EU:n yleinen tietosuoja-asetus pohjautuu riskilähtöiseen tietosuojan hallintaan. Riskikartoitukset ja tietosuojaa koskevat vaikutustenarvioinnit (Data Protection Impact Assessment, DPIA) auttavat arvioimaan tietosuojaan liittyvät liiketoimintariskit ja kohdistamaan investoinnit oikein. Riskikartoitusten ja vaikutustenarviontien toteuttaminen ja dokumentointi ovat myös tapoja osoittaa, että yritys noudattaa asetuksen velvoitteita.
Autamme riskikartoituksien ja tietosuojaa koskevien vaikutustenarviointien toteuttamisessa. Tarvittavat toimenpiteet räätälöidään havaittujen riskien mukaisesti.
Riskikartoitus
Riskikartoituksen tavoitteena on kartoittaa tietyn palvelun, liiketoimintaprosessin, tietojärjestelmän tai tietojärjestelmäarkkitehtuurin tietosuojariskit. Kartoitus toteutetaan asiakkaan riskienhallintakäytäntöjen mukaisesti menetelminään työpajat, haastattelut ja kyselyt:
- tunnistetaan henkilötietojen ja niiden käsittelyn uhat
- selvitetään keinot riskien hallitsemiseksi
- laaditaan arvio riskeistä
Tietosuojan vaikutustenarviointi (DPIA)
Vaikutustenarvioinnissa arvioidaan esimerkiksi
- henkilötietojen käsittelyn välttämättömyyttä
- käsittelyn tuomia riskejä rekisteröityjen oikeuksille
- toimenpiteitä riskien hallitsemiseksi suunniteltujen käsittelytoimien kuvauksen pohjalta
Arvioinnin lopputulos:
- arvio käsittelytoimien vaikutuksista henkilötietojen suojalle
- lista toimenpiteistä riskien hallitsemiseksi
Lue milloin yrityksen vaikutustenarviointi kannattaa tehdä.
Pyydä arvio riskikartoituksesta tai vaikutustenarvioinnista – ota yhteyttä