EU:n toukokuussa 2018 voimaan astuvasta tietosuoja-asetuksesta, tuttavallisemmin GDPR:stä, on puhuttu viime aikoina paljon. Lyhyesti kiteytettynä tietosuoja-asetuksen tavoitteena on yksilön oikeuksien ja vapauksien vahvistaminen. Siksi tietosuoja-asetus patistaa rekisterinpitäjiä ja yrityksiä tarkistamaan käytännöt, joita henkilötietojen käsittelyssä sovelletaan.
GDPR:stä on järjestetty useita koulutuksia ja seminaareja jo vuoden päivät. Olen kuitenkin huomannut, että kaikesta metelistä huolimatta monelle organisaatiolle asetus ja sen mukanaan tuomat velvoitteet ovat edelleen aika hepreaa. Ongelmana on ehkä ollut se, että tähän mennessä järjestetyt koulutukset on pääosin suunnattu yritysten tietoturva- ja it-päälliköille sekä juristeille, vaikka asia koskee meistä jokaista.
Tajusin tietosuoja-asetuksen liittyvän olennaisesti omaan työhöni luettuani Tilaajavastuun laki- ja sopimusasioista vastaavan Saaran tekstin aiheesta. Tietosuoja-asetus ei todellakaan ole vain organisaatioiden juristien ja tietoturvavastaavien päävaiva. Lähes jokainen käsittelee työssään henkilötietoja tai on muuten tekemisissä niiden kanssa tavalla tai toisella. Pelkästään CRM-järjestelmien päivittäminen ja ylläpito vaatii henkilötietojen käsittelyä.
Uusia käytäntöjä ja yhteistyötä
Tietosuoja-asetus vaatii paljon toimenpiteitä yrityksiltä. Yrityksen tietosuojakäytäntöjen lainmukaisuus on analysoitava ja tarkastettava, ja toimintatapoja on oltava valmis muuttamaan, jotta asetuksen mukaiset tietosuojaperiaatteet toteutuvat ensi toukokuussa. Siksi on ensisijaisen tärkeää, että teemme aktiivisesti yhteistyötä sekä sisäisesti että partnereidemme ja rajapintoja käyttävien asiakkaidemme kanssa. Näin varmistamme, että sopimuksemme, toimintatapamme ja tietojärjestelmämme ovat tietosuoja-asetuksen mukaiset.
Rakennusalan ilmoitusmenettely loi aikoinaan meille tarpeen tehdä yhteistyötä kiinteistö- ja rakennusalan ohjelmisto- ja palvelutoimittajien kanssa. Tältä pohjalta loimme nykyisen partneriohjelmamme vuonna 2012. Nykyään partneriohjelmassamme on mukana noin 90 yritystä, jotka edustavat kiinteistö- ja rakennusalan parhaita ohjelmisto- ja palvelutoimittaja, kouluttajia sekä taloushallinnon palvelutuottajia. Partneriemme asiakkaina on tuhansia Tilaajavastuun rajapintoja käyttäviä organisaatioita, jotka hyödyntävät rajapintoja mm. hakiessaan:
- aliurakoitsijoiden tilaajavastuutietoja
- yritysten työntekijätietoja
- Valttikorttitietoja.
Tarjoamme näiden rajapintojen kautta esimerkiksi yli 50 000 yrityksen tilaajavastuulain mukaiset tilaajavastuutiedot.
GDPR-seminaaripäivän eväitä
Koska tietosuoja-asetus koskettaa meitä kaikkia, järjestimme 16.5.2017 partnereillemme ja rajapinta-asiakkaillemme seminaarin. Siellä saimme ensikäden tietoa tietosuoja-asetuksesta ja sen vaikutuksista liiketoimintaan. Iloksemme saimme seminaariin puhujiksi huippuasiantuntijat: Terho Nevasalon HPP Asianajotoimistosta ja Antti Vähä-Sipilän F-Securelta.
Terho Nevasalo on erikoistunut ICT-alan oikeudellisiin kysymyksiin sekä tietosuojaan ja tietoturvallisuuteen. Hän on käynyt puhumassa paljon tietosuoja-asetuksesta, mm. Ohjelmistoyrittäjät ry:n tilaisuuksissa. Terho keskittyikin kertomaan omassa esityksessään juuri tietosuoja-asetuksesta yleisesti sekä siitä, mitä tulisi ottaa huomioon jatkossa ICT-alan hankinta- ja ylläpitosopimuksissa sekä lisenssisopimuksissa.
Antti Vähä-Sipilä on yksi F-Securen johtavista tietoturva-asiantuntijoista, ja hänellä on yli 12 vuoden kokemus tietoturvan parissa. Hän on konsultoinut yrityksiä ja valtionhallinnon organisaatioita mm. turvallisessa ohjelmistokehityksessä ja yksityisyyden vaikutusten arvioinnissa. Antti keskittyikin omassa esityksessään kertomaan tietosuoja-asetuksen vaikutuksista ohjelmistoarkkitehtuuriin sekä siihen, mitä haasteita ja mahdollisuuksia tietosuoja-asetus tuo.
Vaikka monet organisaatiot ovat vasta heräämässä tietosuoja-asetuksen vaikutuksiin, on oma näkemykseni se, että yhdessä ja yhteistyöllä voimme varmistaa sen, että ketään ei jätetä yksin. Yhdessä miettimällä ja keskustelemalla voimme varmistaa, että GDPR:n asettamat velvoitteet hoituvat.
