PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
Akatemia

Vaikutustenarviointi

Liittyy artikkeliin:

Tietosuoja-asetus ohjaa organisaatioita keskittämään eniten huomiota ja riskienhallinnallisia toimenpiteitä henkilötietojen käsittelyyn, josta aiheutuu korkein riski rekisteröityjen oikeuksille ja vapauksille.

Vaikutustenarvioinnin pääideana on:

  • analysoida tiettyä henkilötietojen käsittelyprosessia tai rekisteriä tarkemmin
  • tunnistaa oleellisimmat käsittelyriskit
  • suunnitella ja toteuttaa riskejä hallitsevat toimenpiteet

Työ vaikutustenarviointien parissa alkaa niiden tarpeellisuuden arvioinnilla. Tätä kannattaa tehdä Tietosuojamallissa etenkin järjestelmien ja käsittelytilanteiden riskitasoa arvioimalla.

Vaikutustenarviointien tarpeellisuus?

Tietosuojamallissa vaikutustenarvioinnit ovat työkalu yleisen riski- ja turvallisuusanalyysin tarkentamiseksi. Niitä kannattaa toteuttaa silloin, kun tunnistamme korkeaa riskiä sisältävää henkilötietojen käsittelyä, jossa esimerkiksi käsitellään isoja tietomääriä, sensitiivisiä tietoja tai tehdään automatisoitua päätöksentekoa, jolla on oikeusvaikutuksia rekisteröidyille.

Suosittelemme tutustumaan artikkeliin Tärkeyksien arviointi.

Vaikutustenarviointien läpikäynti ja dokumentointi Tietosuojamallissa

Tietosuojamalli auttaa sinua listaamaan toteutetut sekä suunnitellut vaikutustenarvioinnit ja dokumentoimaan niiden oleellisimmat tulokset:

Mihin arviointi kohdistuu?

  • Vaikutustenarviointi kohdistuu yleensä joko kriittiseen tietojärjestelmään tai käyttötarkoitukseen
  • Kohdistaminen auttaa tunnistamaan riskejä, jotka ovat relevantteja juuri tälle käsittelylle

Onko käsittelyprosessia erityishuomiota vaativia piirteitä?

Millaisia riskejä käsittelystä aiheutuu?

  • Vaikutustenarvioinnin päätuloksia ovat nimenomaan tähän käsittelyyn liittyvät riskit

Käsittele riskit sekä turvallisuustoimenpiteet

  • Tunnistettujen riskien suhteen teidän on tehtävä päätös: onko riski tällaisenaan hyväksyttävä?
  • Ei-hyväksyttäville riskeille meidän tulee tehdä lisää turvallisuuskäytäntöjä, jotka joko pienentävät riskin todennäköisyyttä tai vakavuutta

Yhteenveto tuloksista

  • Tämän kohdan tarkoituksena on rohkaista tekemään myös kattavampi vapaamuotoinen yhteenveto arvioinnin tuloksista
  • Voitte kirjoittaa tulokset suoraan Tietosuojamalliin tai liittää erillisen tiedoston, jossa ne kuvataan

Kriittisissä henkilötietojen käsittelyprosesseissa voi olla järkevää etsiä ulkopuolista asiantuntemusta avuksi toteuttamaan vaikutustenarviointia, jotta saatte löydettyä riskit ja riskienhallintatoimenpiteet ulkopuolisen näkökulman avulla.

Tähän artikkeliin liittyvät muut artikkelit

No items found.

Sisältöä tulossa pian.