Yritysten olisi syytä ottaa tietosuoja-asiat vakavasti

Konttorimixin toimitusjohtaja Pasi Liukas (vas.) tutkii D-Fencen Mikko Lankisen kanssa Konttorimixin tietosuojamappia, johon on koottu kaikki yrityksen tietosuojaa koskevat dokumentit. Kuva: Elina Helkelä

– Tuoreen tutkimusraportin mukaan Suomessa tehtiin viime vuonna lähes 140 000 identiteettivarkautta. Se on neljä tapausta tunnissa, toteaa D-Fence Oy:n yritysmyyjä Mikko Lankinen.

Hän arvelee, että ainakin osassa tapauksista on ollut kyse siitä, että ihmisten henkilötiedot ovat joutuneet leväperäisen käsittelyn seurauksena vääriin käsiin.

– Yritysten pitää ottaa tietosuoja-asiat nyt vakavasti, sillä hyvin hoidettu tietosuojakäytäntö on yrityksen imagon kannalta ensiarvoisen tärkeää. Siten yritys voi osoittaa luotettavuutensa ja arvostuksensa asiakasta kohtaan, Lankinen jatkaa.

Toukokuun lopulla 2018 kaikissa EU-maissa voimaan astunut GDPR-asetus (General Data Protection Regulation) antaa suojan yksilön henkilötiedoille sekä eri organisaatioiden ylläpitämille rekistereille, olivatpa ne sitten henkilö- tai asiakasrekistereitä.

Lain mukaan esimerkiksi yrityksellä on informointivelvoite tietoturva-asioiden hoitamisesta, minkä lisäksi sen pitää pystyä pyydettäessä osoittamaan, miten asiakkaiden luovuttamia henkilötietoja käsitellään ja ketkä niitä näkevät.

Vaikka GDPR:stä on puhuttu paljon, ja vaikka aiheesta on järjestetty lukuisia koulutustilaisuuksia, ovat tietosuoja-asiat Konttorimixin toimitusjohtajan Pasi Liukkaan mukaan edelleen suurimmalle osalle yrittäjistä hepreaa tai niitä ei oteta vakavasti.

– Väitän, että todella monen yrityksen arkistoissa on tälläkin hetkellä läjäpäin papereita tai käytöstä poistettuja tietokoneita, jotka sisältävät yrityksen asiakkaita tai henkilöstöä koskevia tietoja, joiden tarpeellisuus tai säilytysaika on ylittynyt ja ne olisi pitänyt jo hävittää.

Liukas kertoo, että lähes päivittäin Konttorimixiin tulee ihmisiä, jotka on käännytetty jäteasemalta takaisin, kun he ovat olleet viemässä sinne vanhoja arkistodokumentteja.

– Kaatopaikka ei ota niitä vastaan, sillä ne pitää tuhota asianmukaisesti. Perinteinen ”vappuviuhkaa” tekevä silppuri ei riitä, vaan asiakirjojen tuhoamisessa täytyy käyttää ristikkäissilppuria, jo 20 vuotta arkistopapereita ja vanhoja tietokoneita hävittänyt Liukas tietää.

Raumalainen Konttorimix ja valtakunnallinen D-Fence Oy tekevät nyt yhteistyötä, jonka ansiosta raumalaisyrityksille tarjoutuu mahdollisuus hoitaa tietoturva- ja tietosuoja-asiansa kuntoon kokonaisvaltaisesti ”yhden luukun periaatteella”.

– GDPR-asiat koetaan yleisesti melko vaikeaselkoisiksi, eikä yrityksissä ole juurikaan aikaa perehtyä niihin. Siihen me tarjoamme ratkaisun. Me hoidamme yrityksen tietoturvaa koskevan virallisen puolen, ja Konttorimix huolehtii aineistojen ja laitteistojen tuhoamisesta, Mikko Lankinen selvittää.

EasyGDPR-ratkaisulla koostetaan yrityksen tietoturvatilinpäätös, joka kokoaa kaiken aiheeseen liittyvän materiaalin yhteen.

Näin esimerkiksi viranomaisten ja muiden sidosryhmien on helpompi löytää etsimänsä tiedot yrityksen tietoturvasta.

– Tietääkseni Suomessa ei ole ketään vielä sakotettu tietoturva-asioiden laiminlyönnistä, mutta muualla Euroopassa monet yritykset ovat joutuneet maksamaan sakkoa sievoisia summia. Olemme nähneet näissä asioissa nyt vasta pienen lumihiutaleen sen kuuluisan jäävuoren huipulla. Jonain päivänä tietoturva- ja tietosuoja-asiat rävähtävät isosti esille, ja silloin monet yritykset ovat pulassa, Pasi Liukas summaa.

Suomen tietosuojalain viisi keskeisintä vaatimusta yrityksille:

1. Rekistereiden kartoitus
2. Tietovirtakuvausten teko (sisäisten prosessien dokumentointi)
3. Tietosuojaselosteiden teko (informointivelvoite)
4. Tietosuojaosaamisen osoittaminen (poikkeamat, sopimukset,osoitusvelvollisuus yms.)
5. Kokonaisuuden jatkuvan ylläpidon osoittaminen

Liike-elämässä tapahtuu -juttusarjassa kerromme Rauman seudun yritysten kuulumisia.