GDPR tulee – ollaanko valmiina?

Ensimmäisen kerran heräsin tunteeseen, että nyt on jotain uutta tulossa, kun viime vuona normaalien LinkedIn-postausten rinnalle alkoi nousta itsevarmaan sävyyn kirjoitettuja blogeja ja kutsuja koulutuksiin: GDPR tulee – oletko valmis? GDPR? Mikäs se sitten on? Mitä se tarkoittaa? Pitääkö olla huolissaan? Tässä vaiheessa havahduin siis siihen, että asia voisi koskea minuakin. Tai ainakin siihen pitäisi ehkä perehtyä. Olen äärettömän utelias ihminen, joten asioiden tutkiminen ja penkominen on minulla ihan verissä. Ei siis muuta kuin tutustumaan!

Enemmän kysymyksiä kuin vastauksia?

Jo melko nopean tutkinnan jälkeen sain käsiini kymmeniä sivuja materiaalia, joissa kerrottiin rekisterinpitäjän oikeuksista ja velvollisuuksista, rekisteröityjen oikeuksista ja velvollisuuksista, sanktioista, tietojen poistamisen deadlineista… Tutkija minussa heräsi ja kävin aineiston kimppuun muistilappujen ja alleviivausten kanssa – tämähän piti selvittää nyt perin pohjin Mitä tämä kaikki tarkoittaa meille yrityksenä? Miten GDPR näkyy yksittäisen työntekijän arjessa? Mitä jos joku mokaa? Tuleeko 25.5. maailmanloppu? Pitääkö olla huolissaan?

Kun materiaali herätti enemmän kysymyksiä kuin antoi vastauksia, käännyin asiantuntijoidemme puoleen, ja aika pian kävi ainakin selväksi, että ei ainakaan tarvitse olla huolissaan. Vaikka GDPR astuu voimaan 25.5.2018, ei se tarkoita vielä, että koko maailman täytyy olla valmis. Mitä enemmän kuulin GDPR:stä, sitä enemmän alkoi koko aihe minua myös kiehtoa. Olen helposti innostuvaa sorttia, ja mikäs siinä on innostuessa, kun kyseessä on koko EU-alueen tietosuojan harmonisointiin tähtäävä hanke? Maailmalla on jos jonkinlaista vipeltäjää ja huijaria, olisihan se hienoa jos voisimme edes EU:ssa tietää että meillä on asiat yhtenäisesti säännelty.

Mitä siis opin – mitä on tehty?

Mielenkiintoista minusta onkin se, mitä kaikkea yritysten pitää tai ainakin kannattaa tehdä, jotta voivat olla varmoja, ettei tietosuojan kanssa tule ongelmia, ei nyt eikä 25.5. jälkeen. Moni asia on sellainen, jonka pitäisi olla ollut yritysten DNA:ssa jo pitkään, mutta jos asioihin on alettu herätä tänä keväänä, niin varmasti parempi nyt kuin ei koskaan.

Ainakin meillä Fonectalla voidaan olla luottavaisin mielin. Henkilötietojen käsittelyä on jo vuosia tehty lakeja noudattaen, eikä GDPR tuo tähän paljonkaan uutta. Yhteistyömme viranomaistahojen kanssa on totuttanut meitä erilaisiin vaatimuksiin ja luonut meillä tiettyjä prosesseja, joita voimme kehittää GDPRn myötä.

Tärkeintä meille on, että tiedämme varmasti, että asiat ovat kunnossa kun GDPRää aletaan soveltaa. Kaikki henkilötietoa käsittelevät järjestelmät ja palvelut on silloin käyty läpi ja ne on arvioitu yksityiskohtaisesti: mitä dataa löytyy, missä se sijaitsee, mihin on integroitu jne. Kun tiedämme, mistä eri järjestelmät ja palvelut koostuvat, pystymme myös löytämään mahdolliset ongelmakohdat. Olemme tehneet useampiakin auditointeja, käyttäneet hyväksi skannauksia, jotka ovat yrittäneet löytää järjestelmistämme ne heikot kohdat, jolloin voimme ryhtyä korjausliikkeisiin, jos on tarve. Tärkeää on tietysti myös se, että varmistamme henkilökunnan osaamisen ja tietosuojatason.

Fonectan kehitysjohtaja Tommi Eklund listasi hänen mielestään neljä liiketoiminnan kannalta tärkeintä pointtia GDPR:ään liittyen:

  • GDPR on jatkuva toimintamalli, ei kertaluontoinen punnerrus
  • Privacy by desing -ajattelu – eli arvioidaan liiketoiminnassa riskiperusteisesti asetuksen vaatimukset.
  • Sopimukset kuntoon – sopimusten sekä asiakkaiden että ennen kaikkea alihankkijoiden ja muiden kolmansien osapuolien kanssa on oltava kunnossa.
  • Koulutus ja käytännön testaaminen – henkilökunnan osaamisen varmistaminen, varmistetaan myös, miten nopeasti ja millä tavalla mahdollinen tietoturvaloukkaus huomataan ja miten siihen reagoidaan.

Tommi käsitteli aihetta syvällisemmin Markkinointikollektiivin tilaisuudessa.

Olemme siis tehneet paljon töitä GDPR:ään valmistautumisen eteen, mutta paljon on vielä edessä. Yksittäisen työntekijän elämässä ei suurta muutosta 25.5. jälkeen välttämättä edes näy. Vaikka tekemistä riittää, pitää muistaa, että toukokuuhun on vielä vähän aikaa. Kollegoita kun olen kuunnellut muista firmoista, niin tuntuu, että monella, joka vielä viime vuoden puolella iloisesti julisti olevansa GDPR-aallon huipulla, onkin yhtäkkiä vielä pitkä matka kuljettavana. Meillä on myös talossa jo sisällä niin korkea asiantuntemus aiheesta, ja siihen on käytetty niin hyviä ulkopuolisia kumppaneita, että voimme olla kaikki varmoja siitä, että kun GDPR tulee, olemme valmiit! Ei siis tarvitse olla huolissaan.