Antti Nevalainen (Privance) kirjoittaa 12.12 julkaistussa blogi-tekstissään Kuilu-kehyksestä, eli neli-vaiheisesta toimintasuunnitelmasta jonka avulla voi helposti ottaa EU:n uuden tietosuoja-asetuksen vaatimukset käytännöllisesti huomioon. Kuilu-kehystä noudattamalla saat asetuksen mukaisen henkilötietojen hallinnan osaksi projektia.Toimintasuunnitelma jakautuu henkilötietojen määrittelyyn, tietojen analysointiin, toteutuksen suunnitteluun ja testaukseen. Nevalainen käsittelee ensimmäisessä blogi-tekstissään näistä kaksi ensimmäistä vaihetta tarkemmin.
Henkilötietojen määrittely:
Exceliin tulee aluksi listata kaikki henkilötiedot, joita sovelluksessa/tietojärjestelmässä kerätään, käytetään tai jaetaan kolmansille osapuolille. Tässä vaiheessa tulee olla erityisen tarkkana arkaluontoisten henkilötietojen kanssa, sillä niiden kerääminen on lähtökohtaisesti kiellettyä, ja käsittelyn tulee olla hyvin perusteltu.
Tietojen analysointi:
Kun on tiedossa millaisia henkilötietoja sovelluksessa kerätään tulee ne analysoida tietosuoja-asetuksen vaatimusten mukaan. Analysoinnissa tulee selvittää:
- Miten tietoa käytetään
- Kuinka minimoitua tieto on
- Kuka käyttää tietoa
- Kenelle tietoa jaetaan
- Mihin tietoa tallennetaan
- Tiedon säilytysaika
- Lasten henkilötiedot (vain vanhempien suostumuksella)
- Tietojen ylläpito
Lue koko blogi-teksti ja tarkempi ohjeistus täältä