Yksilön kannalta tietosuoja-asetus antaa paremmat edellytykset kontrolloida omia henkilötietojaan ja helpottaa tiedonsaantia omien henkilötietojen käsittelystä. Yrityksen kannalta uusi asetus selkeyttää ja yhdenmukaistaa sovellettavia sääntöjä koko EU:n sisämarkkinan alueella. Toisaalta asetus myös luo yrityksille uusia velvoitteita. Yrityksen pitää pystyä osoittamaan, että henkilötietojen käsittely noudattaa asetusta. Jatkossa tietosuojaviranomaiset voivat antaa sääntöjä rikkovalle yritykselle tuntuvan sakkorangaistuksen.
MyData eli ihmiskeskeinen henkilötiedon hallinnan ja käsittelyn periaate on erittäin ajankohtainen monella tapaa.
Osassa suomalaisista yrityksistä koestetaan MyData-ajattelua tämän hetken palvelukehityshankkeissa. Aihetta ruoditaan nyt myös syksyn isossa MyData 2017 -tapahtumassa.
Lähtökohtana asiakkuudenhallinnan prosessit ja asiakkuudenhallintajärjestelmä (CRM)
Valtaosa keskisuurista ja suurista yrityksistä nojaa asiakkuudenhallinnassa keskitettyyn tietojärjestelmään. CRM-järjestelmään kirjataan tyypillisesti muiden muassa asiakkaat, yhteydenotot, myyntimahdollisuudet, tarjoukset ja toteutuneet kaupat. Tietosuoja-asetuksen kannalta henkilötiedoksi lasketaan kaikki tunnistettuun ja tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot.
Asiakkuudenhallinnan prosessit ja niitä tukeva CRM-järjestelmä ovat tietosuoja-asetuksen noudattamisen kannalta tärkein ja selkein varmistettava osakokonaisuus.
Henkilötietojen käsittely kokonaisuudessaan on kuitenkin lähes aina paljon monimutkaisempaa.
Karikko #1: Asiakasrajapinnan palvelut
Yritykselläsi on mitä todennäköisimmin ainakin yksi tunnistetuille asiakkaille suunnattu digitaalinen palvelu kuten verkkokauppa tai sähköisen asioinnin ratkaisu. Useimmiten näiden palveluiden yhteyteen syntyy jonkinlainen erillinen asiakasrekisteri. Parhaimmillaan tämä erillinen rekisteri pidetään ajantasaisena varsinaisen asiakasrekisterin kanssa, mutta pahimmillaan erilliset rekisterit elävät täysin omaa elämäänsä ja niitä päivitetään käsityönä. Myös asiakkaaseen liittyvät tietoalkiot voivat poiketa toisistaan eri järjestelmien välillä.
Mikäli rekisterit ovat erillisiä, on syytä pohtia, pystytäänkö rekisteröidyn oikeudet takaamaan myös jokaisen erillisen varjo-asiakasrekisterin osalta? Joudutko tietosuoja-asetuksen johdosta rakentamaan uusia, keskenään identtisiä toiminnallisuuksia nyt useaan järjestelmään? Vai olisiko helpointa rakentaa automatiikka, joka pitää erillisrekisterin tietosisällön henkilötiedon osalta identtisenä varsinaisen asiakasrekisterin kanssa?
Karikko #2: Sisäiset prosessit ja organisaatiosiilot
Monissa organisaatioissa päätöksenteko on hyvin liiketoimintayksikkövetoista. Tällöin asiakkuuden hallintaan on saattanut syntyä useita rinnakkaisia toimintatapoja, ja niitä tukevia asiakkuudenhallintajärjestelmiä. Toisaalta, asiakastietoa käsitellään usein myös muissa prosesseissa kuin varsinaisessa asiakkuudenhallinnassa; esimerkiksi tuotekehityksessä, riskienhallinnassa tai markkinoinnin suunnittelussa. Prosessien sähköistymisen myötä myös näillä osa-alueilla saattaa olla käytössä järjestelmiä, joihin on syntynyt erillinen asiakasrekisteri.
Myös sisäisten prosessien osalta on syytä pohtia, pystytäänkö rekisteröidyn oikeudet takaamaan myös jokaista sisäistä prosessia tukevan järjestelmän osalta? Tulisiko asiakastiedon master dataan panostaa? Onko yksilöity asiakastieto välttämätöntä sisäisissä prosesseissa, vai voidaanko käyttää pseudonymisoitua dataa?
Karikko #3: Asiakasrekisterin vienti Exceliin
Liiketoimintaa pyöritetään tietojärjestelmäavusteisten prosessien lisäksi todella paljon myös käsipelillä, käyttäen Excel-tiedostoja tai järjestelmistä otettuja vientitiedostoja. Käsityössä ei sinänsä ole mitään pahaa, mutta asiakastiedon käsittely erillisissä tiedostoissa on tietosuojan kannalta iso riski. Kuka tai ketkä pääsevät tiedostoon käsiksi, ja mitä tiedolla tehdään? Kopioidaanko tai lähetetäänkö tiedostoja kollegoille?
Mistä aloittaa?
Tämän hetken tyypillinen lähtötilanne on se, että yrityksessä ei edes tunneta asiakastiedon käsittelyn kokonaiskuvaa. Asiakastieto on hajallaan lukuisissa järjestelmissä, joita eri työrooleissa olevat ihmiset käsittelevät. Integraatiot asiakastiedon osalta saattavat puuttua kokonaan.
Päätöksenteon tueksi tarvitaan kokonaiskuva nykytilasta. Missä tietoa on? Miten tietoa käsitellään? Miten tieto liikkuu järjestelmästä toiseen? Tässä kohtaa päättäjän paras kaveri on IT-arkkitehti, joka osaa kaivaa vastaukset edeltäviin kysymyksiin ja kuvata kokonaisuuden visuaalisesti. Työn voi aloittaa seuraavin askelin:
1. Tunnista työroolit ja prosessit, joissa asiakastietoa käsitellään. Haastattele asiantuntijat, jotka näissä työrooleissa toimivat.
2. Kuvaa tunnistetut prosessit sekä tietojärjestelmät, joissa työtä tehdään.
3. Luo prosessikuvauksen rinnalla käsitemalli, jossa yhdistyy eri tarkoituksiin kerätyn asiakastiedon käsitteistö.
4. Kuvaa asiakastiedon tietovirrat, joita eri järjestelmien välille on rakennettu.
Lopputuloksena tulisi saada eri työrooleissa toimivien ihmisten ymmärtämä kuvaus nykytilasta. Kuvauksen tulee suoraan tukea tulevaa kehitystyötä. Ota lakimies työpariksesi ja tunnista kuvauksista pahimmat karikot tietosuojan kannalta. Luo kehityksen roadmap vuoden 2018 kevääseen asti.
Nyt on oikea aika aloittaa. Uuden tietosuoja-asetuksen siirtymäaikaa on vielä hyvin jäljellä, jotta omakin yrityksesi ehtii päivittämään toimintatapansa asiakastiedon käsittelyn osalta.
Kiinnostuitko? Lue tietosuojaan liittyvistä ratkaisuistamme verkkosivuiltamme sekä ajankohtaisista blogeistamme. Otathan myös yhteyttä mikäli sinulla on mitä tahansa kysyttävää!*Tämä kirjoitus on julkaistu vuonna 2016, mutta päivitetty linkeiltään vuoden 2017 tapahtumasivuihin. Sisältö on täysin validia tänäkin vuonna 2017.
