EU:n tietosuoja-asetus edellyttää sitä, että ohjelmistotoimittajalla tulee olla valmiudet kaikkeen siihen, mitä asetus vaatii.
Asetuksen vaatimukset kannattaa nähdä mahdollisuutena syventää omaa tietoturvaosaamista ja yhteistyötä asiakkaiden kanssa.
Vaikka tilanne on yrityksille vaativa, avaa se myös hienoja mahdollisuuksia yhteistyölle. Olemme kaikki samassa veneessä: niin softan toimittajat kuin asiakkaatkin. Vastakkainasettelun sijaan nyt on yhteistyön hetki, toteaa Ohjelmistoyrittäjät ry:n toimitusjohtaja Rasmus Roiha.
Yritysten valmiudet joutuvat testiin
Roiha korostaa, että on tärkeää tietää missä roolissa yritys milloinkin on, koska vastuut ja velvollisuudet vaihtelevat roolin mukaan.
Nyt suurin osa yrityksistä ei pysty edes sanomaan missä kaikkialla henkilötietoa on tallennettuna.
– Onko ohjelmistoyritys henkilötietojen käsittelijä, rekisterinpitäjä vai molempia, kuten usein on? On todella tärkeä tietää, mitä henkilötietoja käsitellään ja miten, ja mikä on näiden tietojen käytön oikeusperuste.
Roiha muistuttaa, että tietosuoja-asetuksen voimaan tullessa 25.5.2018 tulevat tietyt ryhmittymät käyttämään rekisteröidyn oikeutta välittömästi.
– Rekisteröidyillä on hyvin laajat oikeudet, kuten esimerkiksi oikeus saada itseä koskevat tiedot yrityksen rekisteristä koneluettavassa muodossa. Yritys on todella vaikeuksissa, jos järjestelmä ei tuolloin pysty vastaamaan vaatimuksiin.
Apua sertifioinneista ja koulutuksista
Asetus määrittää, että softatoimittajan pitää pystyä osoittamaan, miten se hoitaa tietoturva-asioitaan.
– Yksi tapa osoittaa tietoturvan taso on se, että yrityksen ulkopuolinen taho käy tiettyjen määritelmien mukaan toiminnan lävitse ja sertifioi sen. Näin voidaan osoittaa, että esimerkiksi haavoittuvuuksia ja tietoturva-aukkoja on korjattu, Roiha sanoo.
Vastuuta yrityksen tietoturvasta ei voi vierittää IT-osaston harteille.
– Nyt suurin osa yrityksistä ei pysty edes sanomaan missä kaikkialla henkilötietoa on tallennettuna. Softan toimittajalla pitää kuitenkin olla tekniset valmiudet kaikkeen siihen mitä asetus vaatii.
Ohjelmistoyrityksen johdon on hankittava tietoa ja tarpeen mukaan kouluttauduttava ymmärtämään tietosuoja-asetuksen monet vaatimukset vaikkapa erilaisten workshopien avulla.
– Tässä tilanteessa johdon, markkinoijien, järjestelmien kehittäjien, rakentajien ja ylläpitäjien on yhdessä mietittävä asioita. Kyse on liiketoiminnasta vastaavien pelikentästä, heidän on tunnettava vastuunsa, päättää Roiha.