Riskienhallinta

GDPRdesk tarjoaa kattavat riskienhallintatyökalut. Riskienhallinta ei helposti rajaudu vain tietosuojaan liittyviin riskeihin, joten onkin varsin luontaista käyttää myös GDPRdeskin riskienhallintaa esimerkiksi tietoturvariskien, yleisten ICT-riskien tai vaikkapa projektiriskien hallintaan. Tähän riskienhallintamme on myös pyritty suunnittelemaan.

Alustus – Miksi tehdä riskienhallintaa?

Rekisterinpitäjän on AINA arvioitava henkilötietojen käsittelyyn liittyviä riskejä ennen kuin henkilötietojen käsittelyä aletaan tekemään. Joskus tämä tarkoittaa yhden pienen ajatuksen uhraamista sille, miten henkilötietojen käsittely voi rekisteriin tallennettavien henkilöiden osalta vaikuttaa heidän oikeuksiinsa. Joskus tarvitaan tarkempia selvityksiä aina vaikutustenarviointia myöden. Skaala on laaja ja riippuu siitä mitä ollaan tekemässä ja millä laajuudella. Riskienhallinta on myös iso osa vaikutustenarviointien (DPIA) toteuttamista. Riskienhallintaa ei missään nimessä kuitenkaan kannata tehdä vain vaikutustenarvioinnin yhteydessä, vaan se kannattaa ottaa osaksi tietosuojatekemistä myös silloin kun resursseja tai tarvetta raskaisiin vaikutusten arviointeihin ei ole.

Riskienhallintaa voi tehdä monesta syystä. Tietosuojan näkökulmasta yksi tärkein syy on toki se, ettei tehdä mitään laittomuuksia henkilötietoja käsiteltäessä. Hyvänä kakkosena voisi pitää sitä, että osataan kohdistaa rajalliset resurssit oikeisiin asioihin. Eli toisin sanoen osataan priorisoida tietosuojaan liittyvät toimenpiteet niihin kohtiin joissa toimenpiteillä saadaan eniten aikaiseksi. Muita perusteita riskienhallintaan on esimerkiksi:

  • Saadaan parempi kontrolli ympäröivään maailmaan
  • Osataan ennakoida tulevaa – varaudutaan mahdollisesti toteutuviin riskeihin ja valmistaudutaan ennakolta näiden varalta
  • Kyetään välttämään ja minimoimaan yllättäviä seurauksia (mm. rekisteröidyn oikeudet, kustannukset, maineen menetys, fyysiset vahingot, jne.).
  • Voidaan säästää turhasta tekemisestä

Yleistä riskienhallinnasta GDPRdeskissä

GDPRdesk ei pyri pakottamaan organisaatiota tekemään riskienhallintaa millään omalla erityisellä prosessillaan. Jokaisella organisaatiolla on omat riskienhallinnan käytäntönsä, joten kaikkien erilaisten prosessien tukeminen olisi mahdotonta. Sen sijaan GDPRdesk pyrkii tarjoamaan yleisluontoiset ja joustavat työkalut, joiden avulla organisaatiot voivat käyttää GDPRdeskiä oman organisaationsa riskienhallinnan käytäntöjä tukemaan.

Esimerkiksi:

  • GDPRdesk ei pakota mihinkään riskikatselmointeihin vaan tarjoaa työkalut mm. toimenpiteiden avulla järjestää ja aikatauluttaa kokouksia ja työkalut, joiden avulla riskeille voidaan ko. katselmoinnissa kirjata tarvittavat lisätiedot.
  • Toisaalta GDPRdesk ei yritä vastuuttaa riskiin liittyviä asioita automaattisesti kellekään (toki omistaja tieto on jokaiselle riskille kirjattu). Sen sijaan riskille voidaan liittää toimenpiteitä, joiden avulla voi riskiin liittyviä vastuita jakaa eteenpäin organisaatiossa.

Riskit pääsivu

Riskit pääsivun kautta näet kokonaistilanteen GDPRdeskiin tallennetuista riskeistä.

Riskit pääsivu sisältää seuraavat toiminnot:

  • Avoimia riskejä riskiluokittain näkymästä näet kuinka paljon milläkin vakavuusasteella on sinulle näkyviä riskejä per riskiluokka
  • Rekistereitä koskevat riskit näkymästä näet kuinka paljon sinulle näkyviin rekistereihin liittyy riskejä
  • Järjestelmiä koskevat riskit näkymästä näet kuinka paljon sinulle näkyviin järjestelmiin liittyy riskejä
  • Sivun alalaidassa näet listauksen kaikista riskeistä joihin sinulla on GDPRdeskissä oikeudet.
    • Klikkaamalla yksittäistä riskiä voit avata ko. riskin tietokortin.
    • Riskin tietokortille pääsee myös klikkaamalla riskiä esim. rekisterin tai järjestelmän alla olevasta riskilistauksesta.

Riskin tietokortti

Riskin tietokortti sisältää toiminnot riskin kirjaamiseksi, luokittelemiseksi ja analysoimiseksi.

Tietokortin ylälaidan tilannekuvanäkymässä voit nähdä:

  1. Riskin nimen ja tunnisteen
  2. Riskin tilan
  3. Mihin organisaatioon riski on liitetty
  4. Riskille kirjatut lisätiedot
  5. Riskiin liitetyt toimenpiteet

Riskin perustiedot osiossa voit syöttää riskin tiedot. Muutamia nostoja tietojen ylläpidosta:

  • Riskin todennäköisyys ja Seurausten vakavuus kenttien avulla lasketaan Riskin suuruus. Näiden avulla riskin suuruus myös näytetään oikean reunan riskimatriisissa (harmaa ruutu)
  • Riskiluokka voidaan valita GDPRdeskiin ennalta syötetyistä riskiluokista. Pääkäyttäjä voi muokata riskiluokkia pääkäyttäjätyökalujen Riskiluokka kohdasta.
  • Riski voidaan liittää järjestelmään tai rekisteriin. Mikäli riski on liitetty johonkin järjestelmään tai rekisteriin näkyy se ko. järjestemän tai rekisterin tietokortilla Riskit osiossa.

Anna palautetta!

Oliko ohjeessamme virhe?
Tuliko ajatus miten voisimme tuotettamme entistä paremmaksi?
Risut ja ruusut ovat meille kultaakin arvokkaampia!
gdprdesk.support@soulcore.fi