Viimeaikaiset tietomurrot, joissa vääriin käsiin päätyi arkaluonteisia tietoja, ovat herättäneet miettimään tietoturvaa.
Castrén & Snellmanin asianajaja Kim Parviainen, joka on erikoistunut muun muassa digitaalisen maailman sääntelykysymyksiin ja riitoihin, kertoi yritysten tietoturvaan liittyvistä velvoitteista.
Arkaluonteisille henkilötietojen keräämiselle, käsittelylle, käytölle, siirrolle, säilyttämiselle ja tuhoamiselle on tarkat pelisäännöt. Näitä tietoja ovat rotu, etninen alkuperä, uskonto tai vakaumus, ammattiliiton jäsenyys, terveys, seksuaalinen käyttäytyminen ja suuntautuminen sekä biometriset tiedot henkilön tunnistamiseksi.
Henkilötiedot voi joko pseudonymisoida tai anonymisoida. Esimerkiksi henkilötietojen koodaus toiseen muotoon on pseudonymisointia. Kun tiedot on koodattu, niitä ei pysty enää yhdistämään tiettyyn henkilöön ilman koodiavainta.
Jos tietojen perusteella voi tunnistaa henkilön suoraan tai tiedot voi palauttaa takaisin tunnistettaviksi, ne ovat yhä henkilötietoja ja niitä koskee tietosuoja-asetus.
Henkilötiedon elinkaari päättyy tietojen tuhoamiseen. Tietosuoja-asetus edellyttää, että tietojen säilytysajat on mietitty etukäteen. Henkilötiedot voidaan joko aidosti anonymisoida tai tuhota.
Kummankin toimenpiteen pitää olla lopullinen siten, että paluuta dataan ei enää ole.
Webinaarissa Sillan Henna Turunen kertoi, miten henkilötietojen keräämistä ja käsittelyä koskeva sääntely toteutuu. Sami Lonka puolestaan valotti teknisiä toimenpiteitä, joilla henkilötietoja suojataan.
Aukotonta tietoturvaa ei edellytetä, eikä sellaista voi ollakaan. Sanonnan mukaan lukot ovat rehellisiä varten, rosvoja ne eivät pidättele. Tietovarkaan hämäräpuuhia voi jokainen vaikeuttaa yksinkertaisin keinoin. Salasala tulee vaihtaa usein – eikä tehdasasetuksen sanasanaa 1234 voi edes kutsua salasanaksi.