close
Share with your friends

Etätyön ohjeistus, tietoturvapoikkeamat ja tietosuoja

Työnantaja: Näin takaat etätyön tietoturvan

Organisaatioiden johdot ovat viime viikkoina joutuneet koronaviruksen myötä tekemään nopeita ratkaisuja ja kehottaneet suurissa määrin työntekijöitään työskentelemään etänä. Painopiste on tällä hetkellä ydinliiketoiminnan jatkuvuuden varmistamisessa. Työnantajan on kuitenkin tunnettava etätyöskentelyyn liittyvät tietosuoja- ja tietoturvakysymykset ja viestittävä niistä henkilöstölle.

Aiheeseen liittyvää sisältöä

1)     Valitse oikeat etätyön tavat

Muutos kokonaisvaltaiseen etätyökulttuuriin on ollut monille organisaatioille äkillinen, jolloin etätyöohjeistus ja -toimintamallit syntyvät jälkijunassa. Erilaisia etätyön toiminta- ja tietoturvamalleja on saatavilla laajasti, mikä helpottaa uusien toimintatapojen käyttöönottoa – esimerkiksi kyberturvallisuuteen liittyen amerikkalainen NIST on globaaleilla yrityksillä tyypillinen standardi, Suomessa puolestaan Vahti-ohjeistus on yleisesti määritellyt etätyön minimitason.  

2)     Kyberrikollisuus on herännyt koronan tuomiin mahdollisuuksiin

Kyberrikolliset ovat tehneet jo tietojen kalastelua ja haittaohjelmien levittämistä organisaatioiden toimintamallimuutoksia hyödyntäen. Tietoturvapoikkeamat voivat muodostua tietosuoja- tai muulle viranomaiselle raportoitaviksi asioiksi sekä aiheuttaa suurta tuhoa liiketoiminnalle. Siksi on tärkeää, että organisaatiot ovat varautuneet toimintaohjein mahdollisia kyberturvallisuuden uhkatilanteita varten.

3)     Tietosuoja-asetus edellyttää tietoturvallista tietojenkäsittelyä ja sen jatkuvaa monitorointia

Yritysten on tullut GDPR:n siirtymäaikana määritellä ja toimeenpanna sekä henkilöstön että asiakastiedon turvaamiseksi tekniset ja organisatoriset toimenpiteet. Tämä vaatimus korostuu nyt, kun tieto liikkuu vapaammin fyysisten rajojen yli.

Organisaatioiden tulee lisäksi testata, tutkia ja arvioida säännöllisesti toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Julkisella sektorilla on tietosuoja-asetuksen lisäksi huomioitava tiedonhallintalain tietoturvavaatimukset.

4)     Varautukaa poikkeamiin ja muistakaa 72 tunnin ilmoitusaika tietoturvaloukkauksista

Tietoturvapoikkeamiin varautuminen lähtee yritysjohdon tahdosta rakentaa niiden edellyttämät juridis-tekniset prosessit. Vaaditaan siilojen yli rakentuva toimintamalli, jossa johto voi tukea juristien ja teknisten asiantuntijoiden toimintaa ja tehdä vaikeita päätöksiä sekä käytännön toimenpiteistä että viranomaiskommunikaatiosta.

Incident management- prosessi sekä tietoturva- ja tietosuojapolitiikat luovat pohjan sille, että yritys kykenee reagoimaan oikea-aikaisesti ja löytämään organisaationsa sisältä ja ulkoa ne henkilöt, joiden osaaminen on kriittistä poikkeaman hillitsemisessä ja arvioimisessa. Poikkeamilla on helposti vaikutusta yli organisaatiorajojen, sillä vastuu poikkeamista realisoituu myös suhteessa asiakkaaseen, ja myös toimittajien tulee täyttää ne tietoturvallisuusvaatimukset, jotka ovat perusedellytys liiketoiminnan jatkumiselle.

5)     Viestikää etätyöskentelyn reunaehdoista työntekijöille

Työntekijöitä tulisi ohjeistaa etätyöskentelyn pelisäännöistä kuten mitä ja miten laitteita ja ohjelmistoja saa käyttää ja mitä niillä saa tehdä – tämä ns. acceptable use policy muodostaa selkärangan sille, mikä on työntekijän vastuu ja velvollisuus suhteessa työnantajaan etätyössä. Sikäli kuin organisaatiossa on käytössä BYOD (bring your own device)-politiikka, asettaa tämä lisähaasteita tietoturvan laadun varmistamiselle.

6)     Työntekijöiden ja tietoliikenteen valvonta etätyössä on erittäin säänneltyä

Etätyöskentelyssä korostuu tietoturvaan liittyvien kontrollien tarve, kuten järjestelmiin pääsyn tarkkailu ja tietoliikenteen valvonta. Organisaatiolla saattaa olla käytössä esimerkiksi TLS/DLP-valvontaa. Suomessa työntekijöiden henkilötietojen suoja on korostunut ja laki yksityisyyden suojasta työelämässä asettaa tiukat reunaehdot kyseisten tietojen käsittelylle.

Jotta tekninen valvonta ja tarkkailu on asiallisesti järjestetty, työnantajan täytyy kiinnittää huomiota käyttöoikeuksiin, käytönvalvontaan sekä "lokitukseen". Tietosuojan osoitusvelvollisuuden täyttymiseksi näiden perusperiaatteiden tulisi olla dokumentoituna asianmukaisiin politiikkoihin sekä valvonnan alainen tieto (esim. lokitieto) kuvattuna tietosuojaselosteissa. Lisäksi tekninen valvonta edellyttää tarkkaa tarkoituksenmukaisuuden harkintaa ja on mahdollisesti yhteistoimintamenettelyn piiriin menevää toimintaa.

7) Työntekijöiden tietosuojaoikeudet etätyössä

Teknisen valvonnan tulee olla läpinäkyvää työntekijöiden suuntaan eikä esimerkiksi jatkuvaa verkkoliikenteen valvontaa voida pitää asianmukaisena. Sikäli kuin organisaatio suunnittelee teknisen valvonnan käyttöönottoa, tulee työntekijöitä informoida etukäteen ja tyypillisesti tehdä tietosuojan vaikutustenarviointi (DPIA).

 

Seuraathan myös jatkuvasti päivittyvää Koronavirus ja liiketoiminnan jatkuvuus -sivustoamme.

Meille juridiikka on enemmän:#juridiikkaonenemmän

Lisätietoja:

Ulla Hirvelä

+358 20 767 2108

etunimi.sukunimi@kpmg.fi

 

Kira Ahveninen-Kuha

+358 20 760 3799

etunimi.sukunimi@kpmg.f

Ota yhteyttä

 

Kuinka KPMG voi auttaa?

 

loading image Jätä tarjouspyyntö