Monessa pk-yrityksessä puhutaan samassa lauseessa ISO 27001:stä ja GDPR:stä, vaikka kyse on eri asioista. Se näkyy käytännössä niin, että yritys tekee tietosuojaselosteen ja ajattelee hoitaneensa tietoturvan, tai rakentaa tietoturvan hallintajärjestelmän mutta unohtaa henkilötietojen käsittelyn erityisvaatimukset.
Tässä artikkelissa selvennämme, mitä ISO 27001 ja GDPR tarkoittavat, missä ne eroavat ja missä ne tukevat toisiaan. Saat myös käytännön etenemismallin siihen, miten voit rakentaa yrityksellesi toimivan kokonaisuuden ilman päällekkäistä työtä.
ISO 27001 ja GDPR eivät ole sama asia
ISO 27001 on kansainvälinen standardi, jonka avulla organisaatio rakentaa systemaattisen tietoturvan hallinnan mallin. Se määrittelee, miten yritys tunnistaa riskejä, valitsee suojaustoimenpiteitä, jakaa vastuut ja seuraa, että tietoturva toimii arjessa.
GDPR eli EU:n yleinen tietosuoja-asetus taas on lainsäädäntöä. Se säätelee sitä, miten organisaatio saa käsitellä henkilötietoja, millä perusteella niitä käsitellään, mitä oikeuksia rekisteröidyillä on ja mitä yrityksen pitää tehdä, jos henkilötietoja vaarantuu.
Käytännössä ero on usein tämä:
| Asia | ISO 27001 | GDPR |
|---|---|---|
| Luonne | Standardi | Laki ja asetus |
| Pääfokus | Tietoturvan hallinta | Henkilötietojen suoja |
| Kohde | Kaikki tiedot ja tietovarannot | Henkilötiedot |
| Pakollisuus | Vapaaehtoinen, ellei asiakas tai sopimus vaadi | Pakollinen, jos käsittelet henkilötietoja |
| Todentaminen | Mahdollinen sertifiointi | Ei sertifiointia samalla tavalla |
| Lähestymistapa | Riskiperusteinen hallintamalli | Oikeusperusteet, velvoitteet ja rekisteröidyn oikeudet |
Jos haluat tiivistää asian yhdellä kysymyksellä, kysy tämä: suojaatko yrityksen kaikkia tietoja vai varmistatko henkilötietojen lainmukaisen käsittelyn? Useimmiten vastaus on, että tarvitset molemmat.
Huomio
ISO 27001 ei korvaa GDPR:ää, eikä GDPR yksin rakenna kattavaa tietoturvaa. Ne ratkaisevat eri ongelmia, vaikka käyttävät osin samoja käytännön keinoja.
Mitä yhteistä niissä on käytännössä?
Vaikka ISO 27001 ja GDPR ovat eri viitekehyksiä, arjessa ne kohtaavat monessa kohdassa. Molemmat edellyttävät, että yritys tietää mitä tietoa se käsittelee, missä tieto sijaitsee, kuka siihen pääsee ja mitä tapahtuu, jos tieto katoaa, muuttuu tai vuotaa.
Yhteisiä teemoja ovat esimerkiksi:
- riskienhallinta
- käyttöoikeuksien hallinta
- henkilöstön ohjeistus ja koulutus
- poikkeamien käsittely
- toimittajien hallinta
- dokumentointi ja näyttö tehdyistä toimenpiteistä
- jatkuva parantaminen
Ajatellaan vaikka henkilöstöhallinnon järjestelmää. Jos siellä käsitellään työntekijöiden henkilötietoja, GDPR määrittää käsittelyn pelisäännöt. ISO 27001 puolestaan auttaa varmistamaan, että järjestelmän käyttöoikeudet ovat rajatut, varmuuskopiot toimivat, lokit tallentuvat ja poikkeamat käsitellään hallitusti.
Hyvä nyrkkisääntö on tämä:
- GDPR vastaa kysymykseen: "saammeko käsitellä tätä tietoa näin?"
- ISO 27001 vastaa kysymykseen: "miten suojaamme tämän tiedon hallitusti?"
Suurin ero: tietosuoja vs. tietoturva
Moni käyttää sanoja tietosuoja ja tietoturva sekaisin. Ero kannattaa kuitenkin ymmärtää, koska se vaikuttaa suoraan siihen, mitä yrityksessä pitää tehdä.
Tietosuoja tarkoittaa henkilötietojen lainmukaista ja asianmukaista käsittelyä. Siihen kuuluvat esimerkiksi käsittelyn oikeusperuste, informointivelvollisuus, säilytysajat ja rekisteröidyn oikeudet, kuten oikeus saada pääsy omiin tietoihin.
Tietoturva taas tarkoittaa tiedon suojaamista niin, että sen luottamuksellisuus, eheys ja saatavuus säilyvät. Käytännössä tämä näkyy esimerkiksi siinä, että vain oikeat henkilöt näkevät tiedot, tiedot eivät muutu vahingossa ja ne ovat käytettävissä silloin kun niitä tarvitaan.
Alla oleva taulukko auttaa hahmottamaan eroa:
| Kysymys | Liittyy pääosin GDPR:ään | Liittyy pääosin ISO 27001:een |
|---|---|---|
| Millä perusteella henkilötietoja käsitellään? | Kyllä | Ei suoraan |
| Kuinka pitkään tietoja säilytetään? | Kyllä | Osittain |
| Kuka saa käyttöoikeuden järjestelmään? | Osittain | Kyllä |
| Miten riskit arvioidaan ja käsitellään? | Osittain | Kyllä |
| Miten tietoturvapoikkeama käsitellään? | Kyllä, jos koskee henkilötietoja | Kyllä |
| Miten osoitat johdolle ja asiakkaalle hallinnan tason? | Osittain | Kyllä |
Jos yrityksesi käsittelee asiakasrekisteriä, työntekijätietoja tai verkkopalvelun käyttäjätietoja, GDPR tulee väistämättä mukaan. Jos taas haluat hallita koko organisaation tietoturvaa johdonmukaisesti, ISO 27001 antaa siihen rakenteen.
Missä ISO 27001 auttaa suoraan GDPR-vaatimuksissa?
Vaikka ISO 27001 ei ole tietosuojalaki, se tukee monia GDPR:n käytännön velvoitteita. Tämä on tärkeä huomio erityisesti pk-yrityksille, koska sama työ kannattaa tehdä kerran hyvin, ei kahdesti eri kansioihin.
ISO 27001 auttaa erityisesti näissä asioissa:
- tietovarantojen tunnistaminen ja luokittelu
- riskien arviointi 3–5 keskeisen riskin tasolta alkaen
- käyttöoikeuksien hallinta ja säännöllinen tarkastus, esimerkiksi kvartaaleittain
- poikkeamien hallinta ja raportointi
- toimittajien arviointi ja sopimusvaatimukset
- henkilöstön koulutus, esimerkiksi 1–2 kertaa vuodessa
- dokumentoitu vastuunjako
Esimerkki: jos työntekijä poistuu yrityksestä, GDPR:n näkökulmasta henkilötietojen käsittelyn pitää pysyä hallittuna. ISO 27001:n käytännöt taas auttavat määrittämään, että tunnukset poistetaan 24 tunnin sisällä, laitteet palautetaan, pääsyoikeudet tarkistetaan ja tapahtuma kirjataan.
Toinen esimerkki on tietoturvaloukkaus. GDPR voi velvoittaa ilmoittamaan henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle jopa 72 tunnin kuluessa. ISO 27001 auttaa rakentamaan prosessin, jolla poikkeama havaitaan, arvioidaan, eskaloidaan ja dokumentoidaan ajoissa.
Vinkki
Tee yksi yhteinen poikkeamaprosessi, jossa erotellaan erikseen, koskeeko tapaus henkilötietoja. Näin sama prosessi palvelee sekä ISO 27001:n että GDPR:n tarpeita.
Missä GDPR vaatii enemmän kuin ISO 27001?
Tämä on kohta, jossa moni yritys kompastuu. ISO 27001 voi olla hyvin rakennettu, mutta se ei yksin kata kaikkia GDPR:n velvoitteita.
GDPR tuo mukaan vaatimuksia, joita et voi ohittaa pelkällä tietoturvan hallintamallilla:
- käsittelyn oikeusperusteiden määrittely
- rekisteröityjen informointi selkeästi
- tietosuojaselosteet ja sisäiset käsittelykuvaukset
- rekisteröidyn oikeuksien toteuttaminen määräajassa
- henkilötietojen minimointi
- säilytysaikojen määrittely
- tarvittaessa vaikutustenarviointi, jos käsittely aiheuttaa korkeaa riskiä
Konkreettinen esimerkki: yrityksellä voi olla ISO 27001:n mukaisesti hyvin suojattu CRM-järjestelmä. Silti GDPR-riski syntyy, jos järjestelmään kerätään enemmän henkilötietoja kuin on tarpeen, tai jos vanhoja liidejä säilytetään ilman määriteltyä poistokäytäntöä.
Kysy siis itseltäsi nämä kolme kysymystä:
- Mikä on jokaisen henkilötietoryhmän käyttötarkoitus?
- Kuinka kauan tietoa säilytetään, esimerkiksi 12 kuukautta, 24 kuukautta tai työsuhteen päättymiseen asti?
- Kuka vastaa siitä, että poistot tehdään ajallaan?
Miten pk-yrityksen kannattaa edetä käytännössä?
Jos lähtötilanne on epäselvä, älä yritä ratkaista kaikkea yhdellä projektilla. Toimivampi tapa on rakentaa yhteinen perusta ja täydentää sitä tietosuojan erityisvaatimuksilla.
Rajaa ensin, mitä tietoja ja prosesseja tarkastelette
Listaa yrityksen 5–10 tärkeintä tietovirtaa: esimerkiksi asiakastiedot, henkilöstötiedot, taloushallinto, tukipalvelut ja pilvipalvelut. Merkitse jokaisesta, sisältääkö se henkilötietoja, kuka omistaa prosessin ja missä järjestelmässä tieto sijaitsee.
Tee yksi yhteinen riskikartoitus
Arvioi jokaisesta keskeisestä tietovirrasta todennäköisyys ja vaikutus asteikolla 1–5. Nosta käsittelyyn ensin ne kohteet, joissa on sekä liiketoimintariski että henkilötietoriski, kuten HR-järjestelmä, asiakasrekisteri tai Microsoft 365 -ympäristö.
Määritä peruskontrollit ja tietosuojakäytännöt rinnakkain
Ota käyttöön samassa työssä esimerkiksi monivaiheinen tunnistautuminen, käyttöoikeusroolit, lokien seuranta, poistokäytännöt ja toimittajasopimusten tarkistus. Näin vältät tilanteen, jossa tietoturva ja tietosuoja elävät eri dokumenteissa ilman yhteyttä arkeen.
Sovi vastuut ja aikarajat selkeästi
Määritä vähintään prosessinomistaja, IT-vastuuhenkilö ja tietosuojasta vastaava henkilö tai rooli. Kirjaa esimerkiksi, että käyttöoikeudet tarkistetaan 4 kertaa vuodessa, poistuvat tunnukset suljetaan 24 tunnin sisällä ja poikkeamat arvioidaan saman työpäivän aikana.
Seuraa toteutumista kuukausi- tai kvartaalitasolla
Valitse 3–5 mittaria, joita johto seuraa säännöllisesti. Hyviä mittareita ovat esimerkiksi avoimet poikkeamat, vanhentuneet käyttäjätunnukset, koulutuksen suoritusaste, toimittaja-arviointien kattavuus ja poistokäytäntöjen toteutumisprosentti.
Yleisimmät virheet, jotka aiheuttavat turhaa työtä
Suurin ongelma ei yleensä ole se, ettei mitään tehtäisi. Ongelma on se, että samoja asioita tehdään kahdessa eri projektissa eri nimillä.
Yleisimmät virheet ovat:
- GDPR käsitellään pelkkänä lakitekstinä ilman käytännön prosesseja
- ISO 27001 rakennetaan dokumentaatioksi ilman arjen toteutusta
- vastuut jäävät epäselviksi IT:n, HR:n ja liiketoiminnan välillä
- toimittajariski unohdetaan, vaikka data on pilvipalveluissa
- poistokäytännöt puuttuvat tai niitä ei valvota
Alla yksinkertainen tarkistuslista tilanteen arviointiin:
| Tarkistettava asia | Hyvä taso | Hälytysmerkki |
|---|---|---|
| Tietovarantojen kartoitus | Päivitetty viimeisen 12 kk aikana | Kukaan ei tiedä, missä henkilötiedot ovat |
| Käyttöoikeuksien hallinta | Tarkistus kvartaaleittain | Tunnuksia jää voimaan työsuhteen päätyttyä |
| Poikkeamaprosessi | Vastuut ja ilmoituspolku määritelty | Poikkeamat ratkaistaan tapauskohtaisesti |
| Säilytysajat | Määritelty tietoryhmittäin | Tietoja säilytetään "varmuuden vuoksi" |
| Toimittajahallinta | Sopimukset ja arvioinnit dokumentoitu | Pilvipalvelut käytössä ilman arviointia |
Varoitus
Yleinen virhe on ajatella, että sertifikaatti tai tietosuojaseloste yksin todistaa kaiken olevan kunnossa. Todellinen taso näkyy vasta siinä, miten käyttöoikeudet, poikkeamat, poistot ja vastuut toimivat arjessa.
Kumpi kannattaa tehdä ensin?
Jos yrityksessä ei ole kumpaakaan kunnolla hallussa, aloita siitä, missä riski on suurin ja missä saat nopeimmin näkyvää hyötyä. Useimmille pk-yrityksille toimiva järjestys on rakentaa ISO 27001:n mukainen perusrakenne ja varmistaa samalla GDPR:n pakolliset tietosuojavelvoitteet.
Käytännössä tämä tarkoittaa esimerkiksi seuraavaa etenemistä 60–90 päivän aikana:
| Viikot | Tavoite | Tuotos |
|---|---|---|
| 1–2 | Nykytilan kartoitus | Lista tietovirroista, järjestelmistä ja vastuista |
| 3–4 | Riskien arviointi | Priorisoitu riskilista ja toimenpiteet |
| 5–8 | Peruskontrollit käyttöön | MFA, käyttöoikeusmalli, poikkeamaprosessi, toimittajalista |
| 9–10 | GDPR-täydennykset | Selosteet, säilytysajat, oikeusperusteet |
| 11–12 | Johdon katselmus | Mittarit, päätökset ja jatkosuunnitelma |
Tämä malli toimii erityisen hyvin silloin, kun haluat vähentää asiakasvaatimusten painetta, parantaa tietoturvan tasoa ja samalla saada tietosuoja-asiat hallintaan ilman erillistä raskasta hanketta.
Yhteenveto
- ISO 27001 on tietoturvan hallinnan standardi, kun taas GDPR on henkilötietojen käsittelyä säätelevä laki.
- Niillä on paljon yhteisiä käytännön teemoja, kuten riskienhallinta, käyttöoikeudet, poikkeamien käsittely ja dokumentointi.
- ISO 27001 tukee vahvasti GDPR:n toteutusta, mutta ei yksin kata esimerkiksi oikeusperusteita, säilytysaikoja tai rekisteröidyn oikeuksia.
- Pk-yritykselle tehokkain tapa edetä on rakentaa yksi yhteinen toimintamalli, jossa tietoturva ja tietosuoja tukevat toisiaan.
- Seuraa toteutusta 3–5 mittarilla ja sovi konkreettiset aikarajat, kuten tunnusten poisto 24 tunnin sisällä.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.