EU:n tietosuoja-asetus 2016/679 (GDPR) ohjelmistoyrityksessä
Rikkonen, Esko (2017)
Rikkonen, Esko
Metropolia Ammattikorkeakoulu
2017
Creative Commons Attribution-NonCommercial-ShareAlike 1.0 Suomi
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2017111717298
https://urn.fi/URN:NBN:fi:amk-2017111717298
Tiivistelmä
Insinöörityössä tavoitteena oli tutustua EU:n tietosuoja-asetukseen 2016/679 sekä selvittää, millaisia vaatimuksia se aiheuttaa työn tilanneessa ohjelmistoyrityksessä ja suunnitella ja toteuttaa osa muutostöistä. Työn tavoitteet suunniteltiin yhdessä tilaajayrityksen kanssa.
Työn aikana selvitettiin tietosuoja-asetuksen sisältöä ja sitä, miltä osin se kohdistuu yritykseen ja kuinka asetuksen ehdot käytännössä toteutettaisiin. Selvityksen aikana pyrittiin muodostamaan selkeä kuva siitä, missä asetuksen määrittämissä rooleissa yritys toimii ja mitkä niistä muodostuvat vastuut ovat. Pyrittiin myös muodostamaan käsitys yrityksen asiakkaiden tulevista tarpeista, joiden perusteella yrityksen ohjelmistotuote voitaisiin valmistella vastaamaan asetuksen vaatimuksia.
Selvityksen perusteella yritykselle tehtiin nykytila-analyysi, jolla pyrittiin dokumentoimaan yrityksen tietoturvakäytännöt ja määrittämään, mitä puutteita yrityksen hallinnollisissa ja teknisissä tietoturva ja -suojakäytännöissä on. Analyysin perusteella priorisoitiin kehitysprojekteja yrityksen toimintatapojen ja ohjelmistotuotteen parantamiseen.
Työn tuloksena luotiin uusia ominaisuuksia työn tilaajan ohjelmistotuotteeseen. Näitä olivat rekisteröityjen suostumuksen pyyntö ja tiedotus heidän oikeuksistaan, oikeus tulla unohdetuksi ja tietojen siirto. Lisäksi tarkastettiin ja laajennettiin tilaajayrityksen tietoturvasuunnitelmaa, tietoturvaesitettä ja tietoturvaohjeistusta yrityksen henkilöstölle ja asiakkaille.
Työn aikana selvitettiin tietosuoja-asetuksen sisältöä ja sitä, miltä osin se kohdistuu yritykseen ja kuinka asetuksen ehdot käytännössä toteutettaisiin. Selvityksen aikana pyrittiin muodostamaan selkeä kuva siitä, missä asetuksen määrittämissä rooleissa yritys toimii ja mitkä niistä muodostuvat vastuut ovat. Pyrittiin myös muodostamaan käsitys yrityksen asiakkaiden tulevista tarpeista, joiden perusteella yrityksen ohjelmistotuote voitaisiin valmistella vastaamaan asetuksen vaatimuksia.
Selvityksen perusteella yritykselle tehtiin nykytila-analyysi, jolla pyrittiin dokumentoimaan yrityksen tietoturvakäytännöt ja määrittämään, mitä puutteita yrityksen hallinnollisissa ja teknisissä tietoturva ja -suojakäytännöissä on. Analyysin perusteella priorisoitiin kehitysprojekteja yrityksen toimintatapojen ja ohjelmistotuotteen parantamiseen.
Työn tuloksena luotiin uusia ominaisuuksia työn tilaajan ohjelmistotuotteeseen. Näitä olivat rekisteröityjen suostumuksen pyyntö ja tiedotus heidän oikeuksistaan, oikeus tulla unohdetuksi ja tietojen siirto. Lisäksi tarkastettiin ja laajennettiin tilaajayrityksen tietoturvasuunnitelmaa, tietoturvaesitettä ja tietoturvaohjeistusta yrityksen henkilöstölle ja asiakkaille.