EU:n yleinen tietosuoja-asetus (GDPR) ja henkilötietojen käsittelyn tietoturvallisuus
Nyberg, Johanna (2019)
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019052913362
https://urn.fi/URN:NBN:fi:amk-2019052913362
Tiivistelmä
Opinnäytetyössä tutkitaan Euroopan parlamentin ja Euroopan unionin neuvoston antamaa yleistä tietosuoja-asetusta 2016/679, joka yksinkertaistaa ja yhtenäistää henkilötietojen käsittelyä koskevaa lainsäädäntöä EU:n alueella sekä tarkentaa henkilöiden oikeuksia käsittelytoimissa. Asetus on tuonut mukanaan runsaasti epäselvyyttä siitä, miten henkilötiedot tulee suojata ja miten tulee menetellä, mikäli asetuksen noudattaminen epäonnistuu tai kun tietoihin kohdistuu tietoturvaloukkauksia.
Asetus velvoittaa kaikkia henkilötietoa käsitteleviä yrityksiä implementoimaan teknisiä ja organisatorisia toimenpiteitä henkilötietojen riittävän suojan takaamiseksi, mutta ei määrittele tarkkoja teknisiä vaatimuksia tämän toteuttamiseen. Tästä syystä työn tavoitteena oli tutkia tietosuoja-asetusta tietoturvallisuuden näkökulmasta ja selvittää, mitä toimenpiteitä yrityksien on toteutettava, jotta ne täyttäisivät asetuksen asettamat velvoitteet henkilötietojen tietosuojasta ja tietoturvasta. Tutkimalla tietoturvakäytäntöjä voitiin todeta, että dokumentoinnilla, henkilötietojen salauksella, päätelaitteiden suojauksella, henkilöstön koulutuksella sekä sisäverkon turvaamisella yritykset voivat huomattavasti vähentää henkilötietoihin kohdistuvia uhkia.
Pilvipalveluteknologian yleistymisen ja siihen kohdistuvien uhkien lisääntymisen takia tutkittiin myös henkilötietojen tietosuojaa pilvipalveluissa. Pilvipalveluissa sijaitsevan henkilötiedon tietosuoja on edelleen yrityksen vastuulla, joten yrityksen tulee valita tarjoaja, joka toiminnallaan noudattaa tietosuoja-asetusta.
Pilvipalveluteknologian kehittyessä ja käsiteltävien henkilötietojen määrän lisääntyessä myös mahdollisten uhkien määrät kasvavat ja muuttuvat. Yrityksien tulee jatkuvasti päivittää tietoturvakäytäntönsä ja uudelleenarvioida henkilötietoihin kohdistuvia riskejä. This thesis examines the General Data Protection Regulation 2016/679 (GDPR) given by the European Parliament and the Council of the European Union. The regulation simplifies and unifies the legislation of processing personal data in the EU and specifies the rights of individuals in data processing operations. The regulation has brought a lot of confusion as to how personal data should be protected and how to proceed if companies fail to comply with the regulation or if personal information is subject to security breaches.
The Regulation mandates that all companies dealing with personal data need to implement technical and organizational measures to ensure adequate protection of personal data, but does not specify the exact technical procedures on how to achieve this. For this reason, the goal of this thesis was to study the data protection regulation from an information security perspective and to find out what measures companies should take to meet the data protection and data security obligations. By researching security practices, it was found that by encrypting personal data, protecting end devices, training personnel, making proper documentations and securing their intranet, companies can significantly reduce possible threats to personal data.
Because of the fast growth of cloud computing and the increased threats to it, the security of personal data in cloud services was also researched. The company is still responsible of the personal data after it is stored in a cloud. Therefore companies must choose a cloud service provider that is GDPR compliant.
As cloud service technology evolves and the amount of personal data processed increases, the number of potential threats increase and change. Companies must constantly update their security practices and reassess the risks to personal data.
Asetus velvoittaa kaikkia henkilötietoa käsitteleviä yrityksiä implementoimaan teknisiä ja organisatorisia toimenpiteitä henkilötietojen riittävän suojan takaamiseksi, mutta ei määrittele tarkkoja teknisiä vaatimuksia tämän toteuttamiseen. Tästä syystä työn tavoitteena oli tutkia tietosuoja-asetusta tietoturvallisuuden näkökulmasta ja selvittää, mitä toimenpiteitä yrityksien on toteutettava, jotta ne täyttäisivät asetuksen asettamat velvoitteet henkilötietojen tietosuojasta ja tietoturvasta. Tutkimalla tietoturvakäytäntöjä voitiin todeta, että dokumentoinnilla, henkilötietojen salauksella, päätelaitteiden suojauksella, henkilöstön koulutuksella sekä sisäverkon turvaamisella yritykset voivat huomattavasti vähentää henkilötietoihin kohdistuvia uhkia.
Pilvipalveluteknologian yleistymisen ja siihen kohdistuvien uhkien lisääntymisen takia tutkittiin myös henkilötietojen tietosuojaa pilvipalveluissa. Pilvipalveluissa sijaitsevan henkilötiedon tietosuoja on edelleen yrityksen vastuulla, joten yrityksen tulee valita tarjoaja, joka toiminnallaan noudattaa tietosuoja-asetusta.
Pilvipalveluteknologian kehittyessä ja käsiteltävien henkilötietojen määrän lisääntyessä myös mahdollisten uhkien määrät kasvavat ja muuttuvat. Yrityksien tulee jatkuvasti päivittää tietoturvakäytäntönsä ja uudelleenarvioida henkilötietoihin kohdistuvia riskejä.
The Regulation mandates that all companies dealing with personal data need to implement technical and organizational measures to ensure adequate protection of personal data, but does not specify the exact technical procedures on how to achieve this. For this reason, the goal of this thesis was to study the data protection regulation from an information security perspective and to find out what measures companies should take to meet the data protection and data security obligations. By researching security practices, it was found that by encrypting personal data, protecting end devices, training personnel, making proper documentations and securing their intranet, companies can significantly reduce possible threats to personal data.
Because of the fast growth of cloud computing and the increased threats to it, the security of personal data in cloud services was also researched. The company is still responsible of the personal data after it is stored in a cloud. Therefore companies must choose a cloud service provider that is GDPR compliant.
As cloud service technology evolves and the amount of personal data processed increases, the number of potential threats increase and change. Companies must constantly update their security practices and reassess the risks to personal data.