ei tarjoa tähänkään kysymykseen suoraa vastausta.
– Tähän pätee se, että turvallisuustason on oltava riittävä. On toki olemassa alakohtaisia vaatimuksia joidenkin tietojen tallennuspaikoista. Kun tietoja siirretään, on mahdollista, että niihin on pääsy ulkomailta. Vaikka laki ei aseta yksityiskohtaisia sääntöjä, vaatimustaso tietojen siirrolle ja säilyttämiselle on korkea. Tietoja on säilytettävä turvallisesti ja niihin pääsyä on rajattava.
EU-tuomioistuin antoi kesällä 2020 ratkaisun, jossa tuomioistuin mitätöi Yhdysvaltojen ja Euroopan komission tekemän tietosuojasopimuksen. Tuomioistuin rajoitti henkilötietojen siirtämistä Atlantin toiselle puolelle. Myös Ruotsin tietosuojaviranomainen antoi sakkoja usealle terveysalan toimijalle, jotka eivät olleet määritelleet, keillä oli pääsy potilastietoihin.
Laki korostaa suunnitelmallista lähestymistä. Toisin sanoen on mietittävä, mitä tietosuoja-asetus merkitsee organisaatiossa. Tätä vasten on tehtävä tietosuojaa koskeva suunnitelma ja systemaattisesti toteutettava sitä.
Kuinka kauan tietoja saa säilyttää?
– Laki lähtee siitä, että tietoa saa säilyttää niin kauan kuin on tarpeen käyttötarkoitus huomioon ottaen. Lisäksi laki vaatii määrittelemään kriteerit sille, kuinka pitkään tietoja säilytetään. Sektoraalisessa lainsäädännössä voi olla erikoisvaatimuksia, muun muassa osaa kirjapitoaineistosta on säilytettävä kuusi vuotta.
Miten tiedot hävitetään?
– Riittävän varmalla tavalla, eli ne on oikeasti hävitettävä. Tiedot voidaan periaatteessa myös anonymisoida, jolloin ne putoavat tietosuoja-asetuksen ulkopuolelle, eikä säilytysaikarajoitetta enää sovelleta. Anonymisointi on kuitenkin tehtävä riittävällä tavalla, eikä se saa olla peruutettavissa.
Parviainen antaa esimerkin siitä, milloin anonymisointi ei ole riittävällä tasolla.
– Excel-tiedostosta, johon on kerätty palkkatiedot, ei riitä nimien poistaminen, jos vaikka pystytään määrittelemään, että tuolloin tiimin esimiehenä toimi tietty henkilö.
Millaisia ohjelmien ja palvelinten tietoturvallisuuden tasovaatimuksia on yrityksillä, jotka käsittelevät arkaluontoista tietoa?
– Laki asettaa yleisiä vaatimuksia. On kuitenkin olemassa erilaisia tietoturvastandardeja ja -auditointeja, muun muassa kansallinen turvallisuusauditointikriteeristö. Myös pilvipalveluille on oma tietoturvakriteeristö. Pakollisia nämä eivät yleensä ole, mutta yritys voi osoittaa, että on täyttänyt alan parhaiden käytäntöjen mukaiset tietoturvatoimenpiteet. Esimerkiksi potilastietojärjestelmille on myös omat erillisvaatimuksensa.
Mitkä ovat yrityksissä sellaisia järjestelmiä, joiden tietoturva on käytävä läpi ja turvatoimet dokumentoitava?
– Kaikki järjestelmät on riskitasoon nähden käytävä läpi. On mietittävä, mitä tietoja järjestelmät sisältävät. Sen jälkeen järjestelmä dokumentoidaan joko standardin tai itse laaditun ohjeiston mukaisesti. Palkanlaskentayrityksessä keskiössä ovat järjestelmät, jotka sisältävät palkka- ja terveystietoja.
Yritykset eivät ole samalla tavalla hämähäkkejä seitin keskellä niin kuin ennen. Nykyisin palvelut ovat siirtyneet pilveen. Kun yhteys avataan kotikoneelta yrityksen pilvipalvelussa olevaan sähköpostiin, tietoturva ei ole enää vain yrityksen omissa näpeissä.
– Tietoturvaloukkauksien syynä on monesti se, että järjestelmät ovat olleet liian kotikutoisia. Suuret teknologiayritykset ovat kuitenkin pieniä yrityksiä parempia tietoturva-asiantuntijoita, Parviainen toteaa.