26 mai 2017

Lõpp liberaalsusele andmetöötluses

Nortali suurandmete ja masinõppe valdkonna juht Lauri Ilison  Foto: Nortal

Kui avalikest registritest veebis tuleb välja hulgaliselt delikaatseid isikuandmeid, on selge, et asutuse andmehügieeniga pole asjad korras, kirjutavad Nortali suurandmete ja masinõppe valdkonna juht Lauri Ilison (pildil) ning jurist Risto Hübner.

Andmed on tänapäeva must kuld ja digiajastu valuuta. Möödunud nädalavahetusel toimus Tallinnas Balti riikide võimasaim häkaton Baltic Open & Big Data 2017, mille käigus lõi meeskond PSII tehnilise lahenduse, mis aitab avalikest registritest isikuandmeid skaneerida ja tuvastada.

Analüüsides avalikke dokumendiregistreid, mille hulgas töötati läbi enam kui 10 000 dokumenti, hakkasid välja tulema nii tavalised isikuandmed, näiteks inimese nimi, isikukood jne, kui ka delikaatsed isikuandmed. Leitud andmete tundlikkuse tõttu prototüüp suleti ja ühendust võeti andmekaitse inspektsiooniga. Koostöös püütakse olukorda kaardistada ja lahendada.

Projekt PSII ei ole erand. See pigem näitab probleemi mastaapsust – sarnaseid näiteid leiab palju nii era- kui ka avalikust sektorist. Mõelge oma ettevõtte või asutuse peale. Kas teate täpselt, mitmes Exceli tabelis asuvad teie klientide andmed? Kus need Exceli tabelid asuvad? Kas vaid selleks ettenähtud kohas infosüsteemides ja arvutite kõvaketastel või on neid ka salvestatud mõnda failijagamise keskkonda, nagu Dropbox, Goolge Drive või mõnda avalikku e-posti teenusesse?

Üks päev vähem kui aasta pärast läheb käiku uus üle­euroopaline andmekaitse regulatsioon, mis puudutab kõiki ettevõtteid ja asutusi. Praegu on paslik küsida, kas me oleme selleks valmis.

Probleem arvatust suurem

Üks suuremaid murekohti pole mitte tehniline lahendus, vaid just teadlikkuse puudumine – probleemi ulatusest ei ole lihtsalt ülevaadet. Ettevõtteid ja asutusi nõustades näeme sageli, et tulemused üllatavad ka seal andmekaitsega tegelevaid inimesi.

Esimene etapp ongi olukorra kaardistamine ja teadlikkuse suurendamine. Eesmärk ei ole kraane kinni keerata. Eesmärk on teha analüüsile toetudes korrektuurid infosüsteemides, protsessides ning kehtestada asutuse andmehügieen. Ei saa kaduda ülevaade, kus andmed asuvad ja kuidas neid töödeldakse. Iga töötaja peab arvestama, et andmehulk, mida ta käsitleb, võib sisaldada isikuandmeid.

Aastaga tuleb koolitada suurel arvul andmekaitsespetsialiste ja tegeleda mahuka teavitusega. Justiitsministeeriumi andmetel on Eestis 2829 valitsussektori asutust, kellele on andmekaitseametniku kaasamine edaspidi kohustuslik.

Valmistuda tuleb andmete ülekantavuseks, teha infosüsteemides mõjuhinnanguid ning olla valmis andmete kaitse ja privaatsuse põhimõtteid järgima. Aasta möödudes tuleb vastavust üldmääruse nõuetele näidata.

Senine suhteliselt liberaalne andmetöötluspraktika tuleb üle vaadata ja korrastada. Samas annab see võimaluse muuta ettevõtteid konkurentsivõimelisemaks.

Autor: Lauri Ilison Risto Hübner

Hetkel kuum