Kohti GDPR-asetuksen noudattamista: miksi yritysten pitää tarkistaa tulostusprosessinsa yleisen tietosuoja-asetuksen vuoksi

On arvioitu, että maailmanlaajuisesti tuotetun tiedon määrä tulee kasvamaan räjähdysmäisesti 2016 tilastoidusta 16 tsettatavusta (ZB) 163 tsettatavuun – eli 163 biljoonaan gigatavuun – 2025¹ mennessä.

Tämän tietoräjähdyksen ja uusien työskentelytapojen yhdistelmä korostaa uuden lainsäädännön tarvetta, jonka vuoksi eurooppalaiset yritykset valmistelevat IT-prosessejaan yleistä tietosuoja-asetusta varten.

Kyseessä ei ole mikään pieni projekti, ja monet organisaatiot ovat jättäneet erään tärkeän asian, nimittäin tulostamisen, täysin huomiotta.

Vaikka aihe on ollut runsaasti esillä, vuoden 2017 alkupuolella 40 % tulostinten ostajista ei tiennyt, mikä yleinen tietosuoja-asetus on. Ostajista 19 % tiesi mikä asetus on, mutta ei tiennyt sen astuvan voimaan 25. toukokuuta 2018².

Kenties vielä yllättävämpää oli, että 51 % tulostinten ostajista, jotka tiesivät yleisestä tietosuoja-asetuksesta, ei ymmärtänyt sen vaikuttavan ratkaisevasti myös tulostamiseen².

Asetus on nyt astunut voimaan, mutta jotkut yritykset ovat edelleen autuaan tietämättömiä tulostukseen liittyvistä haavoittuvaisuuksista, jotka nostettiin esille whitepaperissa ”Ensuring Data Privacy: The Print and Document Management Challenge” 

Yleinen tietosuoja-asetus – uudet säännöt pähkinänkuoressa

Yleisen tietosuoja-asetuksen ymmärtäminen on ensimmäinen askel kohti lain noudattamista. Yritysten on tärkeää ymmärtää siitä kaksi asiaa.

Ensimmäinen asia on ymmärtää, että yritykset eivät omista ihmisten tietoja. Yleinen tietosuoja-asetus velvoittaa yrityksiä käsittelemään henkilötietoja asianmukaisella tavalla ja ilmoittamaan rekisteröidylle, jos hänen tietonsa katoavat tai varastetaan, niitä käytetään väärin tai ne joutuvat tietomurron kohteeksi.

Toinen asia, yritysten täytyy noudattaa rekisteröityjen lainmukaisiin oikeuksiin pohjautuvia pyyntöjä. Niihin kuuluvat muun muassa oikeus tietää miten omia henkilötietoja käsitellään, oikeus pyytää tietojen poistoa ja oikeus rajoittaa henkilötietojen käsittelyä.

Yleinen tietosuoja-asetus ja tulostamiseen liittyvät haavoittuvaisuudet

Yleisen tietosuoja-asetuksen aikakaudella jokainen huomiotta jätetty tulostin voi tehdä koko järjestelmästä haavoittuvaisen.

Suojaamaton tulostin on kuin takaovi verkkoon, josta pääsee käsiksi järjestelmän tietoihin. Riskin pienentäminen on usein mahdollista vain määrittelemällä onko laitteeseen tallennettu tietoja, tarkistamalla muistin tyhjennysajat ja suojaamalla laite.

Lisäksi arkaluontoisten tietojen tulostamisen ja etenkin skannaamisen on oltava jäljitettävää. Yritysten on panostettava tarkastuspolkujen läpinäkyvyyteen, jotta käsiteltävät tiedot, käsittelypaikka, käsittelijä ja käsittelyn tarkoitusten laillisuus saadaan selvitettyä mahdollisimman nopeasti.

Tietämättömyys ei ole pätevä syy laiminlyönneille

Lain rikkomisesta langetettavat sakot ovat tarkoituksella ankaria. Ne voivat olla enimmillään 20 miljoonaa euroa tai 4 % vuosittaisesta maailmanlaajuisesta liikevaihdosta riippuen siitä, kumpi summa on suurempi. Yleistä tietosuoja-asetusta kuvaillaan sen virallisilla sivuilla (www.eugdpr.org) erittäin aiheellisesti sanoilla ”tehokas, suhteellinen ja varoittava”.

Mojovien sakkojen välttäminen on oiva kannustin, mutta lain rikkominen voi myös vahingoittaa yrityksen mainetta.

Asianmukaisesti dokumentoidut prosessit auttavat ehkäisemään tietoturvaloukkauksia ja välttämään sakot sekä suojelemaan yrityksen mainetta. Jos tietoturvaloukkaus kuitenkin tapahtuu, todisteita riittävistä tietosuojatoimenpiteistä on olemassa.

Kolme askelta tietämättömyydestä kohti lain noudattamista

Tulostukseen liittyvien asioiden esiin tuominen on hyvä alku, mutta yleisen tietosuoja-asetuksen noudattaminen voidaan todella taata vain seuraavien osa-alueiden aktiivisella hallinnalla.

Prosessien tarkastukset – Yritysten pitää nimittää päteviä työntekijöitä tarkastamaan turvallisuus- ja tietosuojakäytännöt ja päivittämään ne uusien vaatimusten mukaisiksi. Sen jälkeen on syytä laatia jatkuvaan käyttöön tarkoitetut valvonta-, korjaus- ja toimeenpanokäytännöt.

Tulostinten turvallisuus – Sisäinen tallennustila on suojattava ja laitteet on tarkistettava, jotta mahdollinen haittaohjelmille ja muille kyberhyökkäyksille altistuminen huomataan ja haavoittuvuudet korjataan.

Asiakirjahaku – Luottamuksellisuuden ja asiakirjahaun varmistamiseksi tulisi hyödyntää pull print -tulostuksen ja laitteen vahvistamisen kaltaisia käyttöoikeuden tunnistusteknologioita.Katso esimerkiksi https://www.brother.fi/business-solutions/security-and-cost

Yleinen tietosuoja-asetus aiheuttaa suuria muutoksia kaikissa organisaatioissa, mutta muutos pitäisi nähdä mahdollisuutena. Puhtaat tiedot ja niiden lainmukainen käsittely antavat yrityksille tietoja, joita voidaan käyttää asiakaskokemuksen parantamiseen ja kasvumahdollisuuksien luomiseen.

1. Data Age 2025: The Evolution of Data to Life-Critical, Don’t Focus on Big Data; Focus on the Data That's Big, IDC White Paper, huhtikuu 2017
2. Low Investment in Print Security and Increasing Compliance Challenges Leave European Companies at Risk, IDC #EMEA42819617, kesäkuu 2017

Lisätietoja:

Sami Kivelä, tuotepäällikkö

0500 429 094
sami.kivela@brother.fi