Hallitse myös tietotekniikkajätteen tietoturvaa

Kyberturvallisuuskeskuksessa on Tietoturva Nyt! – osiossa julkaisu tietoteknisten laitteiden kierrättämisestä ja uusiokäytöstä. Julkaisu on tehty Kanta-Hämeen sairaanhoitopiirin toimintatavan pohjalta.

Tietoteknisten laitteiden kierrättäminen ja uudelleenkäyttö unohtuvat monesti organisaatioiden tiedonhallinnassa. Käytön lopettaminen on kuitenkin tärkeä vaihe laitteiden ja tiedon elinkaaressa, sillä hallinnan pettäminen laitteiden elinkaaren lopussa voi mitätöidä aikaisemmat tietoturvan ja tietosuojan eteen tehdyt ponnistelut. Jätelaki edellyttää, että myös tietotekninen jäte käytetään mahdollisimman pitkälti uudelleen ja että jätteiden tuottaja on siitä vastuussa. Huolimattomasti tehtynä uudelleenkäyttö voi kasvattaa tietovuodon riskiä. Tietoturvallisuuden, tietosuojan ja laitteiden uudelleenkäytön ja kierrätyksen vaatimukset ovat kuitenkin sovitettavissa yhteen, kuten Kanta-Hämeen sairaanhoitopiirin esimerkki osoittaa.

Yllättävän monissa laitteissa on tietosäilöjä, joissa olevia tietoja on hallittava turvallisesti. Tietokoneiden, kännyköiden ja muistitikkujen lisäksi niitä on esimerkiksi monissa tulostimissa ja lääkinnällisissä laitteissa. Osa haastetta on tunnistaa kaikki laitteet, joihin on tallentunut suojattavia tietoja. Tietoja tulee käsitellä huolellisesti myös siinä vaiheessa, kun tietoteknisiä laitteita poistetaan käytöstä.

Säädösten raamit

Tietojen turvallista käsittelyä edellyttää paitsi organisaation oma etu (liikesalaisuuksien suojaaminen, oman toiminnan häiriötön jatkuminen, maineriskit tietovuodoista), myös monet säädökset. EU:n yleinen tietosuoja-asetus (EU 2016/679, ”GDPR”) koskee kaikkia henkilötietoja käsitteleviä organisaatioita. Julkisen hallinnon on lisäksi noudatettava tiedonhallintalakia (906/2019) ja viranomaisen julkisuuslakia (621/1999). Monilla aloilla on myös tietojen suojaamista käsittelevää erityissääntelyä.

Jätelaki (646/2011) puolestaan vaatii kaikilta erilliskerätyn elektroniikan uudelleenkäyttöä tai materiaalien kierrättämistä. Tietosuojavaltuutetun toimisto on lausunossaan Dnro 2236/182/2019 todennut, että ”tilanteessa, jossa yritys on käytöstään poistanut laitteen, joka on vielä sisältänyt henkilötietoja, on yritys tästä henkilötietojen tarpeettomasta luovuttamisesta vastuussa”. Kuinka voidaan varmistua siitä, että laitteella olevat suojattavat tiedot eivät paljastu, kun laite annetaan käsiteltäväksi jätteenä?

Hyvin määritelty prosessi toiminnan ytimessä

Kanta-Hämeen sairaanhoitopiiri hallitsee vaatimusten ristivetoa hyvin määritellyllä prosessilla. Prosessi on kuvattu alla olevan linkin takaa löytyvässä kaaviossa. Sairaanhoitopiirin tietoturvapäällikkö Vesa Järvinen ja tietosuojavastaava Katja Rajala kertovat prosessin tavoitteista: ”Rekisterinpitäjänä noudatamme tietosuoja-asetusta ja tietosuojalakia. Salassa pidettäviä tietoja ei paljastu ulkopuolisille, koska prosessissamme laitteet tyhjennetään henkilötiedoista ennen niiden siirtämistä sairaalan ulkopuolelle. Näin pystymme ilman huolia antamaan laitteet myös uudelleenkäyttöön sairaalan ulkopuolelle.”

Pääset lukemaan julkaisun kokonaan: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/hallitse-myos-tietotekniikkajatteen-tietoturvaa