Blogi

GDPR ”laveasti” – pienen yrityksen kokemuksia projektista (sivutolkulla)

24.5.2018

Kirjoittaja: Pertti Eskelinen

Identiteetti Ohjelmistot Verkkoliikenne

GDPR_people_700x400Kasaan tähän alle tuntoja GDPR -projektimme vaiheilta kesäkuusta 2017 alkaen. Tämä siltä varalta, että joku toinen pieni kotimainen yritys voisi näistä kokemuksista hyötyä. Uusimmat tekstit ovat alimpana.

Tiedot Wesentran tavasta käsitellä henkilötietoja löytyvät kotisivujemme kohdassa Rekisteriselosteet (GDPR)

Nythän olemme saaneet aikaan ensimmäiset versiot dokumenteista. Matka jatkuu. 🙂

Ennen 6/2017 – tausta

Myyntitoimitamme tehtävä on pyrkiä löytämään organisaatioita, jotka voivat aidosti hyötyä ratkaisuistamme ja joilla on tarve:
1) SSL-varmenteille (oikeammin TLS-varmenteille),
2) Allekirjoitusvarmenteille (Document Signing / eIDAS, Code Signing),
3) Sähköpostivarmenteille (S/MIME),
4) Laitevarmenteille (Managed PKI – Entrust tai Microsoft – on-site tai pilvestä) tai
5) Avainten tallennuspalvelulle (HSM on-site tai pilvestä).

Tätä varten etsimme organisaatioista henkilöitä, jotka voivat kertoa näistä tarpeista. Henkilöiden nimet selviävät useimmiten keskusten, kotisivujen tai esim. LinkedIn -tiedon perusteella. Henkilöistä talletamme nimen, tittelin, puhelinnumeron ja sähköpostiosoitteen sekä tiedon organisaatiosta, jossa hän työskentelee.

6-9/2017 Alkukeskustelut

8.6.2017

Meihin otti yhteyttä ihan tuore konsultointiyritys ja kysyi kiinnostusta lähteä tutkimaan GDPR-vaatimusten vaikutusta Wesentran toimintaan.

27.6.2017

Tavattiin ja keskusteltiin. Todettiin, että olisimme varmaan ensimmäinen GDPR-asiakas konsultillemme. Ote oli kuitenkin hyvä ja asiallinen. Jos tähtäisimme vaikka tietotilinpäätökseen ja toimenpideohjelmaan, niin tässä saisi sen aikaan varmaan kustannustehokkaasti. Jos oma organisaatiomme yrittäisi core-busineksensa ohella tätä viedä eteenpäin, se voisi olla melkoista kivireen raahaamista, koska oman porukan motivointi ehkä hieman ”turhaltakin tuntuvaan” toimintaan voisi olla vaikeaa.

5.9.2017

Ensimmäinen tapaaminen konsulttimme kanssa siten, että tiimimme oli mukana. Käytiin läpi 24 kysymyksen lista siitä, missä ollaan menossa GDPR-vaatimusten osalta. Silmiä aukaiseva kokemus 🙂 – päällimmäisinä jäivät mieleen:

  • CRM muodostaa suurimman rekisterin, jossa olemme rekisterinpitäjä. Ja tänne on vain kasattu asiakaskontakteja – turhia ei ole poistettu missään vaiheessa. Tässäpä työsarkaa. Ideaali (myös Wesentran kannalta) lienee, että järjestetyssä muodossa ovat vain sellaisten henkilöiden tiedot, jotka ovat aktiivisia kontaktejamme. Jos emme saa kiinni tai henkilö pyytää poistamaan tiedot, ne voivat jäädä osaksi historiatietoja. Mutta ne eivät voi olla haettavissa hakuehdoilla.
  • Meidän pitää luoda prosessi siihen, että joku kontaktimme pyytää päästä pois rekistereistämme. Yksi idea voisi olla, että tällaisessa tilanteessa pyydämme henkilöä laittamaan meiltä tulleen mailin tms. joka osoittaa, että hän on rekistereissämme.
  • Meidän tulee käydä läpi menettely, jolla varmistamme, että esim. CRM-käyttöoikeudet eivät ole joutuneet vääriin käsiin. CRM-järjestelmän toimittajalta voisi esim. kysyä, pääseekö jostain näkemään, mistä IP-osoitteista + milloin on kirjauduttu järjestelmään ko. tunnuksilla edellisen kerran

Parhaimmillaan tästä kokemuksesta muodostuu jotain sellaista, joka saattaa hyödyttää asiakkaitamme, ja jota kannattaa jakaa. Katsotaan.

16.10.17 – Keskustelua meitä askarruttaneista asioista ennen projektin aloitusta

Otimme seuraavat kysymykset esille konsulttimme kanssa ennen kuin sitouduimme projektiin:

  • Onko tämän käsittely meille pakollista?
    • Tietosuoja-asetuksen noudattaminen on pakollista kaikille henkilötietoja käsitteleville yrityksille koosta riippumatta.
  • Toki jokaisen pitää, mutta päädymmekö aika nopeasti siihen ettei meillä ei oikeasti ole mitään mitä tietotilinpäättää?
    • Tuottamamme sisäinen tietotilinpäätös on yksi tapa valmistautua GDPR:n soveltamiseen.
    • Sisäinen tietotilinpäätös on kuvaus yrityksen henkilötietojen käsittelystä ja sisältää mm. henkilötiedon käsittelyn prosessikuvaukset, vastuut, tietoturvallisuus näkökulmat, sekä kehitysehdotukset ja suunnitelman kehitystyön toteuttamisesta
    • Se vastaa erityisesti asetuksen vaatimaan osoitusvelvollisuuteen.
  • Me varmaankin voimme manageerata käsin nuo pienet määrämme. Jos meillä on mappi jonka nimi on sopparit sekä outlook-osoitekirjat ja henkilökohtaiset linkedin-kontaktit + käyttäjätietokanta, niin ammummeko liian isolla tykillä ammutte nyt tätä asiaa. CRM:stä saadaan deletoitua kontakti aktiivisista, jos asiakas pyytää.
    • Voitte, mutta joudutte tarvittaessa esittämään viranomaiselle tarvittavan dokumentaation tavoistanne käsitellä ja suojata henkilötietoja. Asetuksen mukaan tietojen tarpeeton säilyttämien on kiellettyä. Tietääkö asiakas, että hänen tietonsa ovat rekisterissänne? ja jos ei, miten hän voi pyytää niitä poistettavaksi?
  • https://www.asiakastieto.fi/web/fi/uutiset/mika-tietosuoja-asetus-gdpr-ei-varmaan-koske-meidan-yritysta.html toteaa: ”Monet varsinkin pienet yritykset eivät tule ehkä ajatelleeksi, että niillä ylipäätään on asiakasrekisteri ja siihen tallennettuna henkilötietoa. Asiakkaan ei välttämättä tarvitse olla kuluttaja, mutta rekisterissä voi silti olla henkilötietoa esimerkiksi asiakasyrityksen päättäjistä. Kysyttäessä yrityksen on pystyttävä kertomaan, mistä ja milloin tiedot on saatu sekä perustelemaan niiden rekisteröintiperuste” > Voiko olla niin, että vastaus löytyy sieltä CRM:stä, eli ”Pekka soitti pankista ja kysyi jotain ja käytiin palaverissa ja siksi meillä on Pekan puhelinnumero”.
    • Teidän pitää pystyä myös vastaamaan kysymyksiin esimerkiksi tietojen suojaamisesta. Esimerkkinne herättää kysymyksen: Tietääkö Pekka, että hänen henkilötietonsa (nimi, puhelin numero) on rekisterissänne? Antoiko hän suostumuksensa tietojensa rekisteröintiin? yms.
  • Onko helpoin tapa vain kirjata nämä periaatteet ylös nimimerkillä ”tämä on Wesentran tapa”
    • Periaatteet pitääkin kirjoittaa ylös ja ne pitää tarvittaessa pystyä esittämään viranomaiselle. Huomioikaa, että Wesentran tavan on täytettävä asetuksen vaatimukset. Asetuksen artikla 24, rekisterinpitäjän vastuu: Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
  • Todettiin, että jos asiaan paneuduttaisiin, pystyttäisiin tarvittavat toimenpiteet varmaan määrittämään riittävällä tasolla. Mutta iso kysymys on, tulisiko tämä tehtyä? Jokaisella on omat tehtävänsä. Tämä saattaisi jäädä muiden jalkoihin tai tulla tehtyä huonosti. Jos tässä on ulkopuolinen ”painostaja”, niin auttaako tämä asiaa?
    • Voitte, mutta aiheeseen paneutuminen ja tarvittavien toimenpiteiden suorittaminen tulee viemään teiltä aikaa. Tähän käyttämänne aika on aina pois ns. tuottavasta työstä.
  • Mitä tällä rahalla saisimme.
    • Tarjous sisäisen tietotilinpäätöksen tuottamisesta ja tietoriskikartoituksen tekemisestä. Sisäinen tietotilinpäätös on kuvaus yrityksen henkilötietojen käsittelystä ja sisältää mm. henkilötiedon käsittelyn prosessikuvaukset, vastuut, tietoturvallisuus näkökulmat, sekä kehitysehdotukset ja suunnitelman kehitystyön toteuttamisesta. Tietoriskikartoitus sisältää tietoriskien tunnistamisen sisäisellä auditoinnilla, sekä potentiaalisten ongelmien analyysillä.
    • Tarjouksemme mukaisten töiden tuottama dokumentaatio osoittaa viranomaiselle asetuksen vaatimusten mukaisten asioiden noudattamisen, mutta tietosuoja-asetus tulee vaatimaan teiltä prosessin omaista tietosuojan kehittämistä myös tulevaisuudessa. Tämä on huomioitu suunnitelmassa kehitystyön toteuttamiselle.
  • Toivottiin, että saamme tuloksen, jonka voimme julkaista esim. blogissa tai kotisivuilla
    • Tuottamanne tulokset tietosuojanne nykytilasta ja asetuksen vaatimustenmukaisuudesta ovat lähtökohtaisesti sisäiseen käyttöön ohjaamaan henkilötietojenne käsittelyä ja suojaamista. Halutessanne, voitte julkaista tuloksia oman harkintanne mukaan. Markkinointimielessä tietosuojan kehittämistyön aloittamisesta, etenemisestä, sekä valmistumisesta kannattaakin julkaista esim. blogitekstejä.

Ja sitten lähdettiin liikkeelle

30.11.2017

Sopimus allekirjoitettiin marraskuussa. Konsultti aloitti kyselyllä, jonka jokainen meistä viidestä täyttää. Kirjoittelin itse esimerkiksi seuraavaa (mikä kuvannee tehtävää). Noita rekistereitä ei löytänyt kovin montaa: HR-järjestelmä, joka on sama kuin talous-/laskutusjärjestelmä, Entrustin kolme portaalia, joilla hallitaan varmenteita ja CRM. Sen lisäksi verifiointiasiantuntijat kirjoittavat tietoja verifiointijärjestelmiin.

31.1.2018

Pidetään juuri nyt ensimmäistä webinaaria, jossa käydään läpi kyselyjen tuloksia. Tuntuu erittäin hyödylliseltä läpikäynniltä. Sekä konsultin tiimi että Wesentran koko tiimi on mukana. Tässä muodostuu omiakin uusia käytänteitä – esimerkiksi miten yli kaksi vuotta vanhat henkilötiedot tullaan poistamaan rekistereistä. Tämän perusteella konsultti toteaa tekevänsä kuvausehdotukset käyttöönotettavista prosesseista sekä rekisteriselosteet. Konsultti oli tutustunut käyttämiimme järjestelmiin ja niiden tietoturvataustaaan. Ihan hyvä 🙂

2.2.2018

Kävimme konsultin kanssa läpi CRM-järjestelmäämme. Siinä on myös henkilöiden nimiä historian hämärästä. Nämä kaikki ovat hakutoimintojen piirissä. Osa niistä on turhia. Sovimme alustavasti, että kun asiakkaan nimi on mainittu yrityksen historiatiedoissa, niin sinne se saa jäädä, koska asiakasta ei voida hakea esim. nimen, yrityksen tms. perusteella.

Tuloksia alkaa muodostua

6.2.2018

Saatiin kauppaan kuuluvat konsultin tekemät rekisteriselosteet.

15.3.2018

Ehdin viimein käydä läpi konsultin viikko sitten lähettämän ensimmäisen version tietotilinpäätöksestä. Näyttää löytäneen omasta mielestänikin oleellisimmat henkilötietoihin liittyvät prosessit. Konsultti on myös käynyt osin palvelutoimittajiemme kanssa läpi heidän prosessejaan – mikä on oleellista.

Sitten pidettiin riskienkartoitussessio – meiltä mukana CFO + CEO. Käytiin tunnissa läpi reilut puolet niistä riskeistä, joita konsultti on prosessin aikana tunnistanut.

Hyvä sessio päätyi kahteen mielenkiintoiseen (omaan) ajatukseen.

1.  Jos asiakkaamme yhteyshenkilö toteaa: ”Poistakaa minut rekistereistänne, enkä halua, että minuun ollaan enää yhteydessä” – niin saammeko kirjata ja säilyttää kontaktihenkilön nimellä sen tiedon, että häneen ei saa olla yhteydessä?

2. Pitääkö meillä olla henkilön lupa ensikontaktia varten? Saako henkilön kontaktoida luvan saamiseksi? ;-D

(Kun fyysikon koulutusta ei muuten ole paljoa päässyt hyödyntämään, niin ainakin paradoksit kiehtovat 🙂 )

2.5.2018 Lopuksi

Olen kirjoittamassa tätä kun valmistelemme GDPR-tietojen julkaisemista. Tyytyväisin mielin voi todeta, että olemme lähteneet ilmeisesti riittävän aikaisin liikkeelle.

Tietotilinpäätöksen ensimmäisestä versiosta on otettu oleelliset tiedot, jotka julkaistaan lähiviikkoina kotisivuillamme. Siinä on muuten otettu kantaa tuohon 15.3. todettuun paradoksiinkin 🙂 Kohdassa ”Lainmukaisuus” todetaan:

”Kohdan f, oikeutettu etu mahdollistaa Wesentralle yritysasiakkaiden yhteystietojen keräämisen ja säilyttämisen markkinointitarkoituksessa. Kyseistä kohtaa voidaan perustellusti soveltaa myös tilanteessa, jossa yritysasiakas kieltää häneen kohdistuvan markkinoinnin, sekä käyttää oikeuttaan tulla unohdetuksi. Tällöin Wesentralla on perusteet olla poistamatta henkilöntietoja rekisteristään, koska asiakkaan oikeutettu etu vaatii, että hänelle ei kohdisteta markkinointia tulevaisuudessa. On myös Wesentran oikeutettu etu säilyttää tiedot, jotta se ei suorittaisi kiellon vastaisesti markkinointia yritysasiakkaalle.”

Eli jos henkilö pyytää sitä, että häneen ei enää olla yhteydessä, jää henkilön tieto rekisteriin merkinnällä ”ei halua kontaktointia”.

CRM-toimittajamme kanssa olemme käyneet läpi myös tilanteen, jossa henkilö pyytää nimensä poistamista kokonaan CRM-rekisteristämme. Tämäkin voidaan tarvittaessa toteuttaa. Tällöin voimme muuttaa henkilön nimen muotoon ”Halunnut Poistoa”, jolloin emme enää pysty hauilla löytämään henkilön tietoja. Henkilön nimihän jää edelleenkin historiatietoihin esimerkiksi talletetuissa mail-osoitteissa jne. Tämä on kuitenkin käsityksemme (ja konsultin käsityksen) mukaan lain mukaista. Tämä myös helpottaa ”CRM-siivoustarpeita” – henkilöiden tiedot poistetaan rekisteristä vain pyydettäessä. Muuten ylläpidetään tietoa siitä, milloin tiedot on päivitetty.

Olemme jo laittaneet osan prosesseista kuntoon GDPR:n kannalta. Teemme työlistan ensi kevättä varten. Silloin tarkastamme, missä vaiheessa olemme.

Päätän tämän (tähän asti) pisimmän blogikirjoitukseni tällä erää tähän 🙂

 

Lue lisää

Blogi
Ajankohtaista Data Identiteetti
14.11.2023

Emmekö ole vieläkään oppineet, vaan klikkailu jatkuu?

Markku Helli

Phishing eli kalasteluviestit ovat edelleen ajankohtaisia. Lue viimeisimmät huomiot blogistamme!

Jatka lukemista
Blogi
Ajankohtaista Verkkoliikenne
13.10.2023

Varmenteiden hallintapalvelu CeMan

Marjo Janhonen

Varmenteiden hallintapalvelu CeMan (Certificate Management) auttaa yrityksen varmenteiden eli sertifikaattien hallinnassa, kun niiden käyttö lisääntyy tai tarpeet monimutkaistuvat.

Jatka lukemista