GDPR readiness assessment for healthcare company
Lähdemaa, Niko (2017)
Lähdemaa, Niko
Laurea-ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2017061613664
https://urn.fi/URN:NBN:fi:amk-2017061613664
Tiivistelmä
Tämän lopputyön tarkoituksena on kartoittaa Helsinkiläisen terveyspalveluita tarjoavan yrityksen tietoturvallisuuden nykytila ja nostattaa tietoturvan ymmärrystä, tehostaa olemassa olevia prosesseja ja parantaa kommunikaatiota yrityksen sisällä. Tarkoituksena on vertailla heidän nykytilaa GDPR:n tuomiin lisävaatimuksiin. Yritys on rekisteröity kaupparekisteriin vuonna 2011 osakeyhtiönä. Toimialana yrityksellä on muut terveyspalvelut (86909) mikä tarkoittaa, että yrityksen on otettava huomioon yritykseen liittyvissä liiketoimintapäätöksissä tietoturvallisuus tarkasti. Yritys kerään luottamuksellista tietoa asiakkaistaan terveyspalveluita varten, joten tarkastuksen kohteena ovat myös sensitiivisen tiedon säilytystapa, työvälineiden riittävyys ja tuhoaminen laitteiden elinkaaren päätyttyä. Lopputyön luonteen takia olemme päättäneet yrityksen toimitusjohtajan kanssa tehdä selvitystyön ilman, että mainitsemme heidän nimeä lopullisessa raportissa. Selvitystyö tehdään haastattelujen perusteella käyttäen laatimaani kysymysrunkoa joka perustuu ISO 27001 tietoturvastandardiin. Olen valinnut keskeiset jaostot edellä mainitusta standardista, jotka vastaavat pien-keskisuuren yrityksen tietoturvatarpeita. Työn aikana esille nousseet tietoturvapoikkeamat, kehitysehdotukset ja tavoitetila käydään läpi yrityksen johtoryhmän kanssa keväällä 2017 ja akuutit kehitysehdotukset käydään läpi niin sanotuissa väliaikatapaamisissa. On tärkeä muistaa, että yritys on vielä kooltaan Pk-yritys ja sen takia kehitysehdotukset on solmittava yrityksen taloudellisen kyvykkyyden mukaan. Yritys on ollut erityisen halukas saada selvityksen heitä koskevista tietosuoja-asetuksista, jotka astuvat voimaan keväällä 2018. Tämä tarkoittaa, että kaikilla yrityksillä jotka toimivat Euroopan Unionin alueella tai käsittelevät tietoja Euroopan Unionin asukkaista on kaksi vuotta aikaan implementoida tietosuojakäytännöt osaksi heidän liiketoimintaansa. Vertaan havaintoja joita teen projektin aikana uuteen Euroopan Unionin tietosuoja lainsäädäntöön (General Data Protection Regulation). Turvallisuusasetukset koetaan yleensä yrityksissä rajoittavina tekijöinä ja niiden implementointi voi tuntua kalliilta ja raskaalta mikä ei kumminkaan yleensä pidä paikkaansa pitkässä juoksussa. Lopullisen projektikokouksen jälkeen tarkoitus on saada yrityksen johtoryhmä ymmärtämään, että turvallisuus yrityksessä tuo liiketoiminta varmuutta ja oikein tehtynä se helpottaa jo olemassa olevien, kuin tulevien prosessien käyttöönottoa.