Organisaatioiden sisällä ja niiden välillä liikkuu yhä suurempia määriä dataa. Samaan aikaan tietosuojasta (henkilöiden yksityisyyden suojasta) ja tietoturvasta (tietokonejärjestelmien suojauksesta) on tullut yhä tärkeämpiä asioita sekä kuluttajille että yhteistyökumppaneille.
– Yrityksille, jotka käsittelevät asiakkaittensa tietoja, asetetaan erittäin korkeat odotukset tietosuojan suhteen. Erityisesti arkaluonteiset tiedot, kuten terveystiedot, halutaan pitää turvassa, kertoo Kivran juristi ja tietosuojavastaava Anna Mirsch Peiris. Hänen tehtävänään on varmistaa, että yrityksessä noudatetaan EU:n yleistä tietosuoja-asetusta ja henkilötietoja käsitellään oikein.
Anna Mirsch Peirisin mukaan tietosuoja on ajankohtainen aihe. Tämä näkyy muun muassa mediassa, jossa asiasta on tullut osa päivittäistä keskustelua. Samaan aikaan lainsäädännössä henkilötiedot on alettu nähdä entistä arvokkaampina.
– Henkilötiedot nähdään nyt valuuttana. Selkeä esimerkki tästä on Ruotsin kuluttajankauppalakiin tehty muutos, jossa mainitaan nyt henkilötiedot palvelujen maksuvälineenä.
Tietosuojaa koskevien odotusten täyttäminen
Erilaisten yritysten täytyy tehdä erilaisia asioita täyttääkseen asiakkaiden odotukset. Esimerkiksi pienellä tuotantoyhtiöllä ei välttämättä tarvitse olla suurta tietosuojasta vastaavaa yksikköä. Pienelle yritykselle voi riittää, että ymmärtää, mitä lakeja yritykseen sovelletaan ja millaisia odotuksia siihen kohdistuu. Näiden perusteella kehitetään tietosuojakäytänteitä, ja niitä myös tarkastellaan uudelleen, kun uusia oikeudellisia vaatimuksia ilmenee. Suuremmilla yrityksillä – etenkin sellaisilla, joissa tapahtuu paljon muutoksia – on kuitenkin enemmän tehtävää.
Anna Mirsch Peirisillä on useita vinkkejä siihen, miten organisaatio voi vastata tietosuojaodotuksiin:
Perusta tietosuojasta ja tietoturvasta huolehtiva asiantuntijaryhmä
Jotta henkilötietojen käsittelystä saadaan kokonaiskuva, yrityksellä täytyy olla tietosuojaan perehtyneitä oikeudellisia asiantuntijoita, jotka tuntevat lait ja asetukset, sekä teknisen tietoturvan asiantuntijoita, jotka pystyvät hoitamaan käytännön turvallisuustyön. Asiantuntijaryhmän tehtävänä on kehittää hyviä tietosuojakäytänteitä. Ryhmä ei kuitenkaan ole liikkeellepaneva osapuoli. Se ainoastaan tukee organisaatiota ja helpottaa muiden työtä. Ryhmä oikeastaan pyrkii siihen, että sitä tarvittaisiin mahdollisimman vähän.
Perehdy asiaa koskevaan lainsäädäntöön
Jotta yritys voi vastata asiakkaiden odotuksiin, sen on ensin tunnettava omilla markkina-alueillaan sovellettavat lait ja asetukset. EU:n ja ETA:n ulkopuolisissa maissa ei välttämättä ole yleistä tietosuojalakia, vaan tietosuojaa saatetaan säännellä useilla eri laeilla, jotka voivat olla myös alakohtaisia. EU- ja ETA-maissa on otettava huomioon kolme tärkeää seikkaa:
- Yleinen tietosuoja-asetus GDPR – koskee kaikkea henkilötietojen käyttöä.
- ePrivacy – sovelletaan erityisesti silloin, kun henkilötietoja käytetään verkossa.
- Alakohtaiset lait ja määräykset, kuten potilastietojen käsittely terveydenhuoltoalalla.
Perehdy vallitsevaan tietosuojakulttuuriin
Oikeudellisten näkökohtien lisäksi on tunnettava markkina-alueen kulttuuri. Tietosuojaan liittyvät kulttuurit voivat nimittäin erota toisistaan hyvinkin paljon. On tärkeää ymmärtää markkina-aluetta. Muuten on vaarana, että asiakkaat saavat huonoja kokemuksia.
Jaa vastuu tietosuoja-asioista koko organisaation kesken
Pieni tietosuoja-asiantuntijaryhmä ei voi seurata kaikkea, mitä yrityksessä tapahtuu. Jos vain asiantuntijaryhmä työskentelee tietosuojan parissa, ongelmia voi syntyä myös organisaatio- ja henkilöstömuutosten yhteydessä – esimerkiksi jos tietosuojavastaava vaihtuu. Vastuu tietosuoja-asioista onkin jaettava koko organisaation kesken, ja työntekijöillä on oltava selkeät tietosuojavastuut. Suurissa yrityksissä ei riitä, että vastuu annetaan vain yhdelle henkilölle osastoa kohden, vaan vastaavia saatetaan tarvita enemmän. Jos esimerkiksi yrityksessä on nimetty tuoteomistajia, heistä jokainen voi seurata omaan vastuutuotteeseensa liittyvää henkilötietojen käsittelyä. Tällaisen lähestymistavan avulla voidaan tarvittaessa saada nopeasti kokonaiskuva käsiteltävistä henkilötiedoista.
Tarjoa kaikille työntekijöille tietosuojakoulutusta.
Suuressa organisaatiossa jokaisella on vastuu siitä, että ymmärtää käsittelevänsä henkilötietoja, ja tietää miten niitä kuuluu käsitellä. Tarkoituksena ei ole, että kaikista tulisi tietosuojaeksperttejä. Jokaisen tulee kuitenkin hahmottaa, mistä seikoista pitää olla tietoinen, mitä henkilötiedoilla tehdään ja miksi, ja kuinka kauan tietoja säilytetään.
Varmista avoimuus asiakkaita kohtaan
Tietosuojaa koskevat oikeudelliset vaatimukset voidaan usein muodollisesti täyttää laatimalla vain yksi tietosuojaa koskeva asiakirja. Hyvin harva asiakas kuitenkaan lukee tällaisia asiakirjoja. Jos käytössä on pelkkä tietosuojaseloste, eikä ole selvää, miten palvelu tai tuote käyttää henkilötietoja, asiakkaalle voi tulla ikäviä yllätyksiä. Siksi asiakkaille on mahdollisuuksien mukaan kerrottava avoimesti ja selkeästi, mitä henkilötiedoille tapahtuu itse palvelussa tai tuotteessa.
Happy-Happy-toimintamalli – kehitä vain sellaisia palveluja, joihin kaikki ovat tyytyväisiä
Negatiivisten käyttäjäkokemusten välttämiseksi on löydettävä tasapaino eri osapuolten etujen välillä. Esimerkiksi Kivran tapauksessa tällaisia osapuolia ovat lähettäjät ja vastaanottajat. Lähettäjät haluavat usein tietoa siitä, mitä palvelun käyttäjät tekevät lähetyksille. Samaan aikaan vastaanottajat haluavat kontrolloida sitä, kuka saa tietoa siitä, miten he käyttävät Kivraa. Tämän tasapainon hallitsemiseksi Kivra noudattaa toimintamallia, jota se kutsuu nimellä Happy-Happy. Mallissa mahdollisia uusia palveluja ja tuotteita arvioidaan jatkuvasti kaikkien osapuolten näkökulmasta. Vain sellaisia palveluja kehitetään, jotka ovat kaikkien – sekä lähettäjien että vastaanottajien – etujen mukaisia.
Minimoi henkilötietojen käyttö
GDPR vaatii, että henkilötietoja ei käsitellä tarpeettomasti, eikä niin kannata tehdä muutenkaan. Tietojen minimointi helpottaa myös yritysten toimintaa, ja asiakkaat tuntevat todennäköisemmin olonsa turvalliseksi. Yksi esimerkki tietojen minimoinnista on se, että Kivra ei koskaan lue lähetyksen sisältöä, ellei se ole tarpeellista tiettyä toimintoa varten. Esimerkki tällaisesta tilanteesta on se, että käyttäjä haluaa hakea kuittia.
Tietosuojan kolme pääperiaatetta
Anna Mirsch Peirisin mukaan hyvä tietosuoja saavutetaan noudattamalla kolmea pääperiaatetta:
- Ensinnäkin tarvitaan jatkuvaa ja yksityiskohtaista valvontaa. Yrityksen on oltava helppo selvittää, mitä henkilötietoja käytetään ja mihin tarkoituksiin. Tätä tietoa tarvitaan sekä sisäisiin tarkoituksiin että GDPR:n mukaiseen tietojen luovuttamiseen.
- Toinen pääperiaate on se, että yksityisyyden suoja on otettava huomioon jo järjestelmien suunnitteluvaiheessa. Järjestelmässä on oltava sisäänrakennettu käyttöoikeuksien valvonta, jotta työntekijät eivät pääse käsiksi enempään tietoon kuin mitä he tarvitsevat työnsä hoitamiseen. Yrityksen on myös aina pystyttävä osoittamaan, ettei se kerää enempää henkilötietoja kuin kertoo keräävänsä.
- Viimeinen pääperiaate on järjestelmien suojaaminen vioilta ja hyökkäyksiltä. Tietoturvan on oltava kestävä sekä sisäisiä että ulkoisia hyökkäyksiä vastaan. Lisäksi tiedostoista on oltava varmuuskopiot sen varalta, että niitä häviää.