MATKALLA GDPR-VALMIUTEEN - CSI:N KOKEMUKSET

8. helmikuuta 2018

”GDPR tulee – oletko valmis?”

Google löytää yllä olevalla haulla sekunnin murto-osassa 7900 osumaa. Tieto siitä, ettei ole ainoa, ei silti lievitä tuskaa. EU:n tietosuoja-asetuksen voimaantuloon on nyt 106 päivää.

Asetuksen tavoitteena on lisätä yksilön oikeuksia omien henkilötietojensa hallinnassa sekä yhtenäistää lainsäädäntöä Euroopan Unionin sisällä. 25.5.2018 lähtien yritysten on pystyttävä osoittamaan, että henkilötietojen käsittelyssä täyttyvät lainmukaisuuden, kohtuullisuuden, läpinäkyvyyden, käyttötarkoitussidonnaisuuden, tietojen minimoinnin, täsmällisyyden, säilytyksen rajoittamisen sekä eheyden ja luottamuksellisuuden vaatimukset.

Meillä, kuten useimmilla muillakin, on vielä hieman matkaa GDPR-valmiuteen. Palavereja on kalenterissa säännöllisesti eikä aiheesta pääse eroon niiden välissäkään. Laittaessaan uutiskirjeen maailmalle, tehdessään sopimusta uudelle asiakkaalle, istuessaan tuotekehityspalaverissa tai keskustellessaan alihankkijan kanssa miettii automaattisesti, mitä muutoksia prosessi vielä kaipaa.

Hämmennyksestä konkretiaan

Kuten uudet asiat usein, myös GDPR on ollut hämmentävä kokemus. Kun varmistui, että GDPR-kiirastuleen joutuvat kuluttajakauppaa tekevien lisäksi myös B2B-yritykset, tarjolla oleva informaatio enemmänkin herätti kysymyksiä kuin antoi vastauksia. Kahlatessamme läpi eräänkin GDPR-aiheisen itsearviointi-excelin sata kysymystä mietimme, mahdoimmeko edes ymmärtää ne oikein. Ja tulokseksi saimme ainoastaan tiedon siitä, että 80% testin tehneistä yrityksistä oli hankkeessaan meitä pidemmällä…

Onneksi GDPR:n vaatimuksiin ja vaikutuksiin on vähitellen tullut selkeyttä. Viime aikoina mallia on voinut myös ottaa yrityksistä, jotka ovat jo julistautuneet GDPR-valmiiksi. Mattimyöhäiset ehtivät edelleen turvaamaan mielenrauhansa investoimalla GDPR-työkaluihin tai asiaan vihkiytyneiden konsulttien ja juristien palveluihin. GDPR:n synnyttämälle liiketoiminnalle lienee kysyntää jatkossakin; kyseessähän ei ole kertaprojekti, vaan jatkuva prosessi.

Helppoa - vai onko siltikään?

Oman GDPR-urakkamme hahmottamista on helpottanut Ohjelmistoyrittäjien ja Asianajotoimisto HPP:n yhteistyössä tuottama koulutusohjelma. Arvioituamme projektin melko kevyeksi aktivoiduimme asiassa vasta alkusyksystä. Emme ole kovin innokkaita rekisterinpitäjiä, joten HR-, asiakas- ja prospektilistojemme rajallinen määrä helpottaa kovasti asetuksen vaatimusten täyttämistä. Rekisterit on nyt tunnistettu, ja niiden sijainti, käyttötarkoitus, tietosisältö, pääsy ja käsittelyperiaatteet kirjattu.

Sen sijaan toimeksiantojen hallintajärjestelmien toimittajana olemme joutuneet pohtimaan GDPR:ää myös tiedon käsittelijän näkökulmasta. Mitä kaikkea on huomioitava asiakkaan tallentaessa henkilötietoja pilvipalveluumme? Ja mikä on prosessi, kun ohjelmiston käyttöönoton yhteydessä konvertoimme tietoja asiakkaan aiemmasta järjestelmästä tai kun tutkimme asiakkaan ongelmatilannetta etäyhteyden välityksellä?

GDPR edellyttää luonnollisesti tarkennuksia myös sopimuksiin. Niiden kimppuun käymme helmikuun lopussa, kun saatavilla ovat uudet IT2018-sopimusehdot henkilötietojen käsittelyä koskevine erityisehtoineen.

CSI-ohjelmistojen GDPR-valmius

Oleellisinta hankkeessa on kuitenkin se, miten tarjoamamme työkalu tukee asiakkaita heidän GDPR-velvoitteidensa täyttämisessä. Tietosuoja-asetuksen mukaan rekisteröidyllä on muun muassa oikeus tietää, mitä tietoa hänestä on kerätty, saada virheelliset tiedot korjatuksi, pyytää rekisteriin kirjatut tiedot itselleen sähköisessä muodossa tai tulla kokonaan unohdetuksi, ellei rekisteristä poistaminen ole ristiriidassa muun lainsäädännön kanssa. Ohjelmiston on mahdollistettava kaikki tämä.

CSI-ohjelmistoon henkilö tallennetaan lähtökohtaisesti vain kerran, joten tietojen hallinnointi on suoraviivaista. Toistaiseksi GDPR onkin tuottanut ohjelmistoa koskevia kehitystoiveita maltillisesti;  yleisin toive on raportti, joka listaa kaikki ohjelmistoon tallennetut tiedot yksittäisestä henkilöstä.

CSI on kuitenkin siitä onnellisessa asemassa, että asianajo- ja lakiasiaintoimistoista pääosin koostuva asiakaskuntamme on GDPR:n suhteen poikkeuksellisen valveutunut. Yllätys olisikin, ellemme GDPR-vaatimusten täsmentyessä pääse ideoimaan vielä muutamaa uuttakin toimintoa ennen toukokuista määräpäivää.


Taina Malmivirta

CSI Helsinki, liiketoiminnan kehittämisjohtaja ja osakas

Omistautunut markkinoinnille, viestinnälle ja erilaisille kehittämishankkeille. Motivoituu toiminnan ja asiakaskokemuksen jatkuvasta kehittämisestä. Uskoo asiakaspalautteen voimaan ja kevyisiin prosesseihin, jotka tukevat yrityksen ketteryyttä ja innovatiivisuutta.