General Data Protection Regulation (yleinen tietosuoja-asetus)
Vuoden 2018 keväällä uurastettiin monessakin yrityksessä kuumeisesti tietoturvaohjeistuksen parissa. Kirjanyhdistelmä GDPR oli silloin monelle tuttu. Se ainakin tiedettiin, että jotain piti tehdä tai muuten voi tulla sakkoa. Jotkut GDPR-palvelua markkinoivat yritykset pelottelivat mahdollisesti jopa satojen tuhansien eurojen suuruisilla sakoilla, jos henkilötietojen käsittelyyn kuuluvat asiat eivät olleet kunnossa.
Kaikenlaista seminaaria ja webinaaria oli GDPR:n tiimoilta, keskusteltiin hyvinkin detaljeista, turvasatamista, pilvipalvelujen sijaintipaikoista ja onko pelkkä nimi henkilötieto. Päähuomio GDPR:ssä oli henkilötietojen oikealla käsittelyllä mutta toisaalta on kyse tietoturvasta, että se tieto ei päädy vääriin käsiin, vaikka sitä sinällään käytetäänkin oikein.
Pöly laskeutuu GDPR:n ylle
Koko Euroopan laajuinen GDPR-asetus astui voimaan toukokuussa 2018 ja sen jälkeen pöly laskeutui ja hälinä sen ympärillä laantui.
Ei tullut GDPR-virastoa tai tarkistajia, jotka yllätyksellisesti tulisivat tarkistamaan yrityksen tietoturvaohjeistukset ja määräisivät sitten sanktioita, jos asiat eivät olisi kunnossa.
Enää ei juuri kohtaa markkinointia, jossa GDPR konsultoitaisiin kuntoon.
Eikä yrittäjiä pelota enää sanktiot. Asia ei hirveästi kiinnosta ja homma on päässyt vähän lipsumaan ja unohtumaan.
Monella pienellä yrityksellä ei ole tietoturvaohjeistus kunnossa. Palomuurit ja virusten torjuntaohjelmathan eivät välttämättä suojaa tietomurroilta.
Kaikilla ei ole suunnitelmaa, kuinka toimitaan, jos tietomurto sitten tapahtuu.
Joku kaappaa esim. sähköpostitilin käyttöönsä. Silloin kun tilanne on päällä, on jo myöhäistä miettiä keinoja ja minimoida vahinkoja. Jopa lain vaatima ilmoitusvelvollisuus voi unohtua. Ihminen on monesti se tietoturvan heikoin lenkki.
Sanktioita määrätään kyllä
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt tietosuojalainsäädännön rikkomisesta seuraamusmaksuja jo vuodesta 2019.
Maksujen suuruudet ovat olleet muutamista tuhansista jopa satoihin tuhansiin euroihin. Ensimmäinen päätöksistä koski puutteellista informointia.
Posti Oy ei ollut riittävällä tavalla informoinut rekisteröityjä tietosuojalainsäädännön mukaisista oikeuksista, joihin lukeutuu esimerkiksi oikeus vastustaa henkilötietojen käsittelyä suoramarkkinointiin. Tästä posti sai peräti 100 000 euron suuruisen seuraamusmaksun.
Käytäntö nyt näyttää olevan, että lakia tulkitaan sitten kun jotain on tapahtunut. Eli tietoturvaloukkaus, joka kohdistuu henkilötietoihin. Sanktiohan määrätään lakia rikkoneen toimijan liikevaihdon mukaan.
Yritys, joka on törkeästi laiminlyönyt asetuksen mukaisen toiminnan, kuten tapahtui esim. Vastaamon tapauksessa, jossa tiedot varastettiin, tuomitaan luonnollisesti korkeimmilla prosenteilla kuin yritys, joka on suoramarkkinoinnissaan laiminlyönyt vastaanottajien informoinnille asetettuja vaatimuksia.
Eikä rahalliset vahingot sanktiohin pääty. Tietomurron seurauksena yrityksen liikesalaisuuksia ja asiakastietoja voi vuotaa ulos.
Kovin mairittelevaa yrityksen maineelle ei ole myöskään se jos yrityksen sidosryhmät, liikekumppanit ja asiakkaat saavat myös huijausviestejä yrityksen sähköposteista, johon rikollinen on murtautunut, ja tätä kautta yrittää murtautua myös näiden järjestelmiin.
Myös korvaukset vahinkoa kärsineille voivat nousta huimaaviin summiin.
Laita tietoturva kuntoon
Verkkorikollisilla on aikaa. He kaikki eivät ole isojen yritysten kimpussa koska isot yritykset ovat suojanneet ympäristönsä hyvin.
Niinpä kohteena ovat hyvinkin pienet yritykset ja kiristys summat, jolla he lupaavat vapauttaa kaapatut tilit takaisin, ovat satasissa. Rikollisten taito ja oveluus myös kehittyy koko ajan.
Varmistakaa, että teidän yrityksenne henkilötietojen käsittelyyn ja tietoturvaan liittyvä ohjeistus on kunnossa ja henkilöstö toimii tietotekniikan kanssa ohjeiden mukaan.
Tietoturva pitää luonnollisesti myös teknisesti olla kunnossa.
Asioiden saattaminen kuntoon, vaikka asiantuntijan avulla, ei ole kallista tai vaikeaa kun sitä vertaa riskeihin. Pakollista se tosin on.