Google sitoutuu EU:n uuteen tietosuoja-asetukseen

Google julkaisi toukokuun alussa The Keyword -kirjoituksen, jossa Suzanne Frey (Director, Security, Trust and Privacy, Google Cloud) ja Marc Crandall (Director of Data Protection and Compliance, Google Cloud) vakuuttavat, että Google on jo aloittanut mittavat toimet täyttääkseen uuden tietosuoja-asetuksen vaatimukset.

Ensi vuoden toukokuussa voimaan astuvalla uudella tietosuoja-asetuksella korvataan Euroopan parlamentin ja neuvoston direktiivi henkilötietojen suojelusta (95/46/EY). Uudella asetuksella vahvistetaan yksilöiden oikeuksia heitä koskevasta datasta, samalla yhtenäistäen henkilötietosuojaa koskevaa lainsäädäntöä Euroopassa.

Jo aiemmin helmikuussa EU:n viranomaiset vahvistivat, että Google Cloud -palveluihin kohdistuvat sopimusvelvoitteet täyttävät täysin EU:n nykyisen tietosuojadirektiivin, joka säätelee henkilötietojen käsittelyä ja liikkuvuutta. Tietosuojavaltuutetut päätyivät lopputulokseen, että Googlen datan käsittely- ja siirtokäytänteet ovat yhdenmukaisia Euroopan komission mallisopimuslausekkeiden kanssa. Voit lukea asiaa tarkemmin käsittelevän, Googlen julkaiseman kirjoituksen täältä.

Käytännössä tämä EU:n viranomaisten vahvistus tarkoittaa, että datan kansainvälisessä liikkuvuudessa, Google Workspace ja Google Cloud Platform -palvelujen käyttäjät voivat luottaa ja turvautua voimassa oleviin mallilsopimusausekkeisiin, eikä tarvetta lisäauktorisoinnille pitäisi olla. Suosittelemme Google Workspace -palvelujen pääkäyttäjille, että EU-mallisopimuslausekkeet käydään lukemassa ja hyväksymässä Googlen Hallintakonsolin kautta, ellei näin vielä ole tehty. Kurkkaa ohjeistus tähän aiemman blogijulkaisumme lopusta.

Google vakuuttaa, että Google Workspace ja Google Platform -palvelujen käyttäjät voivat luottaa siihen, että Google on sitoutunut noudattamaan uuden tietosuoja-asetuksen vaatimuksia, asetuksen astuessa voimaan 25.5.2018. Google tulee tekemään tärkeitä päivityksiä sopimusvelvoitteisiinsa, joilla vastataan suoraviivaisesti uuden tietosuoja-asetuksen vaatimuksiin, erityisesti seuraavilla osa-alueilla ja seuraavin toimenpitein:

  • datan käsittelyehdot päivitetään vastaamaan uusia vaatimuksia
  • varmistetaan ajantasaisimmat 3. osapuolten auditoinnit ja sertifikaatit, mm.  ISO 27001, ISO 27017, ISO 27018, SOC1, SOC2, SOC3
  • Henkilökohtaisen tiedon vientiin liittyviä kyvykkyyksiä kehitetään jatkuvasti
  • Google jatkaa vahvaa painotusta ja investointeja pilvipalvelujensa turvallisuuteen, ongelmatapausten ripeään raportointiin sekä uhkien ennakoivaan havaitsemiseen

Miten sinun tulisi valmistautua?

Voit aloittaa valmistautumisen tulevaan tietosuoja-asetukseen tutustumalla uusiin sopimusehtoihin. Kiinnitä huomiota erityisesti siihen, kuinka uudet ehdot mahdollisesti eroavat organisaatiosi nykyisistä tietosuojaa koskevista velvoitteista. Tiedosta, että tämä saattaa edellyttää sopimusten päivittämistä nykyisten palveluntarjoajien kanssa tai uusien, tiukemmat vaatimukset täyttävien ratkaisujen käyttöönottoa.

Tuleva tietosuoja-asetus on erityisen tiukka henkilötietojen suojasta ja yksilöiden oikeuksista omiin tietoihin. Oletko perillä kaikesta yksilöitä koskevasta datasta, jota organisaatiosi vastaanottaa tai käsittelee? Mikäli tämä prosessi ei ole läpinäkyvä ja sen hallinnassa on aukkoja, tee suunnitelma epäkohtien korjaamiseen. Hyvä alku on ajankohtaisen ja täsmällisen listauksen tekeminen henkilötiedoista, jotka virtaavat organisaatioon. Tiedostamalla nämä asiat, tiedonkäsittelyprosessi on paljon konkreettisemmin hallittavissa ja kehitettävissä. Henkilötietojen inventaariossa voi hyödyntää esimerkiksi Googlen Data Loss Prevention -ratkaisua.

Tutustu Google Workspacenja Google Cloud Platformin läpikäymiin auditointeihin ja kolmansien osapuolten sertifikaatteihin. Voisivatko ne toimia vipuvoimana organisaatiosi omissa compliance-pyrkimyksissä ja viitekehyksen rakentamisessa?

Hyödynnä Gappsia – sinun kumppaniasi pilvessä – ajankohtaisimman tiedon saamiseen ja ajatusten vaihtoon. Kuulet tietosuoja ja tietoturva-aiheesta meiltä paljon lisää vielä syksyllä, kun viestintämme fokus siirtyy tähän aihealueeseen.

Mitä seuraavaksi?

Google jatkaa toimintatapojensa päivittämistä uuden lainsäädännön valossa. He korostavat, että operatiiviset muutokset tehdään yhteistyössä sidosryhmien, kuten asiakkaiden, kumppaneiden ja viranomaisten kanssa. Google on resursoinut ison kansainvälisen tiiminsä, joka koostuu lakiasiantuntijoista ja tuotekehittäjistä, pitämään silmällä muuttuvia vaatimuksia ja niiden täyttymistä.

Google lupaa pian julkaista päivityksen tiedonkäsittelyä koskeviin sopimusvelvoitteisiinsa. He myös aikovat tuottaa tukimateriaalia asiakkaidensa riskien ja vastuiden arvioimisprosesseihin. Google painottaa, että asiakkaiden luottamus on heille ensiarvoisen tärkeää ja organisaatioiden yksityisyyssuoja ja tietoturva ovat etusijalla.

Myös me Gappsilla aiomme keskittyä kesän jälkeisessä viestinnässämme erityisesti tietosuoja-aiheeseen. Tuolloin on varmasti myös Googlen suunnalta enemmän tietoa konkreettisiin toimenpiteisiin liittyen. Pysykää siis kuulolla ja olkaa rohkeasti yhteydessä meihin.