Läppärin hukkaaminen ja GDPR

GDPR ja ilmoitusvelvollisuus toi mukanaan erään tärkeän asian liittyen tietokoneisiin ja datan suojaamiseen. Tämä taas tuo mukanaan oleellisen asian liittyen varmuuskopiointiin.

Mistä on kyse?

GDPR eli EU:n tietosuoja-asetus tuli voimaan toukokuussa 2018. Uusi tietosuoja-asetus määrittää raamit henkilötietojen käsittelyyn, säilömiseen ja ylläpitoon. Uudet toimintamallit piti myös järjestää ilmoittamiseen liittyen: Mikäli yrityksellä on edes saattanut henkilötiedot levitä vääriin käsiin, pitää siitä ilmoittaa kolmen vuorokauden sisällä tietosuojavaltuutetulle sekä heille, joiden tiedot ovat vaarantuneet.

Missä rekisteri on?

Yleensä varsinaista henkilötietorekisteriä ei säilytetä paikallisesti kannettavalla tietokoneella. Tietokoneella toki voi olla siihen liittyviä dokumentteja henkilötietoineen. Siksi myös kannettavan tietokoneen kanssa tulee olla tarkkana.

Jos tietokone hukkuu

Jos kannettava tietokone hukkuu tai se varastetaan ja tietokoneen kiintolevyn tiedot ei ole salattu, niin laitteen hallussapitäjä pääsee tietoihin helposti käsiksi. Pelkkä Windowsin kirjautumissalasana ei suojaa tietoja mitenkään. Tällaisessa tilanteessa asiasta tulisi tietosuoja-asetuksen mukaan tehdä loukkausilmoitus. Inhottavaa, ylimääräistä työtä ja uhkana vielä sakot.

Levynsalaus

Levynsalaus eli kryptaus tarkoittaa sitä, että levyn tiedot salataan. Jos tietoja yrittää avata ilman salasanaa, niin data on pelkkää mössöä eikä siitä ole hyötyä kenellekään. Esimerkiksi Windows 10 Pro käyttöjärjestelmässä on mukana Microsoftin BitLocker, jolla salauksen voi tehdä. Käytännössä konetta käynnistäessä tulee heti salasanakysely, jolla salaus puretaan tai jos tietokoneessa on TPM-piiri niin salasanaa ei tarvita. Jos hukatun tietokoneen levy on salattu, ei ilmoitusta kadonneesta laitteesta tarvitse tehdä.

Data ei ole tärkeää, jos sitä ei varmuuskopioida

Salauksessa on  myös huono puoli: Jos kiintolevyyn tulee pienikin vika, mitään tietoja ei ole palautettavissa kiintolevyltä. Myös BitLockerin palautusavaimen kanssa tulee olla tarkkana: Jos laitteistoon tulee vaikkapa laitemuutoksia, palautusavainta tarvitaan. Kryptauksen kanssa onkin ensiarvoisen tärkeää, että tiedot on varmuuskopioitu ja/tai pilvipalvelussa. Kannattaakin heti varmistaa, että varmuuskopioasiat ovat kunnossa. GDPR:n takia kannattaa myös tarkistaa, missä pilvipalvelussa tietosi ovat, sillä datan sijainnilla on merkitystä. Nyrkkisääntönä voidaan pitää sitä, että perusdata henkilörekisteriin liittyen saa olla missä tahansa EU:n sisällä, mutta arkaluontoiset tiedot vain Suomen rajojen sisäpuolella.

Hyvä kumppani auttaa

Aina kannattaa etsiä IT-asioihin kumppani, jolta saat avun ja neuvot näihin asioihin liittyen. Vaikka et kaipaisikaan isoa IT-ulkoistussopimusta, niin hanki kuitenkin joku jolta on helppo asioista kysyä.

 

Turvallista uutta vuotta 2019!
Mika Lausamo
Twitter: @MikaLausamo