Blogi

2.12.2016 5.41

Näkökulmia tietosuojakulttuuriin – kootut ajatukset aamiaistilaisuudesta

  • Asiakasdata ja CRM
  • Datan hallinta ja laatu
  • Tietosuoja

Loihde Advisoryn aamiaisseminaarissa ”Ihmiskeskeinen ja käytännönläheinen tietosuoja” tarjottiin käytännönläheisiä vinkkejä toimintaan, jossa ihmiset käsittelevät ihmisten henkilötietoja. Tilaisuuden avannut Loihde Advisoryn myyntijohtaja Nino Ilveskero pohjusti päivää kuvaamalla, kuinka henkilötiedoissa on kyse vaihtokaupasta, jossa henkilö luovuttaa tietojaan saadakseen vastineeksi palveluita tai muuta hyötyä. Tämä vaihtokauppa perustuu luottamukseen, oletukseen, että molemmat toimivat yhteisten sääntöjen mukaan. Tietosuojasta huolehtiminen on tapa varmistaa, että nämä vaihtokaupat asiakaskohtaamisissa sujuvat onnistuneesti ja pystytään luomaan ja ylläpitämään luottamusta.

istock_000076884497_web

Päivän kaikissa esityksissä tuotiin tavalla tai toisella esille tietosuojakulttuurin rakentamisen tarpeellisuus koko organisaatiossa. Loihde Advisoryn CRM & Tietosuoja -palvelualueen vetäjä Sini Vartiainen muistutti, että tietosuojassa pöydän molemmin puolin istuu ihmisiä: kyse on ihmisten tiedoista ihmisten suojaamina. Henkilötietojen käsittelyä tapahtuu kaikkialla organisaatiossa, eikä ole realistista, että yksi tietosuojavastaava tai –tiimi pystyisi huolehtimaan kaikesta. On tärkeää saada kaikki työntekijät motivoitumaan ja ottamaan vastuuta. Aiemmin blogissamme käsitelty asenteen muutoshallinta voi auttaa luomaan positiivista ilmapiiriä henkilötietojen suojaamisen ympärille. Jotta tietosuojatyö tuntuisi työntekijöistä merkitykselliseltä, Sini neuvoi kytkemään toiminnan yrityksen asiakasstrategiaan ja tiedon hallintaan. Hyvä esimerkki tästä on Konecranes, jossa Data Protection Manager Lasse Toivonen kertoi tietosuojan linkittyvän osaksi yritykselle tärkeää turvallisuuden arvoa.

Tietosuojatietoisuutta tulisi nostaa yrityksen toiminnassa kaikilla tasoilla. Esimerkiksi Konecransilla oli havaittu, ettei kaikissa tapauksissa ollut ihan selvää, milloin heidän käsittelemänsä tieto on henkilötietoa. Kun tällaiset perusasiat saadaan kuntoon, voidaan laajentaa näkökulmaa. Castrén & Snellmanin juristi Kaisa Keski-Vähälä peräänkuulutti ennakoivaa tietosuojaa, jossa yrityksen toiminnoissa otetaan tietosuoja suunnitelmallisesti huomioon alusta asti. Tietosuojaa tulisi miettiä ylätasolla, organisaation toimintatapana, eikä vain pistemäisinä yksittäiskysymyksinä, jollaisia lakitoimistot usein saavat. Jos tietosuojaa ei käsitellä kokonaisvaltaisena ratkaisuna, vaan Sinin varoittamana lakivaatimusten mekaanisena muistilistana, saadaan auditoinneista liian helposti sellaisia tuloksia kuin Kaisa kertoi yhteenvedossaan: on epäselvää mitä tietoja, millä perusteella ja mihin tarkoitukseen onkaan kerätty, miten ja missä niitä käsitellään ja kauanko niitä säilytetään.

Tietosuojan huomioimisesta syntyy toki myös spesifejä, konkreettisia toimenpiteitä. Lasse kertoi, että Konecranesilla panostetaan dokumentointiin. Henkilötietojen käsittelyn ja niiden prosessien dokumentoinnilla yritys voi osaltaan täyttää osoitusvelvollisuuttaan, jonka avulla se todistaa viranomaisille noudattavansa asetusta. Sisäisten ohjeiden ja koulutusten avulla työntekijät pystyvät toteuttamaan tietosuojaa paremmin käytännössä. Konecranesilla työlääksi huomatut sopimukset olivat Kaisankin esiin nostama kohta. Käytännössä kaikki sopimukset sellaisten yhteistyökumppaneiden kanssa, joilla on pääsy henkilötietoa sisältäviin järjestelmiin, tulee neuvotella sisältämään vähintään liite henkilötiedoista.

Kaikki esiintyjät painottivat yrityksen eri funktioiden yhteistyön tarpeellisuutta. Sini vinkkasi UX-suunnittelijoiden käytöstä asiakkaalle näkyvissä ratkaisuissa ja markkinointiosaston hyödyntämisestä tietosuojan sisäisessä markkinoinnissa. Varsinkin kriisiviestintään on valmistauduttava yhdessä jo ennen kriisien puhkeamista. Tämä oli Kaisankin neuvo, sillä media on entistä kiinnostuneempi henkilötietojen käsittelystä ja niiden tietovuodoista. Konecranesilla yhteistyö toimii hyvin konkreettisesti, kun tietosuojaohjelman työtä ei haluttu tehdä siiloissa vaan kehittää tietosuojaa yhdessä samalla kertaa läpi toimintojen.

Aamiaisseminaarin tärkeintä antia on sisäistää Lassen viesti, että tietosuoja ei ole projekti vaan prosessi. Hommaa ei saa hoidettua kotiin kertaluontoisella ponnistuksella, vaan tietosuojasta tulisi tulla organisaatiossa jatkuva toimintatapa, sisäänrakennettua ja oletusarvoista toimintaa. Seminaariyleisö pohti, että tietosuojasta tulee luultavasti hygieniatekijä, asia jonka yksinkertaisesti on vain oltava kunnossa. Nino kannusti loppusanoissaan, että yritys voi kuitenkin saada kilpailuetua hoitamalla tietosuojan muita tehokkaammin, ja datan ja sen käsittelyn prosessien perkaaminen tarjoaa mahdollisuuden kehittää toimintaa muillakin tavoin.

Kaikki esitykset on nähtävillä YouTube-kanavassamme.

Aamupäivän materiaalit ovat saatavilla SlideShare-kanavassamme. Suorat linkit esitysmateriaaleihin:

Nino Ilveskero – Johdatus ihmiskeskeiseen tietosuojaan

Sini Vartiainen – Ihmiskeskeinen tietosuoja

Kaisa Keski-Vähälä – Käytännön kokemuksia tietosuoja-asetukseen liittyvistä asiakascaseista

Lasse Toivonen – Tietosuojaohjelman kehittäminen B2B-yrityksen näkökulmasta

Tanja Koikkalainen (kirjoittaja työskenteli Loihde Advisorylla syksyyn 2018)


Pidätkö lukemastasi? Tilaa blogitekstimme meiliisi.