Kirjoitukset ajalta huhtikuu 2018

Apua, yritykseemme tuli ensimmäinen henkilötietopyyntö!

27. huhtikuuta 2018

​​​​​​​


”Mitä enemmän kuulen EU:n tietosuoja-asetuksesta (GDPR), sitä epämääräisemmältä se tuntuu. Vaikea hahmottaa. Pelottaa. Välillä toivon, että tulisi joku, joka räjäyttää sen pois.” Näin minulle kertoi mäntyharjulainen yrittäjä. Saman olisi voinut sanoa moni muukin tuttuni.

Myynti, markkinointi ja asiakaspalvelu GDPR-pyyntöjen käsittelijöinä

Jokaisessa yrityksessä ainakin kolme toimintoa kohtaa asiakkaita päivittäin: myynti, markkinointi ja asiakaspalvelu. Kaikki voivat saada GDPR:n oikeuttamia tietopyyntöjä. Tässä muutama esimerkki siitä, mitä voi tapahtua:

Case 1: Myyjä saa henkilötietojen poistamispyynnön

Myyjä on myyntikäynnillä. Tapaamisen lopuksi potentiaalinen asiakas pyytää, että hänestä tallennetut henkilötiedot poistetaan yrityksen rekisteristä. Myyjä kirjoittaa pyynnön muistiin. Koska myyjä päättelee liidin huonoksi, hän ei palaa enää muistiinpanoihinsa ja pyyntö jää käsittelemättä.

Case 2: Ulkoistettu asiakaspalvelu saa henkilötietopyynnön puhelimitse

Asiakas pyytää yrityksen ulkoistettua asiakaspalvelua lähettämään hänelle tämän henkilötiedot. Kysyjä vastaa oikein kaikkiin hänelle tehtyihin tunnistuskysymyksiin, ja työntekijä kirjoittaa pyynnön CRM-järjestelmään. Ulkoistetun asiakaspalvelun ja yrityksen tietojärjestelmät eivät kuitenkaan ole yhteensopivat ja siksi tietosuojavastaava ei saa heti tietoa pyynnöstä. Kahden kuukauden päästä yritys lähettää asiakkaan pyytämät tiedot kirjeessä väärään osoitteeseen, koska osoite on jäänyt päivittämättä.

Case 3: Asiakas pyytää päivittämään sähköpostiosoitteensa somessa

Verkkokaupan some-vastaava saa Twitterissä asiakkaalta pyynnön päivittää sähköpostiosoitteensa. Työntekijä kysyy yksityisviestillä lisäkysymyksiä varmistuakseen, että kyseessä on oikea henkilö. Koska henkilö osaa kertoa postiosoitteensa, syntymäpäivänsä ja puhelinnumeronsa, työntekijä päivittää sähköpostiosoitteen. Seuraavaksi tiedon pyytäjä menee verkkokaupan sivuille ja klikkaa ”unohdin salasanan” -nappulaa. Näin tämä huijari saa sähköpostiosoitteeseensa uuden salasanan. Sitten hän tilaa kaupasta 10 000 eurolla tavaraa ulkomaiseen postilokero-osoitteeseen. Kun GDPR-asetus astuu voimaan 25.5.2018, nämä tilanteet eivät enää ole mahdollisia.

Mitä jos henkilötietopyynnöt voisi hoitaa näin?

  1. Asiakas tekee tietopyynnön missä tahansa kanavassa ja kenelle tahansa työntekijälle. Häntä pyydetään kirjautumaan yrityksen käyttämään GDPR-verkkopalveluun ja antamaan yrityksen palvelukoodi ”Oy Yritys Ab”.
  2. Kysyjä tekee verkkopalvelussa pyynnön saada henkilötietonsa.
  3. Yksi henkilö yrityksessä käsittelee pyynnöt viikoittain. Muiden työntekijöiden ei tarvitse tuntea GDPR:n kiemuroita.
  4. Kun tiedot ovat valmiina, asiakas saa sähköpostin, jossa pyydetään kirjautumaan palveluun.
  5. Asiakas käy palvelussa lataamassa tietonsa.

Näin toimii Tietosi.fi-palvelu.

Miksi puhelin, sähköposti ja myymälä sopivat huonosti tietopyyntöjen käsittelyyn?

Tietopyynnöt voi hoitaa useassa kanavassa ainakin osittain, mutta pyyntöjen hoitaminen on usein GDPR:n näkökulmasta epäkäytännöllistä ja niihin liittyy turhia riskejä. Esimerkiksi:

  • Mihin kussakin kanavassa toimivat työntekijät kirjaavat henkilötietopyynnöt?
  • Miten varmistetaan, etteivät tietopyynnöt ”jää pyörimään” organisaatiossa?
  • Miten varmistetaan henkilöstön riittävä GDPR-koulutus? Työntekijöiden tulee pysyä jatkuvasti ajan tasalla asetuksen tulkinnoista.
  • Miten henkilötietopyynnön tekijä tunnistetaan luotettavasti eri kanavissa?
  • Miten helposti ja nopeasti pyynnön tekijä tavoitetaan, jos häntä täytyy myöhemmin lähestyä lisäkysymyksillä?

Henkilöä on vaikeaa tunnistaa luotettavasti puhelimessa tai sähköpostin välityksellä. Henkilötietojen lähettämistä sähköpostitse tai kirjeitse ei myöskään pidetä täysin turvallisena. Kaikki asiakkaat eivät halua mennä yrityksen myyntipisteeseen passi kourassa, eikä yrityskään halua, että myyjät käyttävät aikansa henkilötietojen tarkistamiseen. Siksi tietopyynnöt kannattaa hoitaa turvallisen verkkopalvelun kautta aina, kun se on mahdollista. Tämän kerroin myös mäntyharjulaiselle ystävälleni.


Pekka Kanerva on liiketoiminnan kehityspäällikkö Tietosi.fi -palvelua ylläpitävässä eTaika Oy:ssä. Pekka on kiinnostunut liiketoiminnan ja yksityisyyden suojan tasapainottamisesta siten, että sekä yritys että asiakas voittavat.  

Viisi hyvää syytä toivottaa GDPR tervetulleeksi

21. huhtikuuta 2018

​​​​​​​Kun Lordi oli juuri voittanut Euroviisut, Espanjan televisiossa käytiin tulosten selvittyä suomalaistyylinen keskustelu. Espanjalaisten asiantuntijoiden mukaan Lordin biisi ei oikeasti ollut paras, vaan suomalaiset voittivat, koska olivat hyödyntäneet markkinointia epäreilun tehokkaasti. Siis suomalaiset. Markkinoinnilla. Jos Suomi voi voittaa markkinoinnilla niin Suomi voittaa koska tahansa digi- ja dataosaamisella. GDPR tekee siitä vielä helpompaa.

1. GDPR auttaa bisnestä kansain­välistymään

EU:n tietosuoja-asetus voi äkkiseltään tuntua byrokratian lisääntymiseltä. Päinvastoin. Digitaalinen (lue: datavetoinen) bisnes on luonteeltaan kansainvälistä ja vain yhdessä maassa toimivat pelaajat kuolevat pois ajan mittaan. Katso vaikka jenkkiläisiä, kiinalaisia tai pohjoismaisia firmoja. Suomalaiset pelifirmat olisivat vitsi, jos ne myisivät vain Suomeen. GDPR on tehty helpottamaan yritysten toimintaa yli rajojen. Jos yrityksesi ei vielä ole kansainvälistynyt, nyt on korkea aika aloittaa. Vaikka jotkut epäilevät onko Suomessa markkinointiosaamista, aika monen mielestä Suomessa on valtavasti digi- ja dataosaamista. Nyt on aika maksimoida tämän osaamisen tuotto. GDPR harmonisoi yksityisyydensuojaan ja datan käsittelyyn liittyviä säännöksiä EU:ssa. Et joudu enää asioimaan lähes 30 maan viranomaisten kanssa ja selvittämään erilaisia yksityisyyden suojaa koskevia säännöksiä, vaan selviät yhdellä asetuksella. Helppoa, jos asiaa katsoo tästä vinkkelistä!

Viisi syytä tunnistaa tietopyynnön tekijä luotettavasti

19. huhtikuuta 2018

Kuvitteellinen suomalainen poliitikko on aikoinaan ollut netissä toimivan aikuisviihdesivuston asiakas. 25.5.2018 häntä esittävä henkilö ottaa sähköpostitse yhteyttä kyseiseen verkkosivustoon ja pyytää saada palvelun hänestä tallentamat tiedot vetoamalla EU:n tietosuoja-asetukseen. Sivuston asiakaspalvelu lähettää tiedot annettuun sähköpostiosoitteeseen ja seuraavalla viikolla tiedot julkaistaan Seiska-lehdessä… Näin voi käydä oikeasti. Miksi sinun yrityksesi kannattaa varmistaa, että henkilötietopyynnön tekijä on se henkilö, joka väittää olevansa?

1. Lähetä henkilötietoja vain ja ainoastaan oikealle henkilölle

Monella yrityksellä, yhdistyksellä ja julkisella toimijalla on ihmisistä hyvinkin arkaluonteista tietoa. Toukokuun 25. päivästä lähtien näitä tietoja tavoittelevat myös epämääräiset tahot. Jos taloyhtiön entinen asukas on saanut varoituksen sopimattomasta käytöksestä, tieto ei saa päätyä kenelle tahansa. Joskus pelkästään henkilön yhteystietojen joutuminen vääriin käsiin voi auttaa esimerkiksi identiteettivarkauden tekemisessä. Vain luotettavan tunnistautumisen tehtyäsi voit lähettää henkilötietoja kysyjälle.

2. Poista henkilötietoja vain, kun olet asiasta aivan varma

Kun yritys täyttää henkilön pyynnön henkilötietojen poistamisesta, tietoja ei voi enää palauttaa. Erehtyminen on inhimillistä. On selvää, että jotkut rekisterinpitäjät tulevat vahingossa poistaneeksi väärän henkilön tiedot. Erehdysten minimoimiseksi kannattaa olla erityisen huolellinen nimenomaan unohduspyynnön tekijän tunnistamisessa. Lisäksi unohduspyyntöjä tehdään myös pilailumielessä. Vain luotettavan tunnistautumisen tehtyäsi voit poistaa henkilön lopullisesti rekisteristä.

3. Käsittele oikaisupyynnöt oikean tiedon perusteella

Olin aikoinaan töissä Elisassa. Myymälään käveli asiakas, joka oli tehnyt sukupuolenvaihdoksen. Korjasimme asiakastietoihin hänen sukupuolensa ja vaihdoimme hänelle uuden henkilötunnuksen. Luultavasti en olisi suostunut muuttamaan tietoja esimerkiksi puhelinsoiton tai sähköpostin perusteella. Vastaavasti en pitäisi siitä, jos joku soittaisi Hesarin tilaajapalveluun ja vaihtaisi lehteni jakeluosoitteeksi oman osoitteensa. Vain luotettavan tunnistautumisen tehtyäsi voit muuttaa henkilön tietoja.

4. Osoita, että noudatat asetusta

Kun tietopyynnön tekijä joutuu tunnistautumaan, organisaatiollesi jää jälki siitä, kuka teki minkäkin pyynnön ja milloin. Tämä auttaa sinua osoittamaan, että toimit vaadittujen määräaikojen puitteissa. Samoin voit reagoida, jos huomaat saman henkilön tekevän toistuvasti tietopyyntöjä häirintämielessä. Vain luotettavan tunnistautumisen tehtyäsi voit osoittaa noudattavasi asetusta.

5. Näytä, että pilailu ei kannata

Suurin osa pilailijoista jättää leikin sikseen ymmärtäessään, että heidät tunnistetaan luotettavasti. Vain luotettavan tunnistautumisen tehtyäsi voit olla aivan varma, että tietopyynnön tekijä on oikealla asialla. EU:n tietosuoja-asetus tuo uusia haasteita sekä yrityksille, yhdistyksille että julkisen sektorin toimijoille. Henkilötietopyynnön tekijän luotettava tunnistaminen auttaa välttymään pieniltä ja isommiltakin ongelmilta.  


Pekka Kanerva on liiketoiminnan kehityspäällikkö Tietosi.fi -palvelua ylläpitävässä eTaika Oy:ssä. Pekka on kiinnostunut liiketoiminnan ja yksityisyyden suojan tasapainottamisesta siten, että sekä yritys että asiakas voittavat.