Käärmeöljykauppiaan eliksiiriä?

Tietosuoja nähdään monessa yrityksessä ainoastaan kustannuksena. GDPR-huuman käärmeenöljykauppiaat lupailivat eliksiirinsä hoitavan yritysten GDPR-kolotuksen – ”100 % GDPR vaatimustenmukaisuus helposti ja vaivattomasti!” Jopa tietosuojavaltuutettu moitti GDPR-konsultteja rahastamisesta ja harhaanjohtamisesta. Jos halusit päästä helpolla – ostaa dokumentin tai analyysin, joka laskun maksamisen jälkeen unohtui pöytälaatikkoon tai nettisivun footeriin – koet epäilemättä GDPR:n hyödyttäneen vain konsulttia.

Tietosuoja tuo investoinnit takaisin keskimäärin 2,7-kertaisena

Tuoreen Ciscon tutkimuksen mukaan yli 40 % yrityksistä saa yli kaksinkertaisesti takaisin sen, minkä ne ovat tietosuojaan investoineet. Hyödyt tulevat mm. siitä, että tietosuojaprosesseilla saadaan tehostettua myyntiä, minimoitua tietoturvaloukkausten seuraamuksia, mahdollistettua ketteryyttä ja innovointia, parannettua yrityksen asemia sijoittajien silmissä sekä rakennettua luottamusta kuluttajien suuntaan. Tutkimuksen mukaan yritykset saavat sijoittamaansa yhtä dollaria vasten keskimäärin 2,7 dollaria hyötyä. Vain 8 prosenttia vastaajista kertoi investointien ylittävän tietosuojatyön hyödyt.

Investointien kokoluokasta antaa osviittaa Ciscon tutkimuksen lisäksi IAPP:n ja EY:n Annual Privacy Governance Report 2019 -tutkimus, jonka mukaan amerikkalaiset yritykset käyttivät vuodessa keskimäärin 952.000 dollaria tietosuojatyöhön verrattuna eurooppalaisten 387.000 dollariin. Työntekijää kohden yritykset käyttivät 11-207 dollaria kustannuksen ollessa suurin alle 5000 työntekijää työllistävillä yrityksillä. Tutkimuksen mukaan 62 prosenttia vastaajista piti heille allokoitua budjettia liian alhaisena velvoitteidensa hoitamiseen.

Tietosuojamaturiteetin kasvattaminen tuo eniten hyötyjä

Mielenkiintoista Ciscon tutkimuksessa oli se, että mitä kehittyneempi tietosuojan taso organisaatiossa oli, sitä enemmän ROI (return on investment) kasvoi. Tutkimus siis osoittaa, että saadakseen kasvatettua tietosuojan kypsyystasoa, yrityksen tulee investoida, mutta nämä investoinnit tulevat takaisin suhteellisesti suurempina.

Iconics (nyk. Folks) on avustanut useita yrityksiä tietosuojamaturiteetin kasvattamisessa. Käytämme työssämme American Institute of Certified Public Accountants (AICPA) ja Canadian Institute of Chartered Accountants (CICA) -järjestöjen luomaa standardoitua mallia. Pyrimme luomaan yhdessä asiakkaan kanssa keinoja, joilla voidaan tulipalojen sammuttelun sijaan (ad hoc -taso) rakentaa toistuvia ja määriteltyjä prosesseja (repeatable ja defined -tasot) sekä lopulta hallita ja optimoida prosesseja koko organisaation parhaaksi (managed ja optimized -tasot).

Tietosuojan kypsyysaste kulkee usein käsikädessä organisaation muiden bisnesprosessien kypsyysasteen kanssa. Erityisesti sen tulisi seurata digitalisaatioon ja datan hyödyntämiseen liittyvien prosessien kehitystä – yhteen kanavaan pohjautuva asiakasnäkymä vaatii varsin erilaisia tietosuojapanostuksia kuin 360-asteen omnichannel -strategian toteuttaminen. Jos yhteyttä näiden välillä ei nähdä, organisaatiolla voi olla dataa ja tekoälyä, mutta ei lainsäädännön sallimia keinoja niiden hyödyntämiseksi. Siinä jos missä, valuu investoinnit hukkaan tai otetaan tarpeeton compliance-riski, joka voi johtaa maineen/luottamuksen vahingoittumiseen, hallinnollisiin sanktioihin, vahingonkorvausvaatimuksiin taikka taloudellisiin menetyksiin datan käytön rajoittamisen ja/tai palveluihin liittyvien muutostöiden johdosta. Vastaavasti on selvää, että tietosuojapanostukset perinteisemmällä yrityksellä voivat olla maltillisempia.

Tee itse vai hanki apua?

Jos organisaation oma aika menee tulipalojen sammutteluun, voi olla paikallaan hankkia ulkopuolista apua muutoksen vauhtiin saamiseen. Asiantunteva konsultti voi tarjota näkemyksiä parhaimmista käytännöistä ja saada muutoksen kehikon luotua tehokkaammin kuin organisaation sisäinen tietosuoja-asiantuntija.

Kypsyystason kasvaessa oletettavasti myös työn painopiste siirtyy takaisin organisaation sisälle. Ohjelmallisen mainonnan kieltä lainatakseni kyse on osaamisen ”in-housaamisesta” kyvykkyyksien ja tietosuojan merkityksellisyyden kasvaessa. Kuten ohjelmallisessa mainonnassa, myös tietosuojan in-housaaminen voi kuitenkin merkitä useiden kuukausien valmisteluja, ja edellyttää mm. sitä, että organisaatiolla on tarvittava sisäinen osaaminen ja vahva johdon tuki jatkotyölle ja osaajien sitouttamiselle.

Vaikka työn painopiste siirtyisi takaisin organisaation sisälle, voi useille dataohjautuville, kypsyystasoaan jo nostaneille organisaatioille olla hyödyksi jatkossakin sparrata kumppanin kanssa ja saada näkemyksistä siivitystä omaan työhön. Konsultti voi tässä vaiheessa haastaa ajattelua ja hahmottaa mahdollisesti kokonaisuuden ja eri toimintojen väliset riippuvuudet sisäistä asiantuntijaa kirkkaammin. Konsultti voi myös mahdollistaa sen, että sisäiset resurssit kohdistetaan tehokkaammin ja säästetään siten aikaa ja kustannuksia.

Konkreettisia hyötyjä

Uskomme siihen, että erityisesti dataohjautuvien yritysten suhteen:

• selvät prosessit ja ohjeistukset mahdollistavat sen, että data on laadukasta ja liiketoiminta tietää, millä säännöin sitä voidaan optimaalisesti hyödyntää

• yhtenäisten toimintatapojen myötä toiminta tehostuu ja kustannukset laskevat

• kuluttajille luodut vaikutusmahdollisuudet parantavat kuluttajien luottamusta yritystä kohtaan, vahvistavat yrityksen brändiä ja parantavat asiakaskokemusta

• laadukkaalla tietosuoja- ja tietoturvatyöllä voidaan minimoida tietoturvaloukkausten seuraamuksia ja todennäköisesti myös niiden realisoitumista

• riskien hallinnan myötä liiketoimintaa voidaan rakentaa kestävälle pohjalle parantaen yrityksen arvoa sijoittajien silmissä

• tietosuoja on osa yritys- ja yhteiskuntavastuuta, ja vastuulliset yritykset saavat tutkituksi liiketoimintahyötyjä mm. houkuttelemalla parhaita osaajia

Tietosuoja voi siis parhaimmillaan olla liiketoiminnan mahdollistaja ja näkyä viivan alla – näkemys, joka saa tukea nyt myös Ciscon tutkimuksesta.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Rekrytointiin ja työsuhteen solmimiseen liittyy suuria tunteita – innostusta uudesta työpaikasta tai kollegasta taikka pettymystä siitä, että jälleen kerran saa viestin ”valitettavasti valintamme ei tällä kertaa kohdistunut sinuun”. Tunteet ja juridiikka nivoutuvat usein yhteen: mitä paremmin hakija tuntee tulevansa kohdelluksi, niin sitä harvemmin rekrytointi johtaa riitaan. Hyvä hakijakokemus on siis myös juridisten riskien minimointia!

Alla muutamia keskeisiä asioita, joita rekrytointiprosessissa tulee juridisesti huomioida.

Työpaikkailmoitus

Yhdenvertaisuuslain mukaan ketään ei saa syrjiä iän, etnisen tai kansallisen alkuperän, kansalaisuuden, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden, sukupuolisen suuntautumisen tai muun henkilöön liittyvän syyn perusteella. Tasa-arvolain mukaan työpaikkaa ei saa ilmoittaa vain joko naisten tai miesten haettavaksi, jollei tähän ole työn tai tehtävän laadusta johtuvaa painavaa ja hyväksyttävää syytä. Kiellettyä olisi hakea IT-tukihenkilöksi miestä tai edellyttää siivoojalta täydellistä suomen kielen suullista ja kirjallista hallintaa. Sallittua sen sijaan olisi edellyttää mallin työtä hakevalta valokuvaa sekä edellyttää uutistenlukijalta täydellistä suomen kielen suullista ja kirjallista hallintaa.  

Työpaikkailmoituksen sanamuotoja valittaessa ja erityisesti hyperkohdennettua digitaalista työpaikkamainontaa käytettäessä olisi hyvä kriittisesti tarkastella sitä, johtaako sanamuodot tai kohdentaminen olemassa olevien stereotypioiden vahvistumiseen vai monimuotoisuuden lisääntymiseen.

Hakulomakkeet

Hakulomakkeita laadittaessa tulisi pyrkiä ohjaamaan työnhakijaa antamaan vain avoimen työtehtävän kannalta tarpeellisia tietoja. Lisäksi tulee huolehtia tietosuoja-asetuksen mukaisesta läpinäkyvästä informoinnista eli esimerkiksi linkittää hakulomakkeessa rekrytointia koskevaan tietosuojaselosteeseen. Tietosuojaselosteessa tulee kuvata mm. rekisterinpitäjän identiteetti, käsiteltävät tietoryhmät ja tietolähteet, tietojen käsittelytarkoitukset, perusteet ja säilytysaika sekä rekisteröidyn oikeudet.

Tiedonhaku

Tietosuoja-asetus ei aseta rajoitteita eri tietolähteiden käytölle edellyttäen, että henkilötietojen käsittelyn yleisiä periaatteita, kuten tarpeellisuus- ja minimointiperiaatteita sekä informointivelvoitteita, noudatetaan. Suomalaisen työelämän tietosuojalain mukaan henkilötietoja saa kuitenkin kerätä ensi sijassa vain työnhakijalta itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työnhakijalta itseltään, työnhakijalta on hankittava suostumus tietojen keräämiseen. Tietosuojavaltuutettu on esimerkiksi suhtautunut kielteisesti työnhakijan googlaamiseen.

Työhaastattelu

Työnhakijalta voidaan kysyä vain haettavan työn kannalta tarpeellisia tietoja. Haastattelussa tulisi keskittyä selvittämään hakijan ammatillisia edellytyksiä työkokemuksen, koulutuksen ja ydinosaamisen osalta. Kysymysten esittäminen perhetilanteesta, poliittisesta vakaumuksesta, sukupuolisesta suuntautumisesta tai vastaavista arkaluonteisista aiheista voi johtaa syrjintäepäilyyn. Ole siis tarkkana kysymysten muotoilun kanssa: esimerkiksi sen sijaan, että kysyisit, onko hakijalla lapsia voit tiedustella sitä, pystyykö hakija työtehtävien edellyttämin tavoin matkustamaan ulkomaille säännöllisesti.

Valintapäätös

Työnantajalla on oikeus valita tehtävään parhaaksi katsomansa henkilö. Hakijaa ei saa kuitenkaan syrjäyttää esimerkiksi raskauden tai seksuaalisen suuntautumisen tai muulla epäasiallisella perusteella. Kun työnhakijoina on sekä naisia että miehiä, työnantajan on tehtävä ansiovertailu. Soveltuvuus tai sopivuus voi olla hyväksyttävä syy valita tehtävään vähemmän ansioitunut hakija, mutta tärkeää on, että työnantaja osoittaa tosiasiallisesti punninneensa valituksi tulleen ja valitsematta jääneen kykyjä ja ominaisuuksia keskenään. Määrittele siis etukäteen valintakriteerit, joita voi käyttää ansiovertailun ja soveltuvuuden arvioinnin pohjana, ja mm. kirjaa testeihin tai haastatteluihin liittyvät huomiot hakijan ominaisuuksista. Muista, että ominaisuuksien, joihin valinnassa vedotaan, tulee olla merkityksellisiä haettavana olevan tehtävän hoitamisen kannalta.

Blogi toteutettu yhteistyössä Rekrytointiakatemian kanssa, https://www.rekrytointiakatemia.fi/juridiikka/rekrytoinnin-juridiset-sudenkuopat/

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Tietosuoja-asetukseen valmistauduttiin kuumeisesti. Kuluttajina saimme lukuisia GDPR:stä informoivia sähköpostiviestejä yrityksiltä, joiden kanssa olemme joskus asioineet, ja klikkasimme verkkosivustoilla satoja bannereita, joissa pyydettiin lupaa evästeiden asettamiselle. Yrityksissämme panostimme GDPR:n voimaantuloon mm. uudistamalla dokumentaatiota, prosesseja ja tietojärjestelmiä sekä kouluttamalla henkilöstöämme. Nyt emme kuule mitään. Ei uutisia suurista hallinnollisista sakoista tai vahingonkorvauksista, ei pelottavia esimerkkejä datan käytön kieltämisestä. Kansallisen tietosuojalain puuttuessa Suomessa ei ole edes viranomaista, jolla olisi toimivaltaa valvoa tietosuoja-asetuksen soveltamista.

Vaikka saattaa tuntua siltä, että GDPR on kuin vuosituhannen vaihteen Y2K, ilmassa on jo merkkejä siitä, että tietosuoja-asetus tulee edelleen ottaa tosissaan:

• Kuluttajat ovat aktivoituneet tietosuojan suhteen Suomessa ja muualla

• Ratkaisuja on jo saatu mm. Saksassa, Iso-Britanniassa, Ranskassa ja Itävallassa

• Irlannin tietosuojaviranomainen on ilmoittanut aloittavansa tutkinnan Facebookin 50 miljoonaa käyttäjää koskeneesta tietoturvaloukkauksesta

• Iso-Britannian ja Irlannin tietosuojaviranomaiset ovat saaneet kantelun siitä, kuinka ohjelmallisessa mainonnassa rikotaan tietosuoja-asetusta

• Euroopan tietosuojavaltuutetun mukaan sakkoja on odotettavissa viimeistään loppuvuonna

• Erään yhtiön toimitusjohtajaa ja talousjohtajaa vastaan nostettiin kanne perustuen siihen, että yhtiö olisi antanut harhaanjohtavia tietoja osakkeenomistajille yhtiön GDPR-valmiudesta

Yritysten ei siis ole syytä lopettaa tietosuojatyötä, vaan mm. viimeistellä tietojenkäsittelysopimuksia koskevat neuvottelut kumppaneiden kanssa, varmistaa, että tietosuoja on oletusarvoisesti mukana kehitetyissä tuotteissa ja palveluissa sekä varmistaa, että mainonnassa käytettävä data on laillisesti ja läpinäkyvästi kerätty. Vielä ei todellakaan ole valmista: EY:n tutkimuksen mukaan 56 % yrityksistä ei oman ilmoituksensa mukaan täytä tietosuoja-asetuksen vaatimuksia, ja Gartner ennustaa, että yksityisyydensuoja ja digitaalinen etiikka ovat vuoden 2019 merkittävimpiä strategisia trendejä.

Vaikka edellä viitattiin erityisesti tietosuoja-asetuksen täytäntöönpanoon – kuluttajien valituksiin, viranomaistutkimuksiin, sakkoihin – niin on myös muistettava, että sakkoja todennäköisesti pahempi asia on asiakkaiden luottamuksen tai datan menettäminen taikka kokonaisen liiketoimintamallin kieltäminen. Sen sijaan, että ajateltaisiin, että sakkojen puuttuessa voi tehdä mitä tahansa, tulisi ajatella, että panostamalla tietosuojaan voi esimerkiksi parantaa digitaalista asiakaskokemusta. Tekemällä asiat alusta saakka oikein voi varmistaa, että toimintamalli sekä palvelee asiakkaita että kestää viranomaistarkastelun.

Työssä kannattaa pitää mielessä myös se, että Euroopan unioni valmistelee parhaillaan tietosuoja-asetusta täydentävää sähköisen viestinnän tietosuoja-asetusta. Asetuksen valmistelu on ollut niin hidasta, että siihen ovat tuskastuneet niin poliitikot kuin tietosuojavaltuutetut, mutta Euroopan parlamentin keväisten vaalien vuoksi asetuksen voimaantulo saattaa lykkääntyä yhä useilla kuukausilla. Voimme siis vielä yrittää vaikuttaa siihen, miltä sähköisen viestinnän tietosuoja-asetus näyttää sekä erityisesti siihen, millaisena asetuksen näemme: johtaako tahtotila kieltää vakoiluun perustuva mainonta arvioiden mukaisesti mediatalojen kaatumiseen vai onko tuleva sääntely mahdollisuus kehittää digitaalista mainontaa ja luoda uusia liiketoimintamalleja.

Vaikka ePrivacy antaa odotuttaa itseään, GDPR ei ole uusi Y2K – se tapahtuu nyt ja oikeasti.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.