Paljon keskustelua ja vahvoja tunteita herättäneen EU:n uuden tietosuoja-asetus GDPR:n siirtymäaika päättyy 25.5.2018. Mitä yhteistä tällä on viime vuosituhannen loppuun ja miten me Plan Brothersilla valmistauduimme muutokseen?
Mennään ajassa taaksepäin vuoteen 1999. Euro otetaan tilivaluuttana käyttöön Suomessa ja 11 muussa EU-maassa, Kalle Palander voittaa MM-kultaa Vailissa, Mika Häkkinen nappaa toisen F1-mestaruutensa ja Jokereissa ihastuttanut Eeli Tolvanen syntyy. Miten nämä asiat liittyvät aiheeseen? Eivät mitenkään. Mutta samaista vuotta leimaa myös termi, jolla on paljon yhteneväisyyksiä GDPR:ään.
Y2K
Vuosien 1999 ja 2000 vaihdetta odotettiin ympäri maailmaa sekavissa tunnelmissa. Koska tietojenkäsittelyn alkutaipaleella tietokoneiden muisti oli kallisarvoista, yritettiin sitä säästää merkitsemällä vuosiluku tietojärjestelmiin kahdella numerolla. Vuosituhannen vaihteessa numerot pyörähtäisivät lukuun 00, minkä pelättiin aiheuttavan mm. pankki- ja turvallisuusjärjestelmien romahtamisen ja villeimmissä fantasioissa jopa maailmanlopun. Syntyi termi Y2K, johon organisaatiot varautuivat investoimalla uusiin tietojärjestelmiin. IT-ala eli kuplassa, joka puhkesi pian vuosituhannen vaihteen jälkeen (alla oleva kuvaaja on artikkelista, jonka löydät täältä).
Edellä esitetyt ennustukset eivät yllättäen käyneet toteen. Paluu aikakoneessa taaksepäin on kuitenkin ajankohtainen, sillä GDPR:ään on liitetty vastaavanlaisia pelkoja. Se on leimattu outbound myynnin ja markkinoinnin lopuksi, henkilötietojen poistoa kiusallaan vaativiksi trolleiksi, valtaviksi sanktioiksi ja taas yhdeksi byrokratian piikiksi euroalueella toimivien yritysten lihassa. Mutta onko lasi GDPR:n osalta puoliksi tyhjä vai puoliksi täynnä?
GDPR kilpailuetuna
Vaikka pohjustimme aihetta pelonlietsonnan kautta, emme missään nimessä halua antaa kuvaa, jossa vähättelisimme GDPR:n tärkeyttä - päinvastoin. Muutos vaatii aina muskeleita, mutta mahdollistaa samalla liiketoiminnan kehittämisen.
Listasimme alle muutamia etuja, joita tarkentunut tietosuoja-asetus tuo tullessaan:
- Lisääntynyt luottamus. Muutoksen myötä asiakkailla on enemmän tietoa siitä, kuinka organisaatiot hyödyntävät heihin liittyvää tietoa. Lisääntynyt läpinäkyvyys lisää luottamusta ja parantaa asiakaskokemusta.
- Eroon päällekkäisistä prosesseista. Muutokseen valmistautuminen edellyttää prosessien tuulettamista, joka oikein hyödynnettynä mahdollistaa toiminnan tehostamisen.
- Samat säännöt kaikille. Kun tietosuojaan liittyvät vaatimukset ovat koko EU:n sisällä yhdenmukaiset, eivät siihen aiemmin liittyneet eroavaisuudet enää hidasta euroalueen sisäistä kansainvälistymistä ja kasvua.
Plan Brothers ja GDPR
Aloitimme valmistautumisen hyvissä ajoin viime vuonna valitsemalla jokaisesta liiketoiminnan funktiosta vastuuhenkilön. Henkilöiden tehtävä oli aluksi auditoida yrityksemme käsittelemät tietovirrat, joita käsiteltiin mm. näistä näkökulmista:
- Mitä henkilötietoja keräämme?
- Mistä tiedot ovat peräisin?
- Missä tietoja säilytetään?
- Minne tietoja siirretään?
- Kenellä on pääsyoikeus tietoihin?
- Mikä taho toimii tietojen rekisterinpitäjänä (controller) ja mitkä tahot käsittelijöinä (processors)?
Kun tietovirrat oli auditoitu ja dokumentoitu, oli aika varmistaa, että henkilötietojen käsittelijöinä toimivat alihankkijat ja palveluntarjoajat sitoutuvat toimimaan uuden tietosuoja-asetuksen vaatimalla tavalla. Käytännössä tämä tarkoitti uusien DPA (Data Processing Agreement) sopimusten laatimista ja allekirjoittamista.
Samaan aikaan olemme päivittäneet tietoturvakäytäntöjämme, yhtenäistäneet riskienhallintaamme ja luoneet prosessit sisäisiin auditointeihin myös tietosuojan näkökulmasta.
Prosessin viimeisessä vaiheessa olemme uudistaneet tietosuojaselosteemme ja käyttöehtomme vastamaan uutta lainsäädäntöä, sekä allekirjoittaneet erillisiä DPA-liitteitä myös useiden asiakkaidemme kanssa. Kävimme muutoksen vaikutukset läpi koko henkilöstön voimin ja jatkoimme säännöllisiä koulutuksia. Viimeisimpänä mutta ei missään nimessä vähäisimpänä olemme valmistautuneet GDPR:n myötä mahdollisesti lisääntyviin tietopyyntöihin.
Oletteko jalkauttaneet organisaatiossanne prosessin, jonka avulla hallitsette GDPR-tietopyyntöjen käsittelyn saumattomasti? Lataa aiheesta laatimamme ilmainen Cheat Sheet ja paranna organisaationne valmiutta.
Plan Brothers kehittää helppokäyttöisiä verkko- ja mobiilityökaluja auditointeihin, riskienarviointeihin sekä tapahtuma- ja poikkeamaraportointiin. Tarjoamme työkalujemme ohella konsultaatiopalveluita, joiden avulla ratkaiset sekä kiinteistöturvallisuuteen että datan visualisointiin ja tiedolla johtamiseen liittyvät haasteet. Lisätietoja osoitteesta planbrothers.io.
