Euroopan unionin yleisen tietosuoja-asetuksen aiheuttamat muutokset organisaatioiden tietoturvapolitiikkoihin

Abstract

EU:n yleistä tietosuoja-asetusta aletaan soveltaa toukokuun 25. päivänä 2018 ja sen aiheuttamat muutokset ovat merkittäviä ja kunnianhimoisia. Se on yksi laaja-alaisimpia EU:n lakimuutoksia viimevuosien ajalta. Yleisen tietosuoja-asetuksen vaikutukset ovat merkittäviä organisaatioille, sillä epäonnistuessaan asetuksen vaatimusten noudattamisessa organisaatio joutuu maksamaan merkittävät sakot, korkeimmillaan joko 4% yrityksen globaalista vuosittaisesta liikevaihdosta tai 20 000 000 euroa riippuen siitä, kumpi on korkeampi. Yleinen tietosuoja-asetus tulee luultavasti vaikuttamaan tietoturvapoliitikkojen kehitykseen, kun yritykset pyrkivät noudattamaan uusia vaatimuksia. Tietoturvapolitiikat sisältävät tyypillisesti yleisiä lausuntoja tavoitteista, uskomuksista, etiikasta ja vastuista, sekä keinot näiden saavuttamiseksi. Politiikat myös tarjoavat hallinnoituja ohjeita siitä, kuinka organisaatio toimii. Politiikat myös osoittavat ne alueet, joihin johdon tulisi kiinnittää erityisesti huomiota. Tietoturvapolitiikkojen tehtävä on myös tarjota johdon ohjausta ja tukea tietoturvallisuuden toteuttamiseen liiketoiminnallisten vaatimusten ja asiaankuuluvien lakien ja asetusten mukaisesti. Tässä tutkielmassa selvitetään yleisen tietosuoja-asetuksen vaikutuksia organisaatioiden tietoturvapolitiikkoihin ja niiden päivittämiseen, sekä selvitetään, mitkä tekijät vaikuttavat organisaation aikomukseen noudattaa lainsäädännön vaatimuksia.

The General Data Protection Regulation (GDPR for short) will apply from 25 May 2018. The GDPR will cause significant and ambitious changes. It is one of the most widely recognized pieces of legislation in the EU during the past years. Its effects on organizations are significant, because failure to comply with the regulation will cause remarkable sanctions to an organization. In the worst case, the sanctions can be up to 4% of an organization's annual global turnover or 20 million euros - whichever is higher. Because of this, many organizations will aim to comply with the regulation. Therefore the GDPR will also have an impact on information security policy development. Information security policies often include statements of goals, beliefs, ethics and responsibilities, but also the means to achieve them. Policies also point out the areas that need particular focus from the management and provide instructions on how an organization functions. They aim to provide guidance for management and support in information security regarding business requirements and legislation. This master’s thesis examines the effects the GDPR will have on information security policies and the development of information security policies, as well as the reasons to comply with the European Union’s legislation.