GDPR - vuosi myöhemmin

GDPR-auditoidut organisaatiot

Tähän mennessä on tehty vain vähän päätöksiä - sekä maailmanlaajuisesti että kotimaassa. Kansainvälisten yritysten osalta ehkä merkittävin uutinen on se, että Ruotsin tietosuojaviranomainen antoi lähes välittömästi tietosuoja-asetuksen käyttöönoton jälkeen Googlelle määräyksen poistaa useita hakutuloksia, jotka sisälsivät henkilöiden nimiä "virheellisissä, epäolennaisissa, epäolennaisissa, epäolennaisissa tai tarpeettomissa yhteyksissä". Useat tuloksista, jotka olisi pitänyt poistaa, ovat kuitenkin edelleen siellä, lähes vuosi määräyksen jälkeen, mikä tarkoittaa, että pahimmassa tapauksessa Googlea uhkaa yli 11 miljardin Ruotsin kruunun sakko.

Paikallistasolla paljastui vasta helmikuussa 2019, että 1177 Vårdguidenia oli vuotanut 2,7 miljoonaa yksityishenkilöiden vuodesta 2013 lähtien soittamaa nauhoitettua puhelua. Näissä puheluissa on esitetty neuvontakysymyksiä erilaisista terveydentiloista ja sairauksista. Koska kyse on potilastiedoista, niitä pidetään arkaluonteisina henkilötietoina, jotka vaativat erityistä suojaa. Ruotsin tietosuojaviranomainen on nyt aloittanut 1177 Vårdguidenin tarkastelun.

GDPR:n ympärillä oleva kohu on laantunut

Huomattavinta on ehkä kuitenkin ollut se, että vuosi sitten GDPR:n ympärillä vallinnut hype on nyt laantunut. Kyse ei luultavasti ole siitä, että kaikki ovat nyt varmempia siitä, että he ovat tehneet vaaditun työn, vaan siitä, että se ei yksinkertaisesti ole "vaikuttanut" kovin moniin ihmisiin. Se, että niin harvoja yrityksiä on virheellisesti sakotettu, luo tunteen, että GDPR ei ehkä olekaan niin tiukka.

Monet ovat "keksineet" yrityksen pinnalla esimerkiksi laatimalla tietosuojakäytännön eli sen, mikä näkyy ulkomaailmalle. Harvat yritykset ovat todella keskittyneet siihen suureen työhön, jota vaaditaan, jotta ne voivat muuttaa perusteellisesti lähestymistapaansa päivittäisessä työssään ja luoda menettelyt henkilötietojen käsittelyä varten.

Näyttää siltä, että on jäänyt huomaamatta, että GDPR:n käyttöönoton jälkeen suuret teknologiayritykset kehittävät jatkuvasti uusia palveluja vaatimusten täyttämiseksi, mikä tekee askeleen kohti vaatimustenmukaisuutta entistäkin pienemmäksi.

Miksi niin monet ovat tehneet niin vähän?

Se, että niin harva on työskennellyt perusteellisesti GDPR:n parissa, johtuu pääasiassa tiedon puutteesta. Ehkä olet saanut koulutusta asetuksesta, mutta usein on epäselvää, miten se on merkityksellinen yksilötasolla työntekijöille heidän päivittäisessä työssään. Etenkin, jos käytössä ei ole oikeaa teknologiaa ja sisäisiä prosesseja, jotka tukevat työntekijöitä heidän työssään tämän kanssa.

Monet yritykset myös vertailevat omaa asemaansa muiden asemaan. Pienemmät yritykset olettavat usein, että jos ne vain tekevät yhteistyötä suurempien, vakiintuneiden yritysten kanssa, ne voivat olettaa, että kaikki on kunnossa. Totuus on, että mitään ei voi olettaa, varsinkaan nyt, kun on käynyt ilmeiseksi, että monet suuremmat yritykset, jotka eivät useinkaan ole yhtä alttiita muutoksille kuin pienemmät yritykset, eivät noudata GDPR:ää. Tämä yhdistettynä siihen, että oikeuskäytäntöä ei vielä ole, tarkoittaa, että helpointa on olla tekemättä mitään. Asetus on olemassa, mutta et tiedä, miten sitä pitäisi tulkita, mitä käytännössä pitäisi tehdä sen noudattamiseksi ja mitä vaikutuksia sillä on, jos jotain tapahtuu.

Pitkällä aikavälillä voit hyötyä GDPR:stä.

Jos GDPR on monien tavoin juuttunut sinuun, hyvä tapa edetä on tarkastella sitä pikemminkin liiketoiminnan parannuksena kuin budjetin kustannuseränä. Jos käytät Office 365 -ympäristöä, on olemassa valmiita ratkaisuja, joiden avulla voit saavuttaa perusvaatimukset mahdollisimman helposti. Näitä ratkaisuja käyttämällä voit myös poistaa turhia tai manuaalisia prosesseja, jotka voidaan sen sijaan automatisoida, jolloin työstä tulee paljon tehokkaampaa, halvempaa ja turvallisempaa.

Haluatko tietää lisää? Älä epäröi ottaa yhteyttä meihin WeSafessa ja me autamme sinua!