GDPR eli EU:n uusi tietosuoja-asetus astuu voimaan 25. toukokuuta 2018. Dextili on saanut asiakkailtaan kevään mittaan kyselyjä siitä, miten tietosuoja-asetusten muutokset on huomioitu.
Valmistautuminen onkin ollut Dextilillä käynnissä koko kahden vuoden siirtymäajan, ja taustaa muutosten suunnittelusta ja toteutuksesta on kerrottu edellisen kerran viime syksyn blogikirjoituksessa. Toukokuun ollessa jo nurkan takana on aika luoda katsaus siihen, mitä muutokset käytännössä tarkoittavat Dextilin ja asiakkaan kannalta.
“Dextilillä ollaan huolellisen perehtymisen myötä valmiita tuleviin muutoksiin. Suurin osa muutoksista ei näy asiakkaille käytännössä, minkä vuoksi koemme tärkeäksi tiedottaa asiakkaillemme GDPR:n vaikutuksesta Dextilin toimintaan”, kertoo Dextilin tietohallintovastaava Juho Paananen.
Henkilöstön koulutus on avain muutokseen
Dextilillä uusista käytännöistä on luotu GDPR:n mukaiset ohjesäännöt ja koulutettu henkilöstöä niiden soveltamisessa.
“Olemme laatineet työn tueksi arkistointisuunnitelman sekä kuvaukset uusista prosesseista. Tähän dokumenttiin kuuluu kuvaus koko tietosuojaprosessista: miten tieto otetaan vastaan, mikä tiedon suojaluokitus on, miten sitä käsitellään, miten ja kuinka kauan sitä säilytetään ja miten tieto lopulta hävitetään”, Paananen kuvailee, ja jatkaa:
“Aineiston asianmukaisesta käsittelystä vastaa se työntekijä, joka ottaa materiaalin vastaan. Tämä tietenkin vaatii koulutusta, jota olemme järjestäneet ja tulemme jatkossakin järjestämään työntekijöillemme.”
Taloushallinnossa erityisesti palkanlaskenta on se osa-alue, jossa käsitellään arkaluontoiseksi luokiteltuja tietoja. Muillakin osa-alueilla liikkuu Paanasen mukaan tietosuojassa pidettäviä asioita, mutta palkanlaskennassa yleisen tietosuoja-asetuksen soveltaminen tulee näkymään selkeimmin.
Asiakkaan rooli on rekisterinpitäjä, Dextili on tiedon käsittelijä
”Uusi tietosuoja-asetus vaatii, että toisen organisaation puolesta suoritettavasta henkilötietojen käsittelystä on aina sovittava kirjallisesti. Tulemmekin liittämään toimeksiantosopimuksiimme tiedon siitä, mitä tietoa keräämme, miksi ja miten tätä tietoa käsitellään”, Paananen kertoo.
”Dextili on siis tiedon käsittelijän roolissa, ja asiakkaan itsensä vastuulla on luoda tietosuoja-asetusten mukaiset prosessit. Tiedon käsittelytavasta sovitaan niin sanotulla rekisterinpitäjän ohjeistuksella, sillä rekisterinpitäjän on ohjeistettava henkilötietojen käsittelijää siitä, kuinka henkilötietoja on käsiteltävä.”
Myös asiakasviestinnässä tietosuoja-asetus on otettu huomioon. Koska sähköpostiviestinnässä salaus ei välttämättä ole aina kunnossa, Dextilillä on käytössä salatun tiedon jakamiseen tarkoitettu portaali, jonne asiakkaat voivat viedä Dextilille tarkoitetun aineiston ja jonka kautta materiaali kulkee myös Dextilistä asiakkaalle päin.
FINCSC-sertifiointi kertoo Dextilin tietoturvan olevan ajan tasalla
Dextilillä suoritettiin vuodenvaihteessa 2018 tietoturvakartoitus, josta myönnettiin FINCSC-sertifiointi. Sertifiointi on arviointimenetelmä, jolla mitataan organisaation kykyä huolehtia tietoturvastaan. Arvioinnissa käydään läpi tietoturvaa useista eri näkökulmista.
“Kartoituksessa käytiin läpi tietosuojan ja tietoturvan taso, ja todettiin Dextilin teknisen tietoturvan olevan hyvällä tasolla”, Dextilin tietohallintovastaava kertoo.
“Kaiken kaikkiaan Dextilillä ei GDPR:n voimaanastuminen aiheuta suurempaa hämminkiä. Olemme valmistautuneet hyvin, ja siirtymän voidaan odottaa sujuvan mutkattomasti. Asiakkaidemme tietosuoja on jatkossa yhä vankempi”, Paananen toteaa lopuksi.
—
Lisätietoa EU:n tietosuoja-asetukseen valmistautumisesta löydät esimerkiksi tästä Oikeusministeriön julkaisemasta oppaasta Miten valmistautua EU:n tietosuoja-asetukseen tai OpiTietosuojaa.fi-itseopiskeluportaalista.
