Kaikki artikkelit yrityksille

Älä pelkää GDPR:ää – EU:n tietosuoja-asetus on tunnollisille yrityksille iso bisnesmahdollisuus

5 min

Toukokuussa 2018 voimaan astuva EU:n tietosuoja-asetus on nähty julkisuudessa enimmäkseen peikkona, joka uhkaa yrityksiä sanktioilla ja julkisella häpeällä. Edelläkävijäyrityksille GDPR voi kuitenkin olla myös suuri liiketoimintavaltti, jonka ytimessä on luottamus.

”Huomattava osa GDPR-aiheisesta julkisesta keskustelusta on paniikin lietsontaa. Uudistuksen alkuperäinen tarkoitus on jäänyt liiallisen murehtimisen alle”, pohtii Tarmo Hassinen.

Hassinen työskentelee Telian asiantuntijatiimissä ja on keskittynyt tietoturvakysymyksiin. Hän korostaa, että EU:n tietosuoja-asetuksen kantava ajatus on luottamuksen rakentaminen yhteneväisellä ja läpinäkyvällä käytännöllä koko EU:n alueella. Sen avulla parannetaan digitaalisen talouden kasvuedellytyksiä suojaamalla henkilötietojen liikkuvuus EU:n alueella sekä vahvistamalla ihmisten oikeuksia itseään koskevan datan käsittelystä.

”GDPR-asetus on alun perin ajettu läpi nimenomaan siksi, että se nähdään EU-alueen digitaalisen liiketoiminnan kehityksen kulmakivenä ja edesauttajana. Kansalaisten oikeuksia vahvistava asetus on oleellinen lisä lainsäädäntöön. Nyt tietojen käsittelylle saadaan yhteiset pelisäännöt. Tällä hetkellä EU:n henkilötietojen käsittelyä koskeva lainsäädäntö on vuodelta 1995, jolloin internet oli kaukana nykyisestä valta-asemastaan ja käyttäjädataa kerättiin paljon säästeliäämmin.”

Monia yrityksiä huolestuttavat etenkin EU:n tietosuoja-asetuksen noudattamatta jättämisestä säädetyt sanktiot, jotka voivat nousta jopa 20 miljoonaan euroon tai neljään prosenttiin yrityksen vuotuisesta liikevaihdosta. Hassinen kuitenkin muistuttaa GDPR:n tuovan lisää luottamusta myös yritysten välisiin suhteisiin.

”Sanktioita paljon isompi ongelma on se mainekolaus, joka syntyy, jos tietoa karkaa vääriin käsiin. Sellainen järisyttää yritystä myös taloudellisesti. Esimerkiksi osa viime vuosien suurimmista pörssikurssipudotuksista on johtunut siitä, että yritys on jäänyt kiinni asiakastietojen vuotamisesta. EU:n tietosuojavaatimusten täyttäminen tekee yrityksestä uskottavamman kumppanin ja houkuttelevamman sijoituskohteen.”

Hassinen näkeekin, että yrityksen, jolla on vedenpitävät suunnitelmat ja valmiit toimintamallit GDPR-vaatimusten toteuttamiseen, kannattaisi viestiä edelläkävijyydestään myös asiakkailleen. Asiakas saattaa maksaa vähän enemmän yritykselle, johon hän voi varmasti luottaa.

Viisi yleistä väärinymmärrystä

Tarmo Hassinen auttaa etenkin keskisuuria yrityksiä GDPR-hankkeissa. Valtaosa näistä firmoista toimii Suomessa, mutta mukana on myös globaaleilla markkinoilla vaikuttavia yrityksiä.

Hän on huomannut, että organisaation toimialasta ja koosta riippumatta yritysten kysymyslistalla toistuvat tietyt GDPR:ää koskevat uskomukset, jotka saattavat joskus jarruttaa hankkeen etenemistä. Tässä niistä yleisimmät, vastausten kera:

Onko Suomi GDPR-asioissakin EU:n mallioppilas, joka tekee asioita liian tunnollisesti?

”Jotkut tuntuvat epäilevän, ettei tietyissä Etelä-Euroopan maissa tehdä GDPR-hankkeita yhtä perusteellisesti kuin Suomessa. Samat säännöt koskevat kuitenkin myös sikäläisiä yrityksiä – sekä myös kiinalaisia ja muita EU:n ulkopuolella pääkonttoriaan pitäviä firmoja, joilla on liiketoimintaa EU:n sisällä.”

”GDPR-asioissa tunnollisuudesta on hyötyä. Näen vaatimusten mukaisen toiminnan isona bisnesmahdollisuutena ja erottautumistekijänä niille suomalaisyrityksille, jotka tekevät kauppaa muuallakin EU:n alueella. Jos samasta asiakkaasta kisaa kaksi yritystä, joista suomalainen täyttää asetuksen asettamat vaatimukset ja sen kilpailija ei, kumpaan arvelet asiakkaan luottavan? Keneen luotat, sen yleensä myös valitset.”

Ei kai uudistus koske meidän organisaatiotamme?

”Tätä kuulee onneksi enää aika vähän, mutta kerrataan vielä: GDPR koskee kaikkia henkilötietoja käsitteleviä organisaatioita sekä yksityisellä että julkisella sektorilla, järjestöissä ja säätiöissä. Yleensä liiketoimintojen vastuuhenkilöt eivät lähde kyseenalaistamaan tätä asiaa. He ymmärtävät, että asetus on asetus, ja nyt pitää vain lähteä toimimaan. Heitä kiinnostaa eniten toimintamalli, jolla saavutetaan mahdollisimman ripeästi ja tehokkaasti asetuksen vaatimukset.”

Kannattaako meidän tehdä mitään, kun asetuksen sisällöstä ei ole vieläkään varmuutta?

”Ei siellä kyllä kovin paljon epäselvää ole. On totta, että ministeriötason työryhmä möyhii edelleen, mitä kaikkea GDPR Suomen osalta tarkoittaa, ja EU:n suunnaltakin voi vielä tulla joitakin pieniä tarkennuksia. Pääkohtiin ei kuitenkaan ole tulossa mullistuksia, jotka tekisivät valmistautumisen turhaksi. Kannattaa tehdä toimenpidesuunnitelma nykyisten tietojen pohjalta, sillä tosiasia on, että 25. toukokuuta 2018 asetuksesta tulee lainvoimainen.”

Entä jos emme millään saa kaikkea kuntoon toukokuun loppuun mennessä?

”Tämä on hyvin yleinen kysymys, johon en valitettavasti osaa antaa tyhjentävää vastausta. Uskon kuitenkin, että peli ei ole menetetty, vaikka joitakin yksityiskohtia olisi tuolloin vielä hiomatta. Jos organisaatiossa on tehty henkilötietokartoitukset ja jos sillä on olemassa GDPR:n kehittämiseen tiekartta sekä toimintamalli ja jos se kykenee tarvittaessa osoittamaan, että henkilötiedot on suojattu tiekartan suunnitelmien mukaisesti, se on jo varsin pitkällä.”

”Täytyy myös muistaa, että GDPR:n mukainen toiminta edellyttää jatkuvia prosesseja mm. riskienhallinnan ja vaikkapa havainnoinnin osilta. Eli GDPR-projekti ei ole vain projekti, joka alkaa ja loppuu, vaan sen myötä rakentuu toimintamalli henkilötietojen käsittelystä.”

Tuleeko tästä taas yksi asia lisää tietohallinnon vastuulle?

”GDPR mielletään herkästi lähinnä tietohallinnolle kuuluvaksi asiaksi, koska se koskee tietoturvaa ja -suojaa. Kuvaisin sitä pikemminkin liiketoiminnan mahdollistajana. Liiketoiminnan jatkuvuuttahan tässä nimenomaan turvataan. Jatkuvuus ei tarkoita pelkästään sitä, että teemme itse asiat oikein, vaan velvoitamme osaltamme myös kumppanit, alihankkijat ja sopimusteitse yhteistyötä tekevät tahot tekemään asioita samojen standardien mukaisesti.”

”Oikeastaan GDPR nostaa tietohallinnon roolia liiketoiminnassa. Asetus ei tuo teknisesti mitään kovin järisyttävää uutta, mutta nopeuttaa ja helpottaa tietohallinnon asioiden eteenpäin viemistä liiketoiminnan varmistavien ja mahdollistavien toiminnallisuuksien tuottamisessa. Digitalisaation edetessä voi olla, että perinteinen, erillinen tietohallinto jopa jalkautuu pysyvästi liiketoimintayksiköihin, jolloin yhtenevän toimintamallin tärkeys vain korostuu.”

Lue lisää: GDPR tarjoaa tietohallinnolle väylän yritysjohdon sydämeen

GDPR tulee - oletko valmis?

Tietosuoja- ja tietoturvakysymyksiä ei tarvitse pähkäillä yksin. Telian asiantuntijat auttavat sinua parhaiden käytäntöjen luomisessa. Varmistetaanko yhdessä, että voit nukkua yösi levollisesti, vaikka toukokuu 2018 lähestyy?

Jätä yhteystietosi meille

Artikkelin aihealueet

Tietoturva