Bisnes

Yleinen tietosuoja-asetus on muutakin kuin juridiikkaa

29.04.2019

Luottamuksen tunne ja ylivertainen asiakaskokemus ovat yrityksen keskeiset kilpailutekijät digitaalisessa toimintaympäristössä.

Yritykset ovat tähän mennessä keskittyneet luomaan käsittelyn juridisia perusteita, vaikka kyse on laajasta palvelukokonaisuudesta, joka heijastaa yksilön oikeutta dataansa. Yritysten valmiustasoa koetellaan jo tietopyyntöjen kautta päivittäin, toteaa Ineon toimitusjohtaja Timo Seppänen.

Ineo on muun muassa seurannut, miten yritykset käsittelevät tietopyyntöjä. Organisaatioilla ei ole selvää kuvaa siitä, mitä kaikkea tietoa niillä on ja mikä siitä on henkilötietoa. Oikeusperusteiden luonti on pääosin tehty, mutta käytännön tekeminen ja panostukset tiedonhallinnan valmiuksiin ovat varsin vähäisiä. 

– Monet odottavat ennakkotapauksia asetuksen soveltamisesta. Kuitenkin ne organisaatiot, jotka ovat tehneet töitä varsinaisen tietosisällön tasolla tiedostavat hyvin, että työsarkaa on, kertoo Ineon Senior Advisor Tomas Stenlund.

Miten todellisuus ja vaatimukset kohtaavat?

Ineo kohtaa usein kysymyksen siitä, mitä seurauksia GDPR:n huomioimatta jättämisellä on. Dataa on kertynyt ajan saatossa, tietoa leviää hallitsemattomasti integraatiossa ja organisaatioiden välillä tai henkilön identiteetti monistuu eri järjestelmiin ilman keskitettyä hallinnointia. 

– Yritykset mieltävät aiheen regulaatio- tai riskilähtöiseksi, vaikka kyseessä on digitalisoituvan yhteiskunnan keskeinen periaate henkilön asemasta ja oikeudesta oman henkilötietoonsa. Oikein ymmärrettynä kysymys ei ole vaatimustenmukaisuudesta, vaan luottamuksen ja ylivertaisen asiakaskokemuksen syntymisestä. Toisaalta Suomessakin on hyviä esimerkkejä siitä, miltä oikealla arvopohjalla luotu digitalisaatio näyttää, Stenlund sanoo. 

Organisaation on johonkin luotava puite, jossa henkilön ja organisaation suhde kuvataan. Koska suuri osa henkilötiedosta on epäsuoraa, kuten asiakasnumero, AD-tunnus tai palkanlaskennan henkilötunniste, on hallinnoitavan tiedon mittakaava erittäin suuri.

– Tämän suhteen useimmilla organisaatiolla ei ole kattavaa kuvaa nykytilastaan. Valmistelu on tehty suunnitteluperusteisesti, usein haastattelutietoon perustuen. Tällöin esiin on saatu oletus siitä, mitä tietoa käsitellään ja missä se sijaitsee. Todellisuus on kuitenkin merkittävästi monimutkaisempi ja arkkitehtuurien hajanaisuus tekee osoittamisvelvoitteen täyttämisestä vaativan, Seppänen näkee.

Ineon tietokantapohjainen datan indeksointi-, haku- ja luokittelupalvelu käsittelee hyvin korkealla automaatioasteella nykyjärjestelmien tiedon, niin tiedostot kuin tietokannat. Syntyneen massiivisen indeksin pohjalta henkilötieto luokitellaan asiakkaan ympäristössä luotujen hakusanastojen avulla. Tuloksena on Stenlundin mukaan poikkeuksellinen näkymä organisaation datan nykytilaan. 

– Automatisoitu GDPR eDiscovery -analyysi paljastaa henkilötietojen todellisen tilan ja auttaa arvioimaan niihin liittyviä hallinto-, riskienhallinta- ja toimenpidetarpeita. Koska palvelun automaatioaste on hyvin korkea, asiakkaan asiantuntijaresursseja ei juurikaan jouduta kuormittamaan. 

Ineo

Ineo Oy Perustettu 1999 Ineon organisaatiossa toimii noin 30 kokenutta tiedonhallinnan ammattilaista Toiminta aina tukeutunut automaatioon, tarjoten laatua, skaalautuvuutta ja tuottavuutta Liikevaihto 2,8 milj. euroa www.ineo.fi
Yrityksen verkkosivut