Pk-yrityksen valmistautuminen EU:n tietosuoja-asetukseen
Palmroth, Peter (2018)
Palmroth, Peter
Turun ammattikorkeakoulu
2018
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018061914127
https://urn.fi/URN:NBN:fi:amk-2018061914127
Tiivistelmä
Tämä opinnäytetyö on osa laajempaa projektia toimeksiantajayritykselle, jonka tarkoituksena oli päivittää yrityksen tietoturva ja henkilötietojen käsittelyn prosessit tietosuoja-asetuksen 2016/679 mukaisiksi. Opinnäytetyössä tutkitaan tietosuoja-asetuksen voimaantulon johdosta syntyneitä toimenpiteitä ja muutoksia prosesseihin, dokumentointiin sekä tietoturvaan.
Teoriaosuudessa käydään läpi tietosuoja-asetuksen suurimpia muutoksia, toimeksiantajan käytössä olevia laitteita, ohjelmistoja ja järjestelmiä, niiden ominaisuuksia ja konfigurointia GDPR-määräysten mukaisiksi. Tutkimusmenetelmänä opinnäytetyössä käytettiin kvalitatiivista tutkimusta. Projektin toteutuksessa hyödynnettiin EU:n tietosuoja-asetusta, ulkomaista materiaalia sekä monia luentoja ja koulutuksia joista osa oli maksullisia.
Case-osiossa pureudutaan syvemmälle toimeksiantajan prosesseihin, niiden yhdenmukaistamiseen ja käytössä olevien järjestelmien konfigurointiin ja tietoturvaan. Toimeksiantajan tarpeesta tehtiin myös tarkka kartoitus henkilötietoja sisältävistä rekistereistä, niiden ajantasaisuudesta ja käsittelystä. Yhteistyökumppaneiden toiveesta myös sähköpostit muutettiin salatuksi ja sähköposteissa sekä pilvessä lähetettävää dataa ja sähköpostin liitetiedostoja alettiin myös valvoa, jotta henkilötietoja tai muuta arkaa dataa ei ole edes mahdollista lähettää toimialueen ulkopuolelle ilman pätevää syytä. Toimeksiantaja toimii myös osana valtakunnallista ICT-toimijoiden ketjua, josta tuli myös ketjutasolta lisävaatimuksena FINCSC (Finnish Cyber Security Certificate), jolla voidaan todistaa yrityksemme tietoturva ja -suoja kumppaneille sekä asiakkaille.
Teoriaosuudessa käydään läpi tietosuoja-asetuksen suurimpia muutoksia, toimeksiantajan käytössä olevia laitteita, ohjelmistoja ja järjestelmiä, niiden ominaisuuksia ja konfigurointia GDPR-määräysten mukaisiksi. Tutkimusmenetelmänä opinnäytetyössä käytettiin kvalitatiivista tutkimusta. Projektin toteutuksessa hyödynnettiin EU:n tietosuoja-asetusta, ulkomaista materiaalia sekä monia luentoja ja koulutuksia joista osa oli maksullisia.
Case-osiossa pureudutaan syvemmälle toimeksiantajan prosesseihin, niiden yhdenmukaistamiseen ja käytössä olevien järjestelmien konfigurointiin ja tietoturvaan. Toimeksiantajan tarpeesta tehtiin myös tarkka kartoitus henkilötietoja sisältävistä rekistereistä, niiden ajantasaisuudesta ja käsittelystä. Yhteistyökumppaneiden toiveesta myös sähköpostit muutettiin salatuksi ja sähköposteissa sekä pilvessä lähetettävää dataa ja sähköpostin liitetiedostoja alettiin myös valvoa, jotta henkilötietoja tai muuta arkaa dataa ei ole edes mahdollista lähettää toimialueen ulkopuolelle ilman pätevää syytä. Toimeksiantaja toimii myös osana valtakunnallista ICT-toimijoiden ketjua, josta tuli myös ketjutasolta lisävaatimuksena FINCSC (Finnish Cyber Security Certificate), jolla voidaan todistaa yrityksemme tietoturva ja -suoja kumppaneille sekä asiakkaille.