ISO 27701 -standardin tietosuojakontrollien testaus GDPR:n osoitusvelvollisuutta varten

Perjantain tietosuoja-auditointi paljasti todellisen ongelman
Kello on perjantaina 15.40, kun Maria, nopeasti kasvavan SaaS-yhtiön tietoturvajohtaja, liittyy videokokoukseen suuren yritysasiakkaan hankintajohtajan kanssa.
Hänen tiiminsä on työskennellyt kuukausia henkilötietojen hallintajärjestelmän parissa. Politiikat on hyväksytty. Käsittelytoimien rekisteri on olemassa. Yhtiöllä on ISO 27701 -valmiussuunnitelma. Tietosuojavastaavalla on työnkulut rekisteröityjen pyyntöjä varten. Lakitiimi on päivittänyt tietojenkäsittelysopimukset. Engineering-tiimin mukaan tuotantoympäristön käyttöoikeudet on rajattu.
Hankintajohtaja aloittaa kohteliaasti mutta suoraan.
”Kiitos dokumentaatiosta, Maria. Sertifikaatti ja politiikkapaketti ovat hyvä lähtökohta. Due diligence -tiimimme tulee paikan päälle ensi kuussa. He haluavat nähdä DSAR-prosessinne käytännössä, varmistaa tietojen minimointikontrollit testitileillämme, katselmoida tuotannon käyttölokit ja tarkastaa näytön siitä, että tietosuojakontrollit on testattu eikä vain dokumentoitu.”
Muutamassa minuutissa Maria saa kaksi uutta viestiä.
Tietosuojavastaava kysyy, kattaako käsittelytoimien rekisteri, oikeusperusteen arviointi, säilytysaikataulu ja henkilötietojen käsittelijöille ketjutettavat velvoitteet uuden analytiikkaominaisuuden.
Vaatimustenmukaisuuspäällikkö kysyy, pystyykö ISO 27701:2025 -valmiuskatselmointi osoittamaan, että PIMS-kontrollit toimivat tehokkaasti.
Tässä kohdassa moni tietosuojaohjelma horjuu. Organisaatiolla on tietosuoja-asiakirjoja, mutta ei tietosuojanäyttöä. Sillä on työnkulkuja, mutta ei otoksiin perustuvaa näyttöä. Sillä on sopimuksia, mutta seurantanäyttö on heikkoa. Sillä on sisäistä luottamusta, mutta ei puolustettavissa olevaa auditointijälkeä.
Tämä ero erottaa paperilla olevan vaatimustenmukaisuuden osoitettavasta osoitusvelvollisuudesta.
GDPR tekee ongelman selväksi. Rekisterinpitäjä vastaa tietosuojaperiaatteiden noudattamisesta ja sen on kyettävä osoittamaan noudattaminen. Henkilötietoja on käsiteltävä lainmukaisesti, kohtuullisesti ja läpinäkyvästi, määriteltyihin tarkoituksiin, vain tarpeellisessa laajuudessa, täsmällisesti, vain tarvittavan ajan säilyttäen sekä asianmukaisin teknisin ja organisatorisin toimenpitein suojattuna.
ISO 27701:2025 antaa organisaatioille tietosuojan hallintarakenteen. ISO/IEC 27001:2022 antaa ISMS-rungon soveltamisalalle, riskien käsittelylle, operatiiviselle ohjaukselle, sisäiselle auditoinnille, johdon katselmoinnille ja jatkuvalle parantamiselle. GDPR asettaa oikeudellisen osoitusvelvollisuuden taakan. NIS2, DORA, NIST CSF 2.0, COBIT 2019 -tyyppinen varmennus ja asiakkaiden tietoturvakatselmoinnit lisäävät painetta osoittaa, että kontrollit toimivat.
Clarysecin näkemys on yksinkertainen: tietosuojakontrollien testauksen ei tulisi olla vuosittainen kuvakaappausten metsästys. Sen tulisi olla PIMS-näyttöjärjestelmä, joka yhdistää käsittelytoimet, sovellettavat kontrollit, riskit, otokset, tekniset tarkastukset, havainnot, CAPA-toimenpiteet ja johdon katselmoinnin yhdeksi jäljitettäväksi malliksi.
Tässä Clarysecin PIMS-politiikkakokonaisuudesta, Zenith Blueprint: An Auditor’s 30-Step Roadmap -materiaalista ja Zenith Controls: The Cross-Compliance Guide -oppaasta tulee operatiivisia työkaluja, ei hyllyyn jäävää aineistoa.
Tietosuojakontrollien testaus yhdistää politiikan ja osoitusvelvollisuuden
Tietosuojakontrollin testi vastaa kolmeen käytännön kysymykseen:
- Onko kontrolli suunniteltu täyttämään tietosuojavelvoite tai pienentämään tietosuojariskiä?
- Onko kontrolli toteutettu asianomaisessa prosessissa, järjestelmässä, tiimissä, toimittajalla tai tuotteen työnkulussa?
- Toimiiko kontrolli tehokkaasti ajan kuluessa, ja onko siitä näyttöä, joka täyttäisi auditoijan, asiakkaan, valvontaviranomaisen tai hallituksen valiokunnan odotukset?
SaaS-yhtiö voi sanoa tukevansa poistopyyntöjä. Suunnittelutesti tarkastaa, onko poistamispolitiikka, digitaalisen identiteetin varmentaminen, omistajuusmalli, henkilötietojen käsittelijöiden koordinointi, säilytyspoikkeukset ja varmuuskopioiden käsittely määritelty. Toiminnan tehokkuuden testi ottaa otoksen toteutetuista poistopyynnöistä, vertaa aikaleimoja, tarkastaa hyväksynnät, katselmoi järjestelmälokit, varmistaa alikäsittelijöille tehdyt jatkoilmoitukset ja vahvistaa sulkemisen todentavan näytön.
PIMS-seuranta-, auditointi- ja parantamispolitiikka muuttaa tämän auditoitavaksi vaatimukseksi:
[Molemmat] Sisäisen auditoinnin / vaatimustenmukaisuuden arvioijan TULEE testata sovellettavien PIMS-kontrollien toteutustila REG03:n perusteella jokaisessa PIMS-auditoinnissa.
Kohdasta ”PIMS:n sisäinen auditointiohjelma”, politiikan lauseke 4.2.5.
Ilmaisu ”REG03:n perusteella” on keskeinen. Testaus ei ole vapaamuotoinen haastattelu. REG03 toimii PIMS-kontrollien soveltuvuus- ja toteutusviitteenä. Se osoittaa, mikä soveltuu, miksi se soveltuu ja mistä tulisi olla näyttöä.
Sama politiikka lisää:
[Molemmat] Sisäisen auditoinnin / vaatimustenmukaisuuden arvioijan TULEE kirjata valittu henkilötietojen käsittelyä koskeva näyttöotos REG12:een jokaisessa PIMS-auditoinnissa.
Kohdasta ”PIMS:n sisäinen auditointiohjelma”, politiikan lauseke 4.2.6.
Tämä on ISO 27701:2025 -standardin mukaisen tietosuojakontrollien testauksen ydin. PIMS-auditointi ilman otosta on keskustelu. PIMS-auditointi, jossa on valittu näyttö, kontrollikartoitus, poikkeukset, korjaavat toimenpiteet ja johdon katselmoinnin jäljitettävyys, on osoitusvelvollisuutta.
Aloita soveltamisalasta, roolista ja käsittelyn todellisuudesta
Useimmat heikot tietosuoja-auditoinnit epäonnistuvat ennen kuin testaus alkaa. Niissä valitaan yleisiä kontrolleja varmistamatta, mitä henkilötietoja käsitellään, missä ne sijaitsevat, mitkä järjestelmät ja toimittajat niihin liittyvät ja toimiiko organisaatio rekisterinpitäjänä, henkilötietojen käsittelijänä, yhteisrekisterinpitäjänä vai alikäsittelijänä.
GDPR-velvoitteet riippuvat vahvasti roolista. Rekisterinpitäjällä, joka päättää miksi ja miten henkilötietoja käsitellään, on eri velvoitteet kuin henkilötietojen käsittelijällä, joka toimii asiakkaan dokumentoitujen ohjeiden perusteella. Myös tietojen arkaluonteisuudella on merkitystä. Työntekijöiden henkilötiedot, asiakastilien tiedot, telemetria, taloustiedot, biometrinen tunnistaminen, terveystiedot, pakoteseulonta ja rikostuomioihin tai rikkomuksiin liittyvät tiedot eivät muodosta samaa riskiä.
Vahva ISO 27701:2025 -testausohjelma alkaa kurinalaisesta soveltamisalan määrittelystä.
| Soveltamisalakysymys | Tarkastettava näyttö | Miksi se on tärkeää |
|---|---|---|
| Mitkä henkilötietojen käsittelytoimet kuuluvat soveltamisalaan? | Käsittelytoimien rekisteri, tietovirtojen kartta, järjestelmäinventaario, toimittajarekisteri | Testauksen on otettava otoksia todellisesta käsittelystä, ei abstrakteista politiikkalausunnoista |
| Mikä PIMS-rooli soveltuu? | Rekisterinpitäjän, henkilötietojen käsittelijän, yhteisrekisterinpitäjän ja alikäsittelijän kartoitus | GDPR-velvoitteet ja PIMS-kontrollit vaihtelevat roolin mukaan |
| Mitkä lakisääteiset, sopimusperusteiset ja sääntelyvelvoitteet soveltuvat? | GDPR-arviointi, asiakkaiden tietojenkäsittelysopimukset, toimialasäännöt, siirtoarvioinnit | Kontrollin suunnittelun on vastattava todellisia velvoitteita |
| Mitkä järjestelmät ja toimittajat käsittelevät henkilötietoja? | Omaisuusluettelo, pilvi-inventaario, henkilötietojen käsittelijöiden luettelo, käyttöoikeusmatriisi | Toimintatestit tarvitsevat teknistä ja kolmansien osapuolten näyttöä |
| Mitkä muutokset vaikuttavat henkilötietojen käsittelyyn? | Tuotemuutostallenteet, DPIA-herätteet, julkaisutiedotteet, arkkitehtuurikatselmoinnit | Sisäänrakennettu tietosuoja on testattava ennen julkaisua, ei vasta reklamaatioiden jälkeen |
ISO/IEC 27001:2022 tukee tätä integroitua lähestymistapaa organisaation toimintaympäristöä, sidosryhmien vaatimuksia, lakisääteisiä ja sopimusvelvoitteita, hallintajärjestelmän soveltamisalaa, operatiivista suunnittelua ja riskien käsittelyä koskevien vaatimustensa kautta. Tietosuojassa tämä tarkoittaa, ettei henkilötietojen käsittely voi olla irrallisessa taulukossa. Sen on oltava osa ISMS- ja PIMS-toimintamallia.
Henkilötietojen hallintajärjestelmäpolitiikka kytkee tietosuojatestauksen suoraan hallinnointiin:
[Kaikki] Ylimmän johdon TULEE katselmoida PIMS:n suorituskyky, tietosuojatavoitteet, avoimet riskit, poikkeamat, korjaavat toimenpiteet ja parantamispäätökset REG12:ssa vuosittain.
Kohdasta ”PIMS:n hallinnointi”, politiikan lauseke 6.1.1.
Jos testaus tunnistaa tietosuojapuutteen, kyse ei ole vain auditointihuomiosta. Se on hallintajärjestelmän syöte, jonka tulisi vaikuttaa riskien käsittelyyn, prioriteetteihin, resursseihin ja johdon päätöksiin.
Suunnittelun toimivuus ja toiminnan tehokkuus
Kun asiakas kysyy, testataanko tietosuojakontrolleja, hän tarkoittaa yleensä toiminnan tehokkuutta. Auditoijat tarkastelevat kuitenkin myös suunnittelun toimivuutta.
Suunnittelultaan toimiva kontrolli kykenee täyttämään vaatimuksen, jos se suoritetaan tarkoitetulla tavalla. Toiminnaltaan tehokas kontrolli suoritetaan tosiasiallisesti johdonmukaisesti ja sitä tukee näyttö.
| Kontrollialue | Suunnittelun toimivuuden testi | Toiminnan tehokkuuden testi |
|---|---|---|
| Suostumuksen kerääminen | Varmista politiikka, suostumusteksti, oikeusperustesäännöt, käyttöliittymävaatimukset ja suostumuksen peruuttamisen työnkulku | Ota otos suostumuskirjauksista ja peruutuksista, vertaa aikaleimoja ja varmista estolistaus peruutuksen jälkeen |
| Käyttötarkoitussidonnaisuus | Katselmoi RoPA, tietosuojaseloste, tuotevaatimukset, suostumusten erottelu ja tietojen käyttösäännöt | Ota otos käyttäjätietueista, lokeista, vienneistä ja analytiikkavirroista varmistaaksesi, ettei henkilötietoja käytetä luvattomiin tarkoituksiin |
| Pääsy henkilötietoihin | Katselmoi pääsynhallintapolitiikka, roolimalli, JML-menettely ja hyväksyntätyönkulku | Ota otos käyttäjistä, joilla on pääsy henkilötietoihin, ja varmista hyväksyntä, liiketoimintatarve, MFA ja viimeaikainen käyttöoikeuskatselmointi |
| Henkilötietojen käsittelijän käyttöönotto | Katselmoi due diligence -kriteerit, tietojenkäsittelysopimuksen ehdot, alikäsittelijäsäännöt ja siirron suojatoimet | Ota otos käsittelijästä ja tarkasta arviointi, sopimus, tietoturvakatselmointi ja alikäsittelijöiden seurantanäyttö |
| Säilytys ja poistaminen | Katselmoi säilytysaikataulu, poikkeussäännöt, poistamismenettely ja järjestelmän kyvykkyys | Ota otos poistetuista tietueista tai poistopyynnöistä ja tarkasta lokit, tiketit ja käsittelijöiden vahvistukset |
| Tietoturvaloukkauksen käsittely | Katselmoi poikkeamaluokittelu, tietosuojan eskalointi ja viranomaisilmoituksen kriteerit | Ota otos poikkeamatallenteista ja varmista triage, päätösten perustelut, ilmoitukset ja opit |
Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka ilmaisee tarkoituksen suoraan:
Varmistaa tietoturva- ja tietosuojakontrollien tehokkuus
Kohdasta ”Tarkoitus”, politiikan lauseke 1.1.1.
SME-versio säilyttää saman varmentamisperiaatteen operatiivisella kielellä. Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka - SME toteaa:
Tämä politiikka määrittää organisaation lähestymistavan sisäisten auditointien, tietoturvakontrollien katselmointien ja vaatimustenmukaisuuden seurannan toteuttamiseen. Se varmistaa, että kaikki kontrollit, politiikat, järjestelmät ja palveluntarjoajat katselmoidaan säännöllisesti ja rakenteellisesti.
Kohdasta ”Tarkoitus”, politiikan lauseke 1.1.
ISO 27701 -valmiudessa ei ole kyse organisaation koosta. 30 hengen SaaS-käsittelijä ei välttämättä tarvitse samoja auditointityökaluja kuin globaali pankki, mutta senkin on osoitettava, että pääsy, poistaminen, poikkeamien eskalointi, alikäsittelijöiden hallinnointi ja näytön säilytys ovat hallinnassa.
Clarysecin näyttöketju: REG03, REG12, CAPA ja katselmointi
Clarysec rakentaa tietosuojakontrollien testauksen yksinkertaisen näyttöketjun ympärille.
REG03 määrittää sovellettavat PIMS-kontrollit ja toteutustilan. REG12 tallentaa otokset, näytön, havainnot, jäljitettävyysaukot, korjaavien toimenpiteiden varmennuksen ja johdon katselmoinnin syötteet. CAPA-tallenteet muuttavat havainnot juurisyyperusteisiksi parannuksiksi. Ylin johto katselmoi PIMS:n suorituskyvyn, riskit, poikkeamat, korjaavat toimenpiteet ja parantamispäätökset.
PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka edellyttää näytön laatuongelmien kirjaamista:
[Kaikki] Sisäisen auditoinnin / vaatimustenmukaisuuden arvioijan TULEE kirjata näytön täydellisyyteen, täsmällisyyteen tai jäljitettävyyteen liittyvät puutteet REG12:een jokaisessa aikataulutetussa auditoinnissa tai vaatimustenmukaisuuskatselmoinnissa.
Kohdasta ”Näytön luominen, nimeäminen ja laatu”, politiikan lauseke 4.3.4.
Tämä on tärkeää, koska kaikki havainnot eivät ole varsinaisia kontrollin epäonnistumisia. Joskus kontrolli toimi, mutta näyttö on puutteellinen. Joskus poistotiketin tila on suljettu, mutta mikään järjestelmäloki ei osoita poistamista. Joskus käsittelytoimien rekisteri mainitsee CRM:n, mutta ei tietovaraston vientiä. Joskus toimittajasopimus on olemassa, mutta jatkuva seuranta puuttuu.
Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka edellyttää myös rakenteellisia sisäisiä auditointeja:
Sisäisten auditointien tulee noudattaa dokumentoitua menettelyä, johon sisältyy:
Kohdasta ”Politiikan toteutusvaatimukset”, politiikan lauseke 6.1.1.
Ja kun havaintoja tehdään:
Kaikkien havaintojen tulee johtaa dokumentoituun CAPA:an, joka sisältää:
Kohdasta ”Politiikan toteutusvaatimukset”, politiikan lauseke 6.2.1.
Riskienhallintapolitiikka - SME vahvistaa sulkemiskuria:
Käsittelytoimien valmistuminen ja tehokkuus on varmennettava.
Kohdasta ”Politiikan toteutusvaatimukset”, politiikan lauseke 6.3.2.
PIMS-seuranta-, auditointi- ja parantamispolitiikka sulkee silmukan:
[Kaikki] Sisäisen auditoinnin / vaatimustenmukaisuuden arvioijan TULEE varmistaa korjaavan toimenpiteen tehokkuus REG12:ssa 30 päivän kuluessa ilmoitetusta korjaavan toimenpiteen sulkemisesta.
Kohdasta ”Poikkeama ja korjaava toimenpide”, politiikan lauseke 4.4.7.
Tämä erottaa tiketin korjaamisen hallintajärjestelmän parantamisesta.
Käytännön testi 1: poistopyynnöt ja GDPR:n osoitusvelvollisuus
Poistopyynnöt ovat yksi selkeimmistä tavoista testata, toimiiko tietosuojan osoitusvelvollisuus käytännössä.
Oletetaan, että keskisuuri SaaS-yhtiö toimii sekä rekisterinpitäjänä että henkilötietojen käsittelijänä. Se hallitsee työntekijöiden, markkinoinnin ja laskutuksen tietoja. Se käsittelee asiakasorganisaatioiden loppukäyttäjien tietoja yritysasiakkaiden puolesta. Organisaatio haluaa testata, ovatko poistamiskontrollit valmiita ISO 27701:2025 -auditointiin ja GDPR:n mukaiseen asiakasvarmennukseen.
Vaihe 1: Valitse käsittelytoimi REG03:sta
Valitse käsittelytoimi, jossa on todellinen tietosuojariski, esimerkiksi ”asiakkaan loppukäyttäjän profiilitiedot, joita käsitellään SaaS-alustassa”. Varmista, toimiiko organisaatio rekisterinpitäjänä, henkilötietojen käsittelijänä vai molempina. Tunnista linkitetyt kontrollit rekisteröidyn oikeuksien käsittelylle, käsittelijän ohjeiden validoinnille, säilytykselle, poistamiselle, pääsynhallinnalle, lokitukselle, varmuuskopioiden käsittelylle ja toimittajakoordinoinnille.
Vaihe 2: Määritä täsmällinen testitavoite
Hyödyllinen testitavoite on täsmällinen ja näyttöön perustuva:
”Varmista, että asiakkaan loppukäyttäjän profiilitietoja koskevat poistopyynnöt vastaanotetaan, todennetaan tai validoidaan asiakkaan ohjeiden perusteella, käsitellään määritellyssä työnkulussa, kirjataan lokiin, toteutetaan teknisesti tuotantojärjestelmissä, välitetään tarvittaessa asianomaisille alikäsittelijöille ja suljetaan näytön perusteella.”
Vaihe 3: Poimi edustava otos
Valitse viisi poistopyyntöä viimeiseltä vuosineljännekseltä. Sisällytä yksi rutiinipyyntö, yksi asiakkaan ylläpitäjää koskeva pyyntö, yksi käsittelijän ohjeeseen perustuva pyyntö, yksi säilytyspoikkeuksen sisältävä pyyntö ja yksi varmuuskopioiden käsittelyyn liittyvä pyyntö.
Zenith Blueprint korostaa Audit, Review & Improvement -vaiheen vaiheessa 26: Audit Execution otannan ja näytön keräämisen merkitystä:
✓ Haastattele asiaankuuluvaa henkilöstöä: Pyydä prosesseista vastaavia henkilöitä selittämään, miten he täyttävät vaatimukset. Kysy esimerkiksi riskinomistajalta viimeisimmästä riskien arvioinnista tai HR:ltä, miten uudet työntekijät koulutetaan tietoturvaan (kattaaksesi kontrollin 6.3 tietoisuudesta).
✓ Katselmoi dokumentaatio: Tarkista, että asiakirjat ja tallenteet ovat olemassa ja ajan tasalla.
✓ Havainnoi käytäntöjä: Jos mahdollista, tee suora havainnointi.
✓ Ota otoksia ja tee pistokoetarkastuksia: Et voi tarkistaa kaikkea, joten käytä otantaa.
Audit, Review & Improvement -vaiheesta, Step 26: Audit Execution (Conducting an Internal Audit).
Vaihe 4: Tarkasta näyttö jokaisesta otoksesta
Kerää jokaisesta otokseen valitusta pyynnöstä vastaanottotietue, rooliluokittelu, identiteetin varmentaminen tai asiakkaan valtuutus, järjestelmän poistamisloki, säilytyspoikkeusta koskeva päätös, varmuuskopioiden käsittelyn selitys, alikäsittelijäilmoitus, sulkemisviestintä, aikaleimat ja katselmoijan hyväksyntä.
Vaihe 5: Kirjaa tulokset REG12:een
Kirjaa otos, näytön lähde, kontrollin tulos, poikkeus ja jäljitettävyysaukko REG12:een. Jos poistaminen tapahtui, mutta tuotantolokia ei ole, kontrolli on voinut toimia mutta näyttö on heikkoa. Jos pyyntö viivästyi siksi, että toimittajavastuu oli epäselvä, havainto voi liittyä kolmansien osapuolten hallinnointiin ja sopimusvelvoitteiden ketjuttamiseen.
Vaihe 6: Luo CAPA ja varmista tehokkuus
Jos juurisyy on epäselvä omistajuus tuen, lakitiimin ja engineering-tiimin välillä, CAPA voi sisältää päivitetyn työnkulun, päivitetyn RACI:n, pakolliset näyttökentät ja kuukausittaiset poistopyyntöjen otantatarkastukset.
Zenith Blueprint selittää sulkemisodotuksen Audit, Review & Improvement -vaiheen vaiheessa 29:
Suunnittele, miten varmistat kunkin korjaavan toimenpiteen tehokkuuden. Tämä voi tarkoittaa seurantaauditoinnin tai tarkastuksen aikatauluttamista. Jos korjaava toimenpide oli esimerkiksi kouluttaa IT-henkilöstöä pääsynhallinnasta, voit suunnitella uusien tilien katselmoinnin kuukauden kuluttua sen varmistamiseksi, että kaikilla on asianmukaiset hyväksynnät (varmennus).
Audit, Review & Improvement -vaiheesta, Step 29: Continual Improvement (Corrective Actions & Lessons Learned).
Poistamisen osalta varmennus voi tarkoittaa seuraavien viiden poistopyynnön otantaa sen jälkeen, kun päivitetty työnkulku on otettu tuotantokäyttöön. Vasta sen jälkeen CAPA tulisi sulkea.
Käytännön testi 2: käyttötarkoitussidonnaisuus ja tietojen minimointi
Toinen arvokas testi koskee käyttötarkoitussidonnaisuutta. Se on erityisen hyödyllinen ennen asiakkaan due diligence -arviointia, analytiikkajulkaisuja, AI-rikastamista, tietovaraston laajentamista tai markkinoinnin automaation muutoksia.
Marian SaaS-alusta kerää asiakkaiden käyttäjätietoja palvelun tuottamista varten. Kontrollitavoite on varmistaa, että henkilötietoja käytetään vain määriteltyihin ja oikeutettuihin tarkoituksiin eikä niitä käytetä uudelleen markkinointianalytiikkaan, ellei käyttäjä ole antanut nimenomaista ja erillistä suostumusta silloin, kun sitä vaaditaan.
| Näyttötyyppi | Erityiset artefaktit |
|---|---|
| Dokumentaatio | Tietosuoja- ja yksityisyydensuojapolitiikka, RoPA, asiakkaan tietojenkäsittelysopimus, tietosuojaselosteet, suostumustenhallinnan tallenteet |
| Tekninen konfiguraatio | Sovelluksen tietojenkäsittelysäännöt, tietokantaskeemat, ohjelmointirajapintojen konfiguraatiot, ETL-ajojen asetukset |
| Lokit ja tallenteet | Sovelluksen käyttölokit, tietokantakyselyjen lokit, suostumusmuutosten historia, kampanjavientien tallenteet |
| Henkilöstönäyttö | Haastattelut tuoteomistajan, pääkehittäjän, tietokannan ylläpitäjän ja tietosuojavastuullisen kanssa |
Vahva toimintatesti ei pysähdy politiikkaan. Se ottaa otoksia käyttäjistä, jotka ovat antaneet markkinointisuostumuksen, ja käyttäjistä, jotka eivät ole. Se jäljittää, heijastuuko suostumuksen tila oikein ydinsovelluksen tietokantoihin, tietovarastotauluihin, kampanjatyökaluihin, mittaristoihin ja vienteihin. Jos suostumusta antamattomia käyttäjiä ilmestyy markkinointiyleisöön, organisaatiolla on konkreettinen poikkeama.
SME-muotoinen Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka antaa oikean ajattelutavan teknisen testauksen esimerkin kautta:
Teknisten kontrollien varmennus (esim. varmuuskopioinnin tila, pääsynhallinnan konfiguraatio, korjauspäivitystiedot)
Kohdasta ”Politiikan toteutusvaatimukset”, politiikan lauseke 6.1.1.2.
Tietosuojassa teknisten kontrollien varmennus sisältää suostumusten synkronoinnin tarkastukset, pääsynhallinnan viennit, poistamislokit, salausasetukset, tietojen maskaustestit, DLP-hälytykset, varmuuskopioinnin rajoitteet, seurantatapahtumat ja toimittajan todentavan aineiston.
Tietosuojatestauksen kytkeminen ISO/IEC 27001:2022 -standardiin ja Clarysecin poikkivaatimustenmukaisuuteen
Tietosuojakontrollit eivät toimi erillään. Henkilötietojen suojaus riippuu omaisuusluettelosta, luokittelusta, pääsynhallinnasta, pilvipalvelujen hallinnoinnista, tietojen maskauksesta, tietojen siirrosta, lokituksesta, seurannasta, poistamisesta, tallenteiden suojauksesta, toimittajien valvonnasta ja riippumattomasta katselmoinnista.
Zenith Controls: The Cross-Compliance Guide -oppaassa ISO/IEC 27001:2022 liite A:n kontrolli 5.34, Henkilötietojen yksityisyys ja suojaaminen, on kartoitettu ennaltaehkäiseväksi kontrolliksi, joka on yhdenmukainen luottamuksellisuuden, eheyden ja saatavuuden kanssa, liittyy Identify- ja Protect-kyberturvallisuuskäsitteisiin sekä operatiivisiin kyvykkyyksiin Information Protection sekä Legal and Compliance -alueilla.
Sen yhteys inventaarioon on suora:
Tieto-omaisuuden luettelon (5.9) tulisi sisältää henkilötietoja koskevat tietovarannot (asiakastietokannat, HR-tiedostot). Tämä tukee kontrollia 5.34 varmistamalla, että organisaatio tietää, mitä henkilötietoja sillä on ja missä ne sijaitsevat, mikä on ensimmäinen askel niiden suojaamisessa.
Lähde: Zenith Controls, Henkilötietojen yksityisyys ja suojaaminen, kontrolli 5.34.
Auditointitestauksessa tämä tarkoittaa, ettei tietosuoja-auditoijan pidä aloittaa pelkästä tietosuojaselosteesta. Hänen tulee aloittaa henkilötietoinventaariosta, käsittelytoimien rekisteristä, tietovirroista, omaisuusluettelosta ja toimittajaluettelosta. Jos inventaario on puutteellinen, myöhemmät tietosuojakontrollit eivät voi olla täysin luotettavia.
Opas kartoittaa ISO/IEC 27001:2022 liite A:n kontrollin 5.34 myös liittyviin kontrolleihin, kuten 5.9 Tiedon ja muun siihen liittyvän omaisuuden inventaario, 5.12 Tiedon luokittelu, 5.14 Tiedonsiirto, 5.15 Pääsynhallinta, 5.16 Identiteetinhallinta, 5.23 Tietoturva pilvipalvelujen käytössä, 5.33 Tallenteiden suojaaminen, 8.11 Tietojen maskaus, 8.12 Tietovuotojen ehkäisy ja 8.10 Tietojen poistaminen.
Kaksi muuta ISO/IEC 27001:2022 liite A:n kontrollia ovat erityisen merkityksellisiä:
| ISO/IEC 27001:2022 -kontrolli | Merkitys tietosuojatestauksessa | Esimerkkinäyttö |
|---|---|---|
| 5.34 Henkilötietojen yksityisyys ja suojaaminen | Vahvistaa, että tietosuojaa ja henkilötietojen suojausta koskevat vaatimukset on toteutettu lakien, säädösten ja sopimusten perusteella | Käsittelytoimien rekisteri, DPIA:t, oikeusperustetta koskevat tallenteet, DSR-näyttö, säilytyslokit |
| 5.35 Tietoturvan riippumaton katselmointi | Antaa objektiivisen varmistuksen siitä, että tietoturvajärjestelyt, mukaan lukien tietosuojan kannalta olennaiset kontrollit, katselmoidaan riippumattomasti | Sisäisen auditoinnin raportit, ulkoisten katselmointien tulokset, REG12-otokset, CAPA-tallenteet |
| 5.36 Tietoturvapolitiikkojen, -sääntöjen ja -standardien noudattaminen | Vahvistaa sisäisten sääntöjen ja standardien jatkuvan noudattamisen | Politiikan noudattamisen katselmoinnit, käyttöoikeustarkastukset, seurantatulokset, poikkeuslokit |
Tietosuoja- ja yksityisyydensuojapolitiikka edellyttää:
Sisäinen tietosuojan vaatimustenmukaisuusauditointi tulee tehdä vuosittain tai merkittävien organisatoristen tai sääntelyyn liittyvien muutosten yhteydessä. Auditoinnin soveltamisalaan tulee sisältyä:
Kohdasta ”Hallinnointivaatimukset”, politiikan lauseke 5.4.
Lisäksi se sisältää:
Teknisten ja organisatoristen toimenpiteiden tehokkuus
Kohdasta ”Hallinnointivaatimukset”, politiikan lauseke 5.4.1.
Tietosuoja- ja yksityisyydensuojapolitiikka - SME säilyttää saman odotuksen käytännönläheisesti:
Säännölliset tietosuoja-auditoinnit tai kontrollitarkastukset on tehtävä ja kirjattava lokiin
Kohdasta ”Hallinnointivaatimukset”, politiikan lauseke 5.3.3.
Miksi GDPR:n osoitusvelvollisuus on nyt kyberhallinnon kysymys
Tietosuojanäyttöä eivät enää pyydä vain tietosuoja-auditoijat. Samaa näyttöä voi pyytää ISO 27701:2025 -auditoija, ISO/IEC 27001:2022 -auditoija, GDPR-katselmoija, NIS2-toimivaltainen viranomainen, DORA-sääntelyn piirissä oleva asiakas, NIST CSF -arvioija tai hallituksen riskivaliokunta.
NIS2 Article 21 edellyttää keskeisiltä ja tärkeiltä toimijoilta asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kyberturvallisuusriskien hallintaan. Article 21(2)(f) sisältää nimenomaisesti politiikat ja menettelyt kyberturvallisuusriskien hallintatoimenpiteiden tehokkuuden arvioimiseksi. NIS2 asettaa myös hallintoelimille vastuun kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisestä ja valvonnasta.
DORA soveltuu finanssialan toimijoihin 17. tammikuuta 2025 alkaen ja asettaa yksityiskohtaisen digitaalisen operatiivisen häiriönsietokyvyn sääntökirjan. Se edellyttää ICT-riskien hallintaa, hallintoelimen valvontaa, sisäistä auditointia, kriittisten havaintojen korjaamista, poikkeamien luokittelua ja raportointia, häiriönsietokyvyn testausta, kolmansien osapuolten ICT-riskien hallintaa, sopimuskontrolleja, ICT-palvelujärjestelyjen rekistereitä ja irtautumisstrategioita. Finanssialan toimijoita palvelevien ICT-palveluntarjoajien tulee odottaa DORA-lähtöisiä näyttöpyyntöjä asiakasvarmennuksen kautta.
NIST CSF 2.0 tarjoaa hyödyllisen viitekehyksen eri vaatimusten yhteismitallistamiseen. Sen GOVERN-toiminto edellyttää, että organisaatiot ymmärtävät sidosryhmien odotukset, riippuvuudet sekä lakisääteiset, sääntelyperusteiset, sopimusperusteiset, tietosuojaan ja kansalaisvapauksiin liittyvät velvoitteet. Sen Profiles-lähestymistapa auttaa vertaamaan nykyisiä tuloksia tavoitetuloksiin, tunnistamaan aukkoja ja priorisoimaan toimintasuunnitelmia.
| Vaatimuspaine | Mitä tietosuojakontrollien testauksen tulisi tuottaa | Clarysec-ankkuri |
|---|---|---|
| GDPR:n osoitusvelvollisuus | Näyttö siitä, että periaatteet, oikeusperuste, oikeudet, turvallisuus, säilytys ja henkilötietojen käsittelijän velvoitteet täyttyvät osoitettavasti | PIMS-politiikat, REG03, REG12, CAPA |
| ISO 27701:2025 -valmius | Testatut PIMS-kontrollit, roolipohjainen soveltuvuus, näytön laatu, sisäinen auditointi, johdon katselmointi | PIMS-seuranta-, auditointi- ja parantamispolitiikka |
| ISO/IEC 27001:2022 -varmennus | Riskien käsittelyn jäljitettävyys, SoA-perustelu, operatiivinen ohjaus, auditointi, katselmointi, parantaminen | Zenith Blueprint, Zenith Controls -poikkivaatimustenmukaisuusopas |
| NIS2-hallinnointi | Tehokkuuden arviointi, valmius poikkeamatilanteisiin, toimittajakontrollit, johdon valvonta | ISO/IEC 27001:2022 liite A:n kontrollien 5.35 ja 5.36 kartoitus |
| DORA-varmennus | ICT-kontrollien testaus, häiriönsietokyvyn testaus, kolmannen osapuolen näyttö, poikkeaman elinkaaren tallenteet | Ristiinkartoitettu auditointinäyttömalli |
| NIST CSF 2.0 | Nykyprofiili, tavoiteprofiili, aukkoanalyysi, priorisoitu parantaminen | Zenith Blueprint -vaiheet 24, 26, 29 |
Zenith Blueprint vahvistaa jäljitettävyyttä vaiheessa 24:
SoA:n tulisi olla yhdenmukainen riskirekisterin ja riskienkäsittelysuunnitelman kanssa. Tarkista vielä, että jokainen riskien käsittelyksi valitsemasi kontrolli on merkitty SoA:ssa ”Sovellettava”. Vastaavasti, jos kontrolli on merkitty SoA:ssa ”Sovellettava”, sille tulee olla perustelu – yleensä kartoitettu riski, lakisääteinen tai sääntelyvaatimus tai liiketoimintatarve.
Audit, Review & Improvement -vaiheesta, Step 24: Audit, Review & Improvement.
Tietosuojakontrollien testauksessa sama periaate koskee PIMS-soveltuvuutta. Jokaisen sovellettavan tietosuojakontrollin tulee jäljittyä käsittelyriskiin, lakisääteiseen velvoitteeseen, asiakasvaatimukseen tai liiketoimintatarpeeseen. Jokaisen testin tulee jäljittyä takaisin kyseiseen kontrolliin.
Miten eri auditoijat arvioivat saman kontrollin
Vahva tietosuojatestausohjelma ennakoi auditoijan näkökulman. Sama poistamiskontrolli, pääsynhallintakontrolli tai henkilötietojen käsittelijän käyttöönoton kontrolli tulkitaan eri tavoin katselmointikontekstin mukaan.
| Auditoijan näkökulma | Todennäköinen auditointikysymys | Odotettu näyttö |
|---|---|---|
| ISO 27701:2025 -auditoija | Onko roolipohjaiset PIMS-kontrollit toteutettu, arvioitu ja parannettu? | REG03-soveltuvuus, REG12-otokset, käsittelytoimien rekisteri, politiikkakartoitus, auditointitulokset |
| ISO/IEC 27001:2022 -auditoija | Onko tietosuojaan liittyvä kontrolli integroitu riskien käsittelyyn, SoA:han, operatiiviseen ohjaukseen, sisäiseen auditointiin ja johdon katselmointiin? | Riskirekisteri, SoA-perustelu, käsittelysuunnitelma, kontrollinäyttö, johdon katselmuksen pöytäkirjat |
| GDPR-katselmoija | Voiko rekisterinpitäjä osoittaa GDPR:n periaatteiden ja velvoitteiden noudattamisen? | Oikeusperuste, tietosuojaselosteet, DSR-lokit, DPIA:t, sopimukset, tietoturvaloukkaustallenteet, säilytysnäyttö |
| NIST CSF -arvioija | Tunteeko organisaatio velvoitteet, määrittääkö se tavoitetulokset, mittaako se puutteet ja parantaako se toimintaansa? | Nyky- ja tavoiteprofiili, aukkojen korjaussuunnitelma, riskien priorisointi, hallinnointitallenteet |
| DORA-suuntautunut asiakas tai valvontaviranomainen | Onko ICT-kontrollit testattu, poikkeamat luokiteltu, toimittajia seurattu ja kriittiset palvelut häiriönsietokykyisiä? | Testausohjelma, poikkeamatallenteet, toimittajarekisteri, sopimukset, exit-suunnitelmat |
| ISACA- tai COBIT 2019 -tyylinen auditoija | Ovatko tavoitteet, omistajuus, mittarit, asioiden sulkeminen ja hallinnollinen valvonta tehokkaita? | RACI, KPI-mittarit, asialokit, CAPA-varmennus, johdon raportointi |
Siksi REG12 on niin arvokas. Se muuttaa tietosuojan vaatimustenmukaisuuden auditoitavaksi hallinnointinäytöksi.
Yleiset havainnot PIMS-kontrollien testauksessa
Clarysec näkee toistuvasti samoja tietosuoja-auditoinnin havaintoja organisaatioissa, jotka valmistautuvat ISO 27701:2025 -sertifiointiin, GDPR-asiakasvarmennukseen tai yritystason due diligence -arviointiin.
Käsittelytoimien rekisteri ei vastaa järjestelmien todellisuutta
Käsittelytoimien rekisteri luettelee CRM- ja tukialustat, mutta engineering-tiimit ovat lisänneet analytiikkavientejä, havainnointilokeja, AI-työkaluja ja tietovarastotauluja.
Testivaste: ota otos järjestelmistä omaisuusluettelosta ja pilvi-inventaariosta ja täsmäytä ne käsittelytoimien rekisteriin. Käytä ISO/IEC 27001:2022 liite A:n kontrollien 5.9 ja 5.34 välistä suhdetta auditointiperusteluna.
Pääsy henkilötietoihin on hyväksytty, mutta sitä ei katselmoida säännöllisesti
Alkuperäiset hyväksynnät ovat olemassa, mutta etuoikeutettujen käyttöoikeuksien katselmoinnit eivät kata tuen impersonointityökaluja, tuotantotietokantoja, BI-mittaristoja tai hätäkäyttötilejä.
Testivaste: ota otos aktiivisista käyttäjistä, joilla on pääsy henkilötietoihin, ja vertaa roolia, liiketoimintatarvetta, hyväksyntää, MFA-tilaa, viimeisintä kirjautumista ja katselmointinäyttöä.
Henkilötietojen käsittelijäsopimukset ovat olemassa, mutta seuranta on heikkoa
Tietojenkäsittelysopimus on allekirjoitettu, mutta toimittajakysely on vanha. Kukaan ei ole katselmoinut alikäsittelijämuutoksia, tietojen sijainteja, tietoturvan tilaa tai poikkeamailmoitusvelvoitteita.
Testivaste: ota otos kriittisistä henkilötietojen käsittelijöistä ja tarkasta due diligence -arviointi, sopimuslausekkeet, alikäsittelijämuutokset, siirron suojatoimet ja seurantatallenteet. Tämä tukee GDPR:ää, NIS2:n toimitusketjuodotuksia ja DORA:n kolmannen osapuolen riskejä koskevia odotuksia.
Tietoturvapoikkeamiin reagointi on olemassa, mutta tietosuojaluokittelu on epäjohdonmukaista
Tietoturvapoikkeamat kirjataan lokiin, mutta tietosuojavaikutusta ei aina arvioida. GDPR:n mukaisia tietoturvaloukkauksen kriteerejä ei dokumentoida johdonmukaisesti. Asiakkaille ilmoittamista koskevia velvoitteita käsitellään epämuodollisesti.
Testivaste: ota otos poikkeamista, joihin liittyy tietojen altistuminen, ja tarkasta luokittelu, tietosuojan eskalointi, oikeudellinen katselmointi, ilmoituspäätökset, todistusaineiston säilyttäminen, juurisyy ja opit.
CAPA suljetaan ilman tehokkuuden varmennusta
Menettely päivitetään ja havainto suljetaan. Kukaan ei testaa, paraniko seuraava otos.
Testivaste: varmista korjaavan toimenpiteen tehokkuus REG12:ssa 30 päivän kuluessa ilmoitetusta sulkemisesta PIMS-seuranta-, auditointi- ja parantamispolitiikan edellyttämällä tavalla.
90 päivän tietosuojakontrollien testausjakso
Organisaatioille, jotka etenevät kohti ISO 27701:2025 -valmiutta, asiakkaan due diligence -arviointia tai GDPR:n osoitusvelvollisuuden katselmointia, Clarysec suosittelee kohdennettua 90 päivän testausjaksoa.
| Aikataulu | Painopiste | Tuotokset |
|---|---|---|
| Päivät 1–15 | Soveltamisala ja näyttömalli | PIMS-roolit, käsittelytoimien rekisteri, REG03-soveltuvuus, prioriteettiriskit, lakisääteiset velvoitteet, toimittajariippuvuudet, näytön nimeämissäännöt |
| Päivät 16–35 | Suunnittelutestaus | Politiikkakatselmointi, RACI, tietosuojaselosteet, oikeusperuste, DPIA-herätteet, DSR-työnkulut, poikkeamaluokittelu, säilytysaikataulut, toimittajakontrollit |
| Päivät 36–65 | Toimintatestaus | Otokset pääsystä, poistamisesta, poikkeamista, henkilötietojen käsittelijöistä, siirroista, säilytyksestä, koulutuksesta, teknisestä seurannasta, REG12-näytöstä |
| Päivät 66–80 | CAPA ja riskien käsittely | Juurisyy, korjaava toimenpide, omistaja, määräpäivä, jäännösriski, varmennusmenetelmä |
| Päivät 81–90 | Valmius johdon katselmointiin | PIMS-suorituskykypaketti, tavoitteet, avoimet riskit, poikkeamat, korjaavat toimenpiteet, toimittaja-asiat, parantamispäätökset |
Jakson päättyessä organisaation tulisi pystyä vastaamaan kysymyksiin, joita auditoijat tosiasiallisesti esittävät:
- Mitä henkilötietoja käsittelette?
- Missä roolissa?
- Mitkä kontrollit soveltuvat?
- Miksi ne ovat sovellettavia?
- Mikä näyttö osoittaa, että ne on toteutettu?
- Mikä otos osoittaa, että ne toimivat?
- Mitä puutteita havaittiin?
- Mitä korjaavia toimenpiteitä tehtiin?
- Kuka varmisti tehokkuuden?
- Mitä ylin johto katselmoi ja päätti?
Paperilla olevasta tietosuojasta osoitettavaksi osoitusvelvollisuudeksi
ISO 27701 -sertifikaatti on arvokas, mutta se ei ole lopullinen päämäärä. Asiakkaat, valvontaviranomaiset, hallitukset ja auditoijat odottavat yhä useammin näyttöä siitä, että tietosuojakontrollit on suunniteltu, toteutettu, seurattu, korjattu ja hallinnoitu.
Tietosuojan vaatimustenmukaisuus epäonnistuu, kun sitä käsitellään dokumentointiprojektina. Se kestää tarkastelun, kun siitä tulee testattu näyttöjärjestelmä.
Clarysec auttaa organisaatioita siirtymään väitetystä vaatimustenmukaisuudesta osoitettavissa olevaan osoitusvelvollisuuteen yhdistämällä PIMS-politiikat, REG03-soveltuvuuden, REG12-näyttöotokset, CAPA-varmennuksen, johdon katselmoinnin ja viitekehysten välisen kartoituksen Zenith Blueprint: An Auditor’s 30-Step Roadmap -materiaalin ja Zenith Controls: The Cross-Compliance Guide -oppaan avulla.
Jos organisaationne valmistautuu ISO 27701:2025 -sertifiointiin, GDPR:n osoitusvelvollisuuden katselmointiin, asiakkaan tietosuojavarmennukseen, NIS2-hallinnointinäyttöön tai DORA-lähtöiseen toimittajan due diligence -arviointiin, aloittakaa kohdennetulla tietosuojakontrollien testauksen työpajalla.
Clarysec voi auttaa kartoittamaan REG03-soveltuvuuden, rakentamaan REG12-auditointiotokset, testaamaan prioriteettiset PIMS-kontrollit, kytkemään havainnot CAPA-toimenpiteisiin ja valmistelemaan johdon katselmoinnin tuotokset, jotka kestävät tarkastelun.
Seuraavan tietosuoja-auditointinne ei pitäisi olla kuvakaappausten metsästystä. Sen tulisi olla vakuuttava osoitus siitä, että tietosuoja toimii, siitä on näyttöä, sitä katselmoidaan ja sitä parannetaan jatkuvasti.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council