GDPR, tietoturva ja evästeet – lyhyesti kaikki se, mitä sinun tulisi tietää niistä

10.04.2023

Katri Vieri

Nainen tekemässä verkkokauppaostoksia.

Nykyajan yritykset ja asiakkaat, toisinsanoen liiketoiminta, on pitkälti verkossa. Kivijalkakaupassa pistäytymisen sijaan asiakkaat suuntaavat www-osoitteisiin mihin tahansa kellonaikaan, ja lisäävät tuotteita suosikkeihinsa, ja maksavat tuotteensa verkkopankissa. Asiakas ei välttämättä ole nähnyt tai koskenut tuotetta käsin, kun hän jo tekee ostopäätöksen. Tai vaihtoehtoisesti tuote voi olla digitaalinenkin, kuten vaikkapa tietokonepeli tai sovellus, jolloin tuote voidaan ladata verkosta käyttäjän laitteelle.

GDPR, tietoturva ja evästeet ovat kaikki tärkeitä elementtejä digitaalisen liiketoiminnan kannalta. Evästeiden avulla voidaan kerätä liiketoiminnan kannalta olennaisia tietoja esimerkiksi verkkokaupan käyttäjistä. GDPR:n ja tietoturvan noudattamisella puolestaan varmistetaan, että tuo tietojen kerääminen toteutuu eettisesti, ymmärrettävästi ja lakeja noudattaen.

GDPR on lyhenne sanoista General Data Protection Regulation, ja sillä tarkoitetaan yksinkertaisemmin EU:n tietosuoja-asetusta. Asetus astui voimaan toukokuussa 2018 ja sen tavoitteena on suojata henkilötietoja paremmin. GDPR koskee kaikkia yrityksiä, jotka käsittelevät EU:n kansalaisten henkilötietoja, ja sen rikkomisesta voi seurata suuriakin sakkoja. GDPR velvoittaa yritykset keräämään henkilötietoja vain tiettyihin tarkoituksiin, ilmoittamaan henkilöille mitä tietoja heistä kerätään ja kuinka niitä käsitellään, sekä tarjoamaan mahdollisuuden tietojen poistamiseen.

Tietoturva puolestaan tarkoittaa tietojen suojaamista luvattomalta käytöltä, häviämiseltä tai vahingoittumiselta. Tietoturvaa tarvitaan kaikilla tasoilla, sillä tietoturvaloukkaukset voivat johtaa vakaviin seurauksiin, kuten henkilökohtaisten tietojen varkauksiin tai tietomurtoihin. Tietoturva on erityisen tärkeää yrityksille, sillä ne käsittelevät usein paljon arkaluontoista tietoa, kuten asiakkaiden henkilötietoja ja liikesalaisuuksia.

Evästeet puolestaan ovat pieniä tiedostoja, joita verkkosivustot tallentavat tietokoneelle käyttäjäkokemuksen parantamiseksi. Evästeet voivat tallentaa käyttäjän valintoja, kuten kieli- ja maa-asetuksia, sekä käyttäjän käyttäytymistä sivustolla. Vaikka evästeet voivat olla hyödyllisiä, ne voivat myös aiheuttaa tietoturvauhan, jos niitä käytetään väärin.

Yhtenäinen tekijä GDPR:n, tietoturvan ja evästeiden välillä on tietojen suojaaminen. On tärkeää, että henkilötietoja käsitellään vain tarvittaviin tarkoituksiin, tietoturvaa parannetaan jatkuvasti ja evästeitä hallinnoidaan huolellisesti. Lisäksi kuluttajan on tärkeää olla tietoinen oikeuksistaan ja seurata tietojensa käsittelyä.

Kuinka tietoturvaa, GDPR-asetuksen noudattamista ja evästeiden käyttöä voisi sitten parantaa?

Haastavinta on varmaankin löytää tasapaino kerättävän datan ja kuluttajan tietosuojan väliltä. Yrittäjän tulisikin pohtia, mitkä tiedot ovat olennaisia liiketoiminnan kannalta, mutta kuinka kerättäisiin mahdollisimman vähän tietoja? Entä kuinka kerättyä dataa tai henkilötietoja käsitellään ja säilytetään oikein?

Tietoturvan parantamiseksi yritysten tulisi panostaa tietoturvakoulutukseen ja -tietoisuuteen sekä toimintatapoihin tietojen käsittelyssä. Tärkeitä asioita näiden ohella ovat myös vahvojen salasanojen käyttö, tietojen varmuuskopioiminen ja päivittäminen, sekä käyttöoikeuksien hallinta. Yrityksen sisällä voidaan siis pohtia, olisiko salasanojen hallintasovelluksesta hyötyä tai kenen vastuulla on verkkosivujen varmuuskopioiminen ja päivittäminen. Entä keillä kaikilla on pääkäyttäjätason oikeudet verkkosivuihin? Ovatko ne aivan välttämättömiä?

GDPR-asetuksen noudattamisessa yritysten tulisi ensin selvittää, mitä henkilötietoja he käsittelevät ja miten niitä käsitellään. Tietojen käsittelyllä tulisi olla selkeä prosessi, joka varmistaa tietosuojan toteutumisen – eli toisinsanoen tietoja käsitellään tietyissä järjestelmissä, tiettyjen ihmisten toimesta ja tarpeettomat tiedot poistetaan. Tiedot tulisi säilyttää sellaisella tavalla, jotta rekisterissä oleva henkilö voisi helposti saada itselleen käsiteltävät tiedot tarkistettavaksi, muutettavaksi tai poistettavaksi.

Evästeiden käytön parantamisessa organisaatioiden tulisi antaa selkeä ja ymmärrettävä tieto evästeiden käytöstä ja tarkoituksesta. Jotkin evästeet ovat välttämättömiä verkkosivuston toiminnan kannalta ja toiset vapaaehtoisia. Käyttäjille tulisi tarjota mahdollisuus hyväksyä tai hylätä vapaaehtoisten evästeiden käyttö. Yritysten on toki mahdollisuus toteuttaa verkkosivut myös täysin ilman evästeitä, mutta tuolloin ei ole saatavissa tietoa sivuilla vierailleista käyttäjistä.

Loppujen lopuksi tietoturvan, GDPR:n noudattamisen ja evästeiden käytön parantaminen vaatii tietoisuutta ja toimia niin yritysten kuin käyttäjienkin taholta. Panostamalla näihin asioihin voidaan varmistaa henkilötietojen suojan toteutuminen, sekä parantaa digitaalisten palveluiden turvallisuutta ja käyttäjäkokemusta.

Lisätietoja näistä aiheista voit lukea esimerkiksi osoitteista www.tietosuoja.fi ja www.kyberturvallisuuskeskus.fi, joista löytyy muun muassa tietoa viimeisimmistä löydetyistä haavoittuvuuksista, tietoturvaloukkauksista, sekä yleistietoa organisaatioiden tietoturvan parantamisesta.

Autamme yrityksiä tietosuojaselosteen laatimisessa sekä evästeiden käyttöönotossa ja evästehallinnoinnin asetuksissa. Ota yhteyttä!