LVI-alan yrittäjä: Vanhentunutta tietoa oli valtavasti – Moni ei ole tehnyt vielä yhtään mitään
Kirkkonummelainen yrittäjä ihmettelee, kuinka huonosti yritykset ovat perillä toukokuussa voimaan astuvasta tietosuoja-asetuksesta. UV-Putki Oy on hoitanut yrityksen prosessit asetuksen vaatimalle tasolle.
– Autoliikkeissä, pankeissa ja tilitoimistoissa, joiden kanssa olen asioinut, kaikissa ollaan melko tietämättömiä asetuksesta. Tällöin pitää kyseenalaistaa yhteistyökumppanien kanssa toimimista, koska he saattavat olla vahingollisia minulle tai yritykselle, kun heidän tietonsa ontuu tietosuojan suhteen, sanoo UV-Putki Oy:n yrittäjä Aki Välimäki.
Toukokuussa voimaantuleva EU:n tietosuoja-asetus (GDPR) tuo uusia vaatimuksia jokaiselle henkilötietoja käsittelevälle yritykselle. UV-Putki tilasi GDPR-konsultointia espoolaiselta GDPR Tech Oy:ltä.
– On parempi hoitaa tällaiset asiat etunenässä, sitten jos herää vasta viime tilassa kustannuksetkin saattavat olla isommat.
Projektin ensivaiheessa tehtiin alkukartoitus ja sitten identifioitiin osa-alueet, joita piti muuttaa. Marraskuussa päättyneen projektin jälkeen UV-Putki on käynyt tietomassaansa läpi ja siivonnut turhaa tietoa pois. Se on ollut työlästä.
Sopimukset uusien vaatimusten mukaisiksi
Yritykselle tuli yllätyksenä se, että tietosuoja-asetus vaikuttaa myös organisaatioiden väliseen toimintaan.
– Olemassa olevat organisaatioiden väliset sopimukset sekä myös uudet sopimukset joutuvat uudenlaiseen syyniin. Sopimukset on päivitettävä huomioimaan tietosuoja-asetuksen vaikutus ketjuuntumisesta, eli vastuun jakautumisesta tietomurron tai muun vastaavan ongelmatilanteen sattuessa, Välimäki kertoo.
Välimäen mielestä tämä on olennaisimpia asioita oivaltaa asetuksessa. Esimerkiksi palkanlaskentaohjelman varmuuskopiointi saattaa olla pilvipalvelussa, data voi olla hyvin hajallaan.
–Sopimuksen kuntoon saattaminen palveluntuottajan kanssa on tärkeää, ja aliurakoitsijoiden pitäisi olla tietoisia asetuksesta. Jos minä olen tehnyt voitavani, silloin sanktio siirtyy ketjussa alaspäin.
Aiemmin vastuussa on ollut vain tietomurron kohteena oleva organisaatio, nyt myös vaikkapa mahdolliset yhteistyökumppanit tai alihankkijat.
UV-Putki tekee muun muassa LVI-töitä ja sähkötöitä.
Ei pelkästään tietohallinnon asia
GDPR ei ole pelkästään tietohallinnon sisäinen asia. UV-Putken projektin edetessä ilmenikin monia yrityksen toimintaan liittyviä käytännön seikkoja, joita voitiin samalla kehittää. Se pureutuu koko yrityksen toimintamalliin sekä käytäntöihin kentältä työpöydän ääreen kulkevissa prosesseissa.
UV-putken tietosuojaprojektissa koulutettiin koko henkilökunta tietosuoja-asetuksesta sekä sen vaatimasta dokumentoinnista.
Putkialan yrittäjä kertoo yllättyneensä vanhentuneen tiedon määrästä.
– Vanhentunut tieto saattaa olla turvallisuusriski. Asiakas- ja henkilökuntarekisteri olivat suhteellisen laajoja, kun olemme 30-vuotias yritys. Asiakasrekisterissä on ollut esimerkiksi tarjouksia ja muuta yksilöivää tietoa, niitä on nyt tuhottu ja poistettu.
Asiakkaalla on oikeus vaatia poistamaan häntä koskevat tiedot. Välimäki on nyt tietoinen siitäkin, ettei henkilötunnuksia lähetetä sähköpostilla, vaan pitää käyttää salattua sähköpostiliikennettä.
Riikka Koskenranta
riikka.koskenranta (at) yrittajat.fi
