Tietosuoja vai tietoturva – molemmat kiitos

Merja Luntta / 31.5.2018
Merja Luntta

keskustelu

EU:n yleistä tietosuoja-asetusta (GDPR, General Data Protection Regulation) on sovellettava 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Asiaan liittyen termejä tietosuoja ja tietoturva kuulee ja näkee joskus käytettävän toistensa synonyymeina. Kyse on kuitenkin eri asioista.

Tietosuoja (Data Protection)

Tietosuoja tarkoittaa yksityisyyden suojaa ja viittaa käytännössä vain henkilöön liittyvien tietojen suojaamiseen. Yksityisyyden suoja on perustuslain henkilölle takaama perusoikeus. Henkilötiedolla puolestaan tarkoitetaan kaikkia niitä luonnolliseen henkilöön liittyviä tietoja, joiden perusteella henkilö on suoraan tai epäsuoraan tunnistettavissa. Tietosuoja perustuu lakeihin, tietosuojaperiaatteisiin ja hyviin tapoihin.

Henkilötietoa käsittelevien tahojen velvollisuus on toimia siten, että henkilötietojen tietosuoja ( eli henkilöiden yksityisyyden suoja) toteutuu.

Tietosuoja-asetus vahvistaa rekisteröidyn henkilön oikeusasemaa ja antaa henkilöille uusia oikeuksia. Vastaavasti henkilötietorekistereitä pitävien ja henkilötietoja käsittelevien tahojen vastuu ja velvollisuudet kasvavat ja tiukentuvat.

Tietoturva (Data Security)

Tietoturva on keino luoda tietojen suojaa, myös tietosuojaa. Se kattaa kaikki ne hallinnolliset toimenpiteet sekä fyysiset ja tekniset ratkaisut, joilla suojataan paitsi henkilöä koskevien tietoja niin myös muita organisaatioiden sisäisiä tietoja. Tietojen lisäksi tietoturvatoimenpiteillä suojataan myös järjestelmiä, palveluita ja tietoliikennettä ulkopuolisilta, ulkopuolisten aiheuttamilta uhkilta ja tietoturvaloukkauksilta.

Tietoturva koskee jokaista toimijaa ja tahoa samalla tavalla kuin tietosuojakin, olipa kyse luonnollisista henkilöistä tai organisaatoista. Tietoturvan avulla ylläpidetään muun muassa tiedon:

  • Luottamuksellisuutta (Confidentiality) niin, että tieto on vain tietoon oikeutettujen ulottuvilla ja käytössä. Luottamuksellisuutta parantavat muun muassa tiedon salaukset ja erilaiset pääsynhallintaratkaisut.
  • Eheyttä (Integrity) niin, että tieto säilyy muuttumattomana tiedon luonnin, käsittelyn ja mahdollisten siirtojen aikana. Eheyttä voi kontrolloida erilaisilla tiedosta laskettavilla tarkistussummilla, -koodeilla ja sähköisillä allekirjoituksilla.
  • Saatavuutta (Availability) niin, että tieto on tietoon oikeutettujen saatavilla vaivattomasti ja ilman aiheettomia viiveitä aina, kun tietoa tarvitaan.

Tietoturvaan ja tietoturvallisuuteen liittyvät käsitteitä ovat myös:

  • Tiedon kiistämättömyys (Non-repudiation); tulee voida todentaa, kuka teki, mitä ja milloin eli että tietoon ja tietoturvaan liittyvä tapahtuma tai toimenpide voidaan varmistaa luotettavasti myös jälkikäteen. Todentamisessa auttavat lokitiedot sekä myös sähköiset allekirjoitukset.
  • Tunnistus (Identification); menettelyt, joilla henkilöt, erityisesti tietojärjestelmien käyttäjät, voidaan tunnistaa. Tunnistus tapahtuu joko niin, että henkilö itse tunnistautuu aktiivisesti esimerkiksi käyttäjätunnuksilla tai niin, että henkilöltä ei edellytetä aktiivisia toimenpiteitä.
  • Todennus (Authentication): menettely, jolla varmistetaan tunnistus. Todennus on yleensä kaksisuuntainen. Esimerkiksi asiointipalveluissa vaatimuksena yleensä on molempien osapuolien todentaminen. Molempien tahojen on oltava varmoja toistensa identiteeteistä.

Lisätietoa tietosuoja-asetuksesta

Olemme koonneet maksuttoman GDPR-oppaan, josta voi tarkastaa, mistä asetuksessa on kyse ja lukea, kuinka GDPR on huomioitu ohjelmistoissamme.

Lataa opas

GDPR, tietosuoja-asetus, tietoturva