Suojaa käyttäjien yksityisyys GDPR:n mukaisesti Microsoftin älykkään pilvipalvelun avulla

Ohi

25.5.2018

Tämänpäiväisen julkaisun on kirjoittanut Microsoft 365:n johtaja Alym Rayani.

EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) tuleminen nyt voimaan on yksityisyydensuojan tärkeä merkkipaalu. Elämme aikana, jona digitaalinen teknologia vaikuttaa syvällisesti elämäämme yhteydenpitotavoistamme maailmankuvaamme. Keskeistä tässä digitaalisessa muutoksessa on mahdollisuus tallentaa ja analysoida valtavia tietomääriä ja luoda syvällisiä merkityksellisiä tietoja ja entistä henkilökohtaisempia asiakaskokemuksia. Tämä auttaa meitä saavuttamaan entistä enemmän asioita, mutta se myös jättää laajan tietojäljen, joka sisältää henkilökohtaisia tietoja ja arkaluonteisia yritystietoja, joita on suojattava.

Microsoftin tavoitteena on tarjota jokaisen organisaation kaikille käyttäjille mahdollisuudet saavuttaa entistä enemmän. Luottamus on Microsoftin kaiken toiminnan ytimessä. Olemme pitkään tienneet, etteivät ihmiset käytä teknologiaa, johon he eivät luota. Uskomme myös, että yksityisyys kuuluu ihmisen perusoikeuksiin, ja sitä on suojattava. Kuten Microsoftin tietosuojajohtaja Julie Brill totesi hiljattain blogissaan, Microsoft uskoo, että GDPR vakiinnuttaa maailmanlaajuisesti tärkeitä ja oleellisia periaatteita.

Sen lisäksi, että sitoudumme jatkuvasti yksityisyyden suojaamiseen, olemme tehneet viime vuoden aikana useita investointeja, jotka tukevat GDPR:ää ja yksilöiden oikeutta yksityisyyteen. Seuraavassa on kertaus siitä, miten voit näiden ominaisuuksien avulla johdattaa organisaatiosi GDPR-yhteensopivuuteen.

Yhteensopivuusriskien arviointi ja hallinta

Yhteensopivuuden aikaansaaminen koko organisaatiossa voi olla haastavaa, joten yhteensopivuuteen liittyvien riskien ymmärtämisen tulisi olla ensisijalla. Asiakkaamme ovat kertoneet meille haasteistaan, jotka johtuvat heidän yritystensä sisäisistä puutteista määrittää ja toteuttaa hallintatoimia ja tunnistaa tehottomuuksia valvonnan valmistelussa.

Yhteensopivuuden hallinta– ja Vaatimustenmukaisuuspisteet-toimintojen avulla voit valvoa yhteensopivuustilaa jatkuvasti. Yhteensopivuuden hallinta -toiminto tarjoaa tiedot kaikille Microsoftin komponenteille, jotka on toteutettu tiettyjen vaatimusten täyttämiseksi, kuten käyttöönotto- ja testisuunnitelmatiedot sekä mahdollisesti tarvittavat hallintavastaukset. Se tarjoaa myös suositeltuja toimia, joihin organisaatiosi voi ryhtyä tietosuojaominaisuuksien parantamiseksi ja yhteensopivuusvaatimusten täyttämiseksi.

Näyttökuva Yhteensopivuuden hallinta -toiminnon koontinäytöstä.

Seuraavassa on katsaus siihen, miten Microsoft 365 -asiakas Abrona käyttää Yhteensopivuuden hallintaa:

Henkilökohtaisten tietojen suojaaminen

Ytimeltään GDPR keskittyy kokonaan ihmisten henkilökohtaisten tietojen suojaamiseen – sen varmistamiseen, että näitä tietoja suojataan, hallinnoidaan ja hallitaan niin, ettei niitä käytetä väärin eivätkä ne joudu vääriin käsiin. Jotta voit varmistaa, että organisaatiosi suojaa tehokkaasti henkilökohtaisia tietoja ja organisaation yhteensopivuustarpeiden kannalta oleellisia arkaluonteista sisältöjä, sinun on otettava käyttöön ratkaisuja ja prosesseja, joiden avulla organisaatiosi voi etsiä, luokitella, suojata ja valvoa kaikkein tärkeimpiä tietoja.

Microsoft 365:n tietosuojaominaisuudet, kuten Office 365:n tiedonhallinta ja Azure Information Protection, tarjoavat integroidun luokittelun, otsikoinnin ja suojauskokemuksen. Tämä mahdollistaa tietojen jatkuvan suojauksen riippumatta niiden sijainnista tai siirtotavasta. Ennakoiva tietojenhallintastrategia, jossa henkilökohtaiset ja arkaluonteiset tiedot luokitellaan, tekee mahdolliseksi oleellisten tietojen etsimisen ja tarkan vastaamisen hallinnollisiin pyyntöihin tai vaatimuksiin, kuten GDPR:ään kuuluviin Data Subject Request (DSR) -pyyntöihin.

Näyttökuva suojausasetuksista Tietoturva ja yhteensopivuus -keskuksessa.

Azure Information Protection -skanneri käsittelee hybridejä ja paikallisia skenaarioita mahdollistamalla sellaisten käytäntöjen määrittämisen, jotka automaattisesti havaitsevat, luokittelevat, nimikoivat ja suojaavat asiakirjoja paikallisissa säilöissä, kuten tiedostopalvelimissa ja paikallisissa SharePoint-palvelimissa. Voit ottaa skannerin käyttöön omassa ympäristössäsi noudattamalla tämän teknisen oppaan ohjeita.

Azuren täysin hallinnoidut tietokantapalvelut, kuten Azure SQL -tietokanta, helpottavat tietoympäristön korjaamista ja päivittämistä ja tarjoavat älykkäät sisäiset toiminnot, jotka helpottavat arkaluonteisten tietojen tallennuspaikan tunnistamista. Uudet teknologiat, kuten Azure SQL -tietojen haku ja luokittelu, tarjoavat kehittyneet ominaisuudet arkaluonteisten tietojen hakuun, luokitteluun, otsikointiin ja suojaukseen tietokantatasolla. Voit suojata henkilökohtaisia tietoja esimerkiksi Transparent Data Encryption (TDE) -teknologialla, joka sisältää Bring Your Own Key (BYOK) -tuen ja Azure Key Vault -integroinnin.

Tarkastellaan sitä, miten Microsoft 365 -asiakas INAIL luokittelee, otsikoi ja suojaa arkaluonteisimpia tietojaan Azure Information Protectionin avulla:

Luotettava vastaaminen

Monille organisaatioille on vaikeaa varmistaa, että ne voivat tehokkaasti hallita ja täyttää GDPR-vaatimuksia, kuten vastaamisen DSR-pyyntöihin tai tietomurtoihin.

Pilvipalveluissa olevien GDPR-resurssien käytön helpottamiseksi lisäsimme Tietosuoja-välilehden Service Trust Portaliin viime kuussa. Sen avulla voit valmistella omat DPIA (Data Protection Impact Assessment) -selvityksesi Microsoftin pilvipalveluista ja saat ohjeita DSR-pyyntöihin vastaamiseen. Saat myös tietoja siitä, miten Microsoft tunnistaa henkilökohtaisiin tietoihin kohdistuvat tietomurrot ja vastaa niihin, sekä siitä, miten voit saada vastauksia suoraan Microsoftilta.

Katso uusi Mechanics-video, niin saat lisätietoja Service Trust Portalin GDPR-resursseista.

DSR-pyyntöjä tukevat ominaisuudet

Useat ominaisuudet helpottavat DSR-pyyntöjen tukemista kaikkialla Microsoftin pilvipalveluissa. Näitä ovat esimerkiksi Tietosuoja-välilehti Office 365:ssä, Azure DSR -portaali ja uudet DSR-hakuominaisuudet Dynamics 365:ssä.

Office 365:n uusi Tietosuoja-välilehti, GDPR-koontinäyttö ja DSR-kokemus ovat nyt yleisesti käytettävissä kaikilla kaupallisilla asiakkailla. Tämä ominaisuus tarjoaa työkalut, joilla voit tehokkaasti suorittaa DSR-pyynnön Office 365 -sisältöön, kuten Exchangeen, SharePointiin, OneDriveen, Ryhmiin ja nyt Microsoft Teamsiin.

GlaxoSmithKline-yhtiön Kelly Clay sanoo: ”GDPR 2016/679 on EU-lain määräys, joka koskee kaikkien Euroopan unionin alueen ihmisten tietosuojaa ja yksityisyyttä. GDPR tuo mukanaan EU-kansalaisille myös uuden joukon ”digitaalisia oikeuksia” aikana, jona henkilökohtaisten tietojen taloudellinen arvo digitaalisessa taloudessa nousee. GDPR velvoittaa suuria tietomääriä säilyttävät ja käsittelevät organisaatiot hallinnoimaan DSR-pyyntöjä, ja organisaatiot tarvitsevat Office 365:n tarjoamia työkaluja DSR-pyyntöjen hallintaan.”.

Shook, Hardy & Bacon -asianajotoimiston Patrick Oots havainnoi asiakasorganisaatioitaan ja niiden siirtymistä GDPR-aikaan. ”Olemme tyytyväisiä siihen, että Microsoft investoi Office 365:een. Kun asiakkaamme valmistautuvat GDPR:n vaatimuksiin, näemme, että Data Privacy Portalin tarjoamat työkalut ovat erittäin arvokkaita artiklassa 15 määritettyjen DSR-pyyntöjen hallinnassa. Tietosuojalakien kehittyessä muistutamme Office 365 -asiakkaitamme siitä, miten tärkeää on ottaa tietojenhallintakäytännöt oikein käyttöön Tietoturva ja yhteensopivuus -keskuksessa riskien minimoimiseksi.”. Patrick lisäksi korostaa sitä, miten ennakoiva tietojenhallintastrategia voi auttaa organisaatioita reagoimaan GDPR:n kaltaisin määräyksiin tarvittaessa täsmällisesti.

Näyttökuva GDPR-koontinäytöstä Tietoturva ja yhteensopivuus -keskuksessa.

Azure DSR -portaali on myös nyt yleisesti käytettävissä. Azuren DSR-portaalia käyttämällä vuokraajajärjestelmänvalvojat voivat tunnistaa käyttäjään liittyvät tiedot ja sitten korjata, lisätä, poistaa tai viedä käyttäjän tiedot toisaalle. Järjestelmänvalvojat voivat myös tunnistaa tietoja, jotka liittyvät tiedon kohteeseen ja pystyvät suorittamaan DSR:t järjestelmän luomia lokeja vastaan (tietoja, jotka Microsoft luo tietyn palvelun tarjoamiseksi) Microsoftin pilvipalveluja varten. Uusia Azure-ominaisuuksia ovat Azure Policy, Compliance Manager for Azure GDPR sekä Azure Security and Compliance Blueprint for GDPR.

Saat lisätietoja lukemalla Azure-blogikirjoituksen GDPR-ominaisuuksista.

Näyttökuva Azure Directoryn Tietosuojan käytön aloittaminen -näytöstä.

Dynamics 365:ssä on kaksi hakutoimintoa, jotka tekevät asiakkaille helpommaksi vastata DSR-pyyntöihin: Osuvuushaku ja Henkilöhakuraportti. Osuvuushaku tarjoaa nopean ja helpon tavan haettavien tietojen löytämiseen ja se käyttää Azure-hakua toimintaansa. Henkilöhakuraportti tarjoaa valmiiksi paketoidun joukon laajennettavia kohteita, jotka Microsoft on luonut. Niillä voidaan tunnistaa henkilötiedot, joita on käytetty henkilön määrittämiseen sekä roolit, joita heille on saatettu määrittää.

Lisätietoja on Dynamics 365 -blogikirjoituksessa.

Näyttökuva Dynamics 365:n Osuvuushaku-toiminnosta.

Uusi Windowsin tietosuojakeskus yhdistää osoitteessa docs.microsoft.com olevat Windowsin tietosuojaan liittyvät sisällöt. Siitä löydät esimerkiksi uudet ohjeet IT-päätöksentekijöille GDPR:ään valmistautumista varten, luettelon Windows 10:n palvelujen asetuksista, joita käytetään esimerkiksi henkilökohtaisten tietojen suojaamiseen, ja tietoja Windowsin diagnostiikkatiedoista.

Tietomurtojen käsitteleminen

GDPR:n voimaantulo merkitsee myös entistä tiukempia määräyksiä, joita organisaatioiden on noudatettava tietomurron sattuessa. Microsoft 365 on joukko tehokkaita toimintoja, kuten Office 365 Advanced Threat Protection (ATP) ja Azure ATP, joiden avulla voidaan suojautua tietomurroilta ja tunnistaa ne.

GDPR-prosessin aloittaminen Microsoftin avulla

Microsoftilla on laaja kokemus tietojen suojaamisesta, tietosuojan edistämisestä ja monimutkaisten säännösten noudattamisesta. Microsoft uskoo, että GDPR on tärkeä askel eteenpäin henkilökohtaisten tietosuojaoikeuksien selventämisessä ja käyttöönotossa, ja GDPR:ään liittyvät vakuutuksemme ovat sopimussitoumuksissamme.

Riippumatta siitä, missä vaiheessa GDPR-aikaan siirtymisessä olet, olemme valmiita auttamaan sinua matkallasi GDPR-yhteensopivuuteen. Meillä on monia resursseja, joiden avulla pääset alkuun heti:

Lataa ilmainen tekninen raporttimme ja e-kirja.
Tee ilmainen GDPR-verkkoarviointi.
Etsi GDPR-kumppani.

Lue lisää siitä, miten Microsoft voi auttaa sinua GDPR:n kanssa.