1. Missä organisaatiosi tiedot ensisijaisesti tallennetaan ja käsitellään? Perustuu: GDPR (asetus (EU) 2016/679), Datahallintolaki (asetus (EU) 2022/868)
Valitse vaihtoehto… Yksinomaan EU:n/ETA:n alueella Ensisijaisesti EU:ssa, rajoitetusti EU:n ulkopuolella Sekä EU:ssa että sen ulkopuolella Ensisijaisesti tai yksinomaan EU:n ulkopuolella Tuntematon 2. Mikä on ensisijaisen pilvipalveluntarjoajasi oikeudellinen lainkäyttöalue? Perustuu: CLOUD Act (laki ulkomailla olevien tietojen lainmukaisesta käytöstä), FISA (ulkomaisen tiedustelun valvontalaki), Euroopan digitaalisen suvereniteettijulistus (2025)
Valitse vaihtoehto… EU:hun rekisteröitynyt palveluntarjoaja EU:n ulkopuolisen emoyhtiön EU-tytäryhtiö EU:n ulkopuolinen palveluntarjoaja, jolla on EU-datakeskuksia EU:n ulkopuolinen palveluntarjoaja ilman EU-datakeskuksia Tuntematon 3. Kuka hallitsee levossa ja liikkeessä olevien tietojesi salausavaimia? Perustuu: NIS2-direktiivi (direktiivi (EU) 2022/2555), EU:n kyberturvallisuuslaki (asetus (EU) 2019/881)
Valitse vaihtoehto… Organisaatio hallitsee kaikkia avaimia (BYOK/HYOK) Jaettu avaintenhallinta palveluntarjoajan kanssa Palveluntarjoaja hallitsee kaikkia avaimia Ei salausta käytössä 4. Kuinka kypsä on EU-sääntelynvaatimustenmukaisuusohjelmasi? Perustuu: GDPR (asetus (EU) 2016/679), NIS2-direktiivi (direktiivi (EU) 2022/2555), DORA (asetus (EU) 2022/2554)
Valitse vaihtoehto… Sertifioitu ja säännöllisesti auditoitu Vaatimustenmukaisuustoimenpiteet olemassa, mutta ei auditoitu Osittainen vaatimustenmukaisuus — työ kesken Ei virallista vaatimustenmukaisuusohjelmaa 5. Millaisia suojatoimenpiteitä koskee rajat ylittäviä tiedonsiirtojasi? Perustuu: GDPR (asetus (EU) 2016/679) — Luku V, Data Act (asetus (EU) 2023/2854)
Valitse vaihtoehto… Ei siirtoja EU:n/ETA:n ulkopuolelle Siirrot vakiosopimuslausekkein ja siirtovaikutustenarvioinneilla Siirrot vakiosopimuslausekkein ilman vaikutustenarviointeja Siirrot ilman virallisia suojatoimenpiteitä Tuntematon 6. Kuinka hyvin organisaatiosi on valmistautunut EU:n tekoälylain vaatimuksiin? Perustuu: Tekoälylaki (asetus (EU) 2024/1689)
Valitse vaihtoehto… Tekoälyn inventaario ja riskiluokittelu tehty Tietoisuus olemassa, mutta ei virallista luokittelua Ei tekoälyhallintotoimenpiteitä Ei sovellettavissa — ei tekoälyjärjestelmiä käytössä 7. Tukeeko tai suunnitteleeko organisaatiosi EU:n digitaalisten henkilöllisyyslompakkojen (eIDAS 2.0) tukemista? Perustuu: eIDAS 2.0 (asetus (EU) 2024/1183)
Valitse vaihtoehto… Jo integroitu tai aktiivisesti toteutetaan Integrointi suunnitteilla 12 kuukauden kuluessa Tietoinen, mutta ei konkreettisia suunnitelmia Ei tietoinen eIDAS 2.0:sta 8. Voiko organisaatiosi raportoida merkittävistä kyberpoikkeamista vaadittujen aikataulujen puitteissa? Perustuu: NIS2-direktiivi (direktiivi (EU) 2022/2555), DORA (asetus (EU) 2022/2554)
Valitse vaihtoehto… Kyllä — testattu 24h/72h raportointikyvyllä Häiriötilannesuunnitelma olemassa, mutta testaamaton Ad hoc -häiriötilanteen käsittely, ei virallista prosessia Ei häiriötilanteeseen reagointivalmiutta 9. Kuinka helposti organisaatiosi voi vaihtaa pilvipalveluntarjoajaa tai hakea kaikki tietonsa? Perustuu: Data Act (asetus (EU) 2023/2854), Digimarkkinasäädös (asetus (EU) 2022/1925)
Valitse vaihtoehto… Täysi siirrettävyys — avoimet formaatit, ei toimittajasidonnaisuutta Pääosin siirrettävissä, joitain omistuksellisia riippuvuuksia Merkittävä toimittajasidonnaisuus Tuntematon 10. Kuinka organisaatiosi hallitsee ja auditoi pilvipalveluiden alikäsittelijöitään? Perustuu: GDPR (asetus (EU) 2016/679) — 28 artikla, NIS2-direktiivi (direktiivi (EU) 2022/2555) — 21(2)(d) artikla, DORA (asetus (EU) 2022/2554) — 28–30 artikla
Valitse vaihtoehto… Täysi rekisteri säännöllisillä auditoinneilla ja hyväksymisprosessilla Rekisteri ylläpidetään, mutta ei säännöllisiä auditointeja Rajallinen näkyvyys alikäsittelijöihin Ei alikäsittelijöiden hallintaa 