4 asiaa, jotka SaaS-palvelunkehittäjän tulee ottaa huomioon EU:n tietosuoja-asetukseen liittyen

Lähitulevaisuuden ohjelmistoliiketoiminnan kentällä tulevat menestymään palvelut, joiden suunnittelussa on otettu tietoturva huomioon. Tietoturvan varmistaminen ei ole mikään ohimenevä trendi-ilmiö vaan jopa EU-tasolla on herätty sen tärkeyteen. Keväällä 2018 meidän kaikkien turvaksi astuu voimaan uusi EU:n tietosuoja-asetus, joka asettaa omat vaatimuksensa ohjelmistoille ja niiden suunnittelulle.

 

Kyseinen asetus koskee erityisesti työntekijöiden ja asiakkaiden henkilötietojen käsittelyä. Näin ollen se vaikuttaa lähestulkoon jokaiseen yritykseen - ja varsinkin niihin, jotka toimivat henkilötietoja sisältävien palveluiden kehityksen parissa.

 

Mitä asioita ohjelmistokehittäjän tulee ottaa huomioon, jotta palvelut ja prosessit läpäisisivät EU:n seulan?

 

1) Aloita riskien kartoittamisesta

 

Alkajaisiksi on arvioitava, minkälaisia riskejä palvelussa on henkilötietojen käsittelyyn liittyen. Missä tieto kulkee, minne se kulkee ja miten se vaikuttaa henkilöiden yksityisyyteen? Entä minkälaiset vaikutukset sillä on henkilöille, mikäli heidän tietonsa päätyvät järjestelmästä vääriin käsiin? Luonnollisestikin potilastietojärjestelmän tietojen kohdalla on harjoitettava suurempaa sensitiivisyyttä kuin yksinkertaisen sähköpostirekisterin hallinnassa.

 

Yksi tapa kartoittaa riskejä on PIA-prosessi (Privacy Impact Assessment). Siinä tarkastellaan, mitä riskejä henkilötietojen käsittely tai niiden vuotaminen aiheuttaa rekisteröidyille. Sen perusteella voidaan määritellä tarvittavat tietoturvakontrollit eli tietoturvaa kohentavat toimenpiteet riskien hallitsemiseksi.

 

2) Ota tietoturva huomioon sovelluskehitysprosessissa

 

Henkilötietojen turvallinen käsittely on otettava huomioon jo palvelua suunniteltaessa, ja se on otettava osaksi sovelluskehitysprosessia. Hyvänä ohjenuorana voidaan pitää sitä, että mitä harvemmalla henkilöllä on pääsy henkilötietoihin, sen parempi. Ohjelmiston testi- ja tuotantoympäristöt pidetään erillään. Usein kehittäjille riittää pääsy pelkästään testiympärisöön, jossa käytetään testitilanteita varten tekaistuja esimerkkitietoja todellisten henkilötietojen sijaan.

 

3) Arvioi salauksen tarpeellisuus

 

Jos tietoja siirretään internetin yli, riskinä on tiedon joutuminen vääriin käsiin. Aina kun kyseessä on henkilötietojen siirtäminen, ne tulee salata siirrettäessä. Esimerkiksi web-palveluiden tapauksessa tulee käyttää salattua HTTPS-yhteyttä. Tietoja säilytettäessä tilanne on hieman moniulotteisempi ja salauksen tarvetta ja salausmenetelmiä tulee harkita PIA-analyysin tulosten perusteella.

 

On kuitenkin hyvä muistaa, että eri palvelut pitävät sisällään erilaisia tunnisteita, ja näin ollen tiettyä kaikenkattavaa ohjetta tässäkään asiassa ei ole. Riskien kartoittaminen kertoo lähtötilanteen. Jokaisen tietoturvakontrollin tarkoitus on pyrkiä pienentämään tiettyä havaittua riskiä.

 

4) Varmista, että sovelluksen tietoturvan tilaa valvotaan

 

EU:n tietosuoja-asetuksen mukana tulee säädös siitä, että tietomurroista ja väärinkäytöksistä on raportoitava tietosuojavaltuutetulle sekä tarpeen vaatiessa myös rekisteröidyille 72 tunnin sisällä. Sovellusta rakennettaessa on siis syytä pohtia, miten tämä tapahtuu. Esimerkiksi ohjelmiston henkilötietojen käsittelyn lokitus tulee miettiä jo suunnitteluvaiheessa.

 

Sen lisäksi sovellusta tulee kyetä valvomaan säännöllisesti ja varmentamaan sen turvallisuus. Se kiinnostaa EU-viranomaisten lisäksi myös asiakkaita ja yritysten tietosuojavaltuutettuja. Sovelluksen tietoturvan tilan voi varmentaa esimerkiksi turva.io-palvelulla.