Missä se GDPR:n lupaama kilpailuetu on?

EU:n tietosuojauudistuksen karu todellisuus: iso kasa ihmisiä tekee paljon hommia näkymättömän asian eteen. Ketään ei kiinnosta, bisnekset kärsivät, euroja kuluu ja työntekijät turhautuu. Vain siksi, että laki vaatii. Jos et tottele, iso käsi vie taskusta loputkin rahat.

Näinkin on asia koettu. Muutos tuntuu ikävältä.

EU toteutti uuden tietosuoja-asetuksen (GDPR), jotta henkilötietojen käsittelyyn saataisiin yhtenäiset säännöt koko unionin alueelle. Samalla haluttiin nostaa kansalaisten luottamusta digitaalisia palveluita kohtaan. Yrityksille uudistusta mainostettiin mahdollisuutena saavuttaa kilpailuetua.

Missä se luvattu kilpailuetu on?

Palveluntarjoajat, jotka pystyvät kertomaan, miten heidän tuotteensa helpottaa GDPR-vaatimusten täyttämistä, saavat varmasti kilpailuetua. Asiakasyrityksen on helpompi ostaa tuote tai palvelu, jossa tietoturva- ja tietosuojavaatimukset on huomioitu. Miksi lähtisin hankkimaan jotain, mikä ei täytä omia ja asiakkaideni vaatimuksia?

Yrittäjä, kun harkitset jonkun palvelun käyttöönottoa, tee seuraava testi. Mene palveluntuottajan www-sivuille ja etsi sieltä mainintoja palvelun tietosuojasta ja tietoturvasta. Vastaavasti voit etsiä netistä esimerkiksi ”palvelun nimi + tietosuoja” tms. Vertaile hakutuloksia. Huomaat varmasti, että osa huomioi tietosuojanäkökulmat paremmin kuin toiset. Kumpaan luotat enemmän?

Kilpailuetu käytännössä

Ohessa on muutama esimerkki, jossa tietosuojan kilpailuetu näkyy käytännössä.

Lyyti-palvelua voi käyttää tapahtumien ilmoittautumistietojen keruuseen. Lyyti on lisännyt palveluunsa toimintoja, jotka auttavat organisaatiota täyttämään GDPR:n vaatimukset. Lisäksi palvelun nettisivulla kerrotaan kattavasti ja opettavaisesti, miten eri toimintoja voidaan hyödyntää paremman tietosuojan toteuttamisessa. Organisaation näkökulmasta palvelu vaikuttaa hyvältä. Kuluttajana haluaisin myös suosia palveluita, jotka ottavat nämä asiat tosissaan.

WordPress on yksi suosituimmista ohjelmistoista koko internetissä. WordPressin yhteisö rakentaa sovellukseen toimintoja, joilla GDPR-vaatimuksia voidaan täyttää [1, 2]. WordPressiä hyödyntävät yritykset saavat tästä suoraan kilpailuetua, kun heidän ei tarvitse itse käyttää niin paljon resursseja toimintojen toteuttamiseen. Aika, raha ja ihmiset voidaan hyödyntää muualla.

Verkkokauppojen asiakkaana pyrin ostamaan tuotteita aina sellaisesta verkkokaupasta, johon luotan. Jos joudun hankkimaan tuotteita kokonaan uudesta kaupasta, haluaisin aina tietää edes jotakin verkkokaupan tietoturvasta ja tietosuojasta.

Kyllä, olen se henkilö, joka lukee teidän tietosuojaselosteenne… jos sellainen löytyy.

Verkkokaupan tulee siis herättää luottamusta. Aiheesta lisää esimerkiksi TIEKE:n julkaisusta Verkkokaupan luotettavuus. Verkkokauppa saa kilpailuetua, kun hoitaa tietosuojansa hyvin, ja kertoo sen.

Suurin kilpailuetu?

Mielestäni on olemassa vielä yksi iso asia, joka muuttuu kilpailueduksi vasta myöhemmin. Jos organisaatio ottaa tietosuojavaatimukset tosissaan, on organisaation tutkittava omaa toimintaansa. Näin ollen:

Suurin hyöty on itsensä tunteminen. Siitä kumpuaa kaikki muut mahdollisuudet.

Palataan asiaan…

Asennemuutos tietosuoja-asetuksen avulla?

Tietoturvan asennemuutos voidaan koittaa saavuttaa pakon ja kannustinten avulla. Jos laki pakottaa tiettyyn toimintaan tai rajoittaa käyttäytymistä, niin se voi johtaa myös käyttäytymistä koskevien asenteiden muutokseen. (Helkama ym. 2015, 203.)

Asennemuutos voi tapahtua myös ihmisen toiminnan kautta. Väitteessä on taustalla ns. kognitiivisen dissonanssin teoria. Teoriaan liittyy seuraava ajatusmalli:

Jos ihmisen tiedot ja teot ovat ristiriidassa, niin ihminen pyrkii pois tästä tilasta muuttamalla tietojaan, asenteitaan tai käyttäytymistään (Helkama ym. 2015, 360). Esimerkiksi työntekijä tietää, että pitäisi käyttää suojattuja tiedonsiirtomenetelmiä, mutta ei käytä. Tästä aiheutuu tunne väärästä toiminnasta. Työntekijä pyrkii korjaamaan tilanteen tai muulla tavalla oikeuttamaan toimintansa.

Aronson ja Mills (1959) tutkivat ajatusmallia käytännössä. Tutkimuksessa selvitettiin keskusteluryhmään liittyviä asenteita. Tulosten perusteella asenne ryhmää kohtaan muuttuu sitä myönteisemmäksi, mitä enemmän koettelemuksia ihminen joutuu läpikäymään päästäkseen ryhmän jäseneksi (Aronson & Mills 1959; Helkama ym. 2015, 204-205).

Tehdäänpä edellisistä tuloksista epätieteellinen maalaisjärkiyleistys: asenne asiaa kohtaan muuttuu myönteisemmäksi, jos henkilö joutuu tekemään paljon työtä asian saavuttamiseksi. Voisikohan tätä soveltaa esimerkiksi yrityksen sisäisissä tietoturvakoulutuksissa, joiden päätteeksi pidetään vaikea testi. Vaikean kokeen läpäiseminen nostaa myönteistä asennetta tietoturvaa kohtaan?

Tai jos työntekijä ymmärtää, että tietoturvallisilla toimintatavoilla voi olla suora yhteys yrityksen menestykseen, hän ei koe tietoturvallista toimintaa ongelmana tai taakkana*. Vaativat asiakkaat edellyttävät hyvää tietoturvan tasoa. Yritys saa enemmän tilauksia, koska asiakkaat arvostavat yrityksen tietoturvan tasoa. Tehdään siis tietoturvallista työtä, jolloin yrityksemme menestyy!

*Toisaalta, jos tietoturvallinen tapa tehdä töitä koetaan ongelmana tai taakkana, niin jossain muualla on isoja ongelmia.

Tietosuoja-asetus on mahdollisuus yrityksille ja asenteille

Mitenköhän ihmisten asenteet tietosuojaa ja tietoturvaa kohtaan tulevat muuttumaan EU:n tietosuoja-asetuksen (GDPR) myötä? Asetus kannustaa (asetuksen hyödyt) ja pakottaa (asetuksen sanktiot) yritykset huomioimaan tietosuojan päivittäisessä toiminnassaan. Mitä enemmän yrityksen työntekijät joutuvat näkemään vaivaa asetuksen vaatimusten täyttämiseksi, sitä myönteisemmäksi asenne tietosuojaa kohtaan muuttuu? Uskon, että asetus kokonaisuutena tulee vaikuttamaan positiivisesti yritysten työntekijöiden asenteisiin tietosuojaa ja tietoturvaa kohtaan, kunhan vaatimusten täyttämisen työtaakka ja koetut hyödyt ovat vähintään tasapainossa. Ensin pitäisi kuitenkin päästä ulos GDPR:n kauhun kehästä!


Tämä oli neljäs osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Viidennessä osassa kokoan yhteen oppimisprosessin aikana muodostuneita ajatuksia.

Lähteet
Aronson, E., Mills, J. 1959. The effect of severity of initiation on liking for a group. Journal of Abnormal and Social Psychology, 59(2), 177-181.
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Ajatusapua, lisää materiaalia ja lähteitä löytyy esimerkiksi Wikipediasta: https://en.wikipedia.org/wiki/Attitude_change#Cognitive_dissonance_theory https://en.wikipedia.org/wiki/Cognitive_dissonance

GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.

EU:n tietosuoja-asetus: aloita tästä

EU:n tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan toukokuussa 2016 ja sitä sovelletaan 25.5.2018 lähtien. Kiinnostus aiheen ympärillä kasvaa tasaiseen tahtiin ja syytä olisikin. Ns. siirtymäajasta on enää alle puolet jäljellä, joten yritysten kannattaa edistää asiaa myös kesällä.

Internetissä on luettavissa paljon hyviä blogipostauksia ja muita lähteitä usealla eri kielellä. Aloita tietosuoja-asetukseen tutustuminen lukemalla nämä:

Suosittelen lisäksi seuraamaan aktiivisesti tietosuojavaltuutetun sekä WP29-tietosuojaryhmän sivustoja, joihin päivitetään olennaisia asioita tietosuoja-asetukseen liittyen. Kannattaa tutustua myös ICO:n sivustoon ja sieltä erityisesti kohtaan GDPR: 12 steps to take now.

Luottokorttitiedot voitte noutaa respasta

Yövyin Espoolaisessa hotellissa. Siellä oli oikein mukava vastaanotto. Iloisen ja reippaan palvelun lisäksi respasta sai mm.

  • Wlan-verkon tunnukset,
  • henkilökohtaisen saunavuoron ja
  • toisen asiakkaan luottokorttitiedot.

Odottelin vuoroani hotellin respassa. Asiakaspalvelijalla oli puhelu kesken. Joku teki selkeästi varausta hotelliin. Respan työntekijä kysyi asiakkaan nimen, puhelinnumeron jne. Hän toisti ne varmuuden vuoksi, jotta varaustiedot menisivät kerralla oikein. Viimeiseksi kysyttiin luottokortin numeroa. Hieman jännitti, tuleeko sekin toistettua samaan tapaan.

Valitettavasti.

Soittajan mielestä asiakaskokemus oli varmasti miellyttävä. Minun asiakaskokemukseni sen sijaan jäi tältä osin hieman kyseenalaiseksi.

Jos toimit asiakaspalvelutehtävissä tai vastaat ko. toiminnosta, niin tarkista ohjeistuksenne. Tietoturvallisuus kannattaa sisällyttää itse toimintaan. Jättää vaikka ne luottokortin viimeiset numerot toistamatta.