Kirjoitin graduni kirjoituskoneella. Korjaukset tein valkoisella kynsilakalla. Taskulaskimeen sai silloin muutaman askeleen ohjelmoitua. Myöhemmin opetin 286 koneeni laulamaan jänis istuu maassa. Tilanne on muuttunut.
Käsittelemme erittäin arkaluonteisia tietoja ehkä pilvipalveluissa, joten järjestelmien on täytettävä GDPR:n 9 artiklan erityisten henkilötietojen suojaa koskevat vaatimukset. Kivireen on lisäksi kestettävä kivimäet.
Määritä roolit ja vastuut: kuka on rekisterinpitäjä, kuka käsittelijä, ketkä pääsevät tietoihin.
Tee tietosuojan vaikutustenarviointi (DPIA) – pakollinen, kun käsitellään arkaluonteisia tietoja.
Laadi tietosuojapolitiikka, tietojen säilytysaika- ja poistokäytännöt, tietoturvasuunnitelma.
Solmi tietojenkäsittelysopimukset (DPA) mahdollisten alihankkijoiden tai palveluntarjoajien kanssa.
Valitse palvelinsijainti EU/ETA-alueelta (esim. Suomesta), jotta vältät tietojen siirron EU:n ulkopuolelle.
Kouluta henkilöstö tietoturvasta ja salassapitovelvoitteista.
Laadi toimintasuunnitelma tietoturvaloukkauksia varten (72 tunnin ilmoitusvelvollisuus).
Käytä täyttä salausta.
Pidä loki- ja valvontajärjestelmä, jotta tiedät kuka pääsee mihinkin ja milloin.
Tee säännölliset varmuuskopiot, jotka ovat myös salattuja.
Pidä ohjelmistot ajan tasalla ja päivitettyinä.
Dokumentoi koko järjestelmä – tämä on tärkeää auditointeja varten.
Tee säännöllisiä riskikartoituksia ja sisäisiä auditointeja.
Päivitä käytäntöjä ja koulutuksia säännöllisesti.
Poista turhat tiedot heti, kun niitä ei enää tarvita.
Testaa varmuuskopiot ja palautusjärjestelmät säännöllisesti.
Pidä kirjaa kaikista tietojen käsittelytoimista ja ulkoisista yhteistyötahoista.
Kustannukset riippuvat datan ja käyttäjien määrästä sekä turvatasosta. Tässä karkea arvio:
Kustannuserä / Pieni organisaatio / Keskisuuri / Suuri tai erittäin arkaluonteinen
Alkuinvestointi (laitteet, asennus, konsultointi) / 5 000–15 000 € / 20 000–50 000 € / 100 000 € +
Vuosittainen ylläpito ja auditointi / 2 000–10 000 € / 10 000–20 000 € / 50 000 € +
Pilvipalvelin tai datakeskus (EU/Finland) / n. 200–500 €/kk / 500–1 500 €/kk / useita tuhansia €/kk
Tietoturva- ja GDPR-konsultointi / 2 000–10 000 € / 10 000 € / + 20 000 € +
ChatGPT hallusinoi edellisen lisäksi, että esim. Dropbox ja MSTeams eivät sellaisinaan täytä vaatimuksia vaan tarvittaneen ratkaisuja salaamiseen ja valvontaan.
Pitäisinkö toimiston sittenkin vain salkkumikrossa… salattava on ja avain talletettava kuolinpesäni hoitajaa varten etteivät juttuni kuole?