EU:n tietosuoja-asetus ja yritysten tietoturvahaasteet HR-prosesseissa
Tietosuojan huomioiminen henkilötietojen käsittelyssä ja tietosuojasäädösten noudattaminen työsuhteen elinkaaren eri vaiheissa on haastavaa. Manuaaliset työvaiheet ja tiedon siiloutuminen useisiin eri järjestelmiin sekä fyysisiin arkistoihin hankaloittavat tiedon elinkaaren hallintaa. Henkilötietojen käsittely tiukentuu entisestään, kun EU:n uutta tietosuoja-asetusta aletaan soveltamaan toukokuussa 2018. Se tulee korvaamaan nykyisen henkilötietolain ja yhtenäistämään toimintatapoja koko Euroopassa. Samalla tietosuoja-asetus tuo rekisterinpitäjille uusia velvollisuuksia ja rekisteröidyille lisää oikeuksia.
Tiedon elinkaari alkaa sen käsittelyn käynnistyessä ja päättyy sen pysyvään säilyttämiseen tai hävittämiseen. Elinkaariajattelun pohjalla on tiedon suunnitelmallinen käsitteleminen ja hallinta osana organisaation prosesseja. Työsuhteiden elinkaaren hallintaan liittyy valtava määrä dokumentteja ja monimutkaisia asiakirjatyönkulkuja. Manuaaliset prosessit heikentävät yrityksen tietoturvaa, kun asiakirjoja säilytetään useissa eri järjestelmissä, arkistoissa ja työntekijöiden omilla tietokoneilla. Tiedonhaku ja tietojen oikeellisuuden varmentaminen on hankalaa ja kuluttaa turhaan resursseja.
Tietosuojan turvaaminen on oleellinen osa yrityksen HR-prosesseja
Nixu Oyj on teknologiariippumaton kansainvälinen kyberturvayhtiö, joka tarjoaa kyberturvapalveluita, missiona pitää digitaalinen yhteiskunta toiminnassa. Nixun intohimo on auttaa organisaatioita hyödyntämään digitalisaatio turvallisesti, ja se tuottaa yhdessä asiakkaidensa kanssa käytännönläheisiä ratkaisuja liiketoiminnan jatkuvuuden, digitaalisten palvelujen helpon saatavuuden ja tietosuojan varmistamiseksi.
Nixun Head of Cloud Transformation Eero Öster oli puhumassa 24.8.2017 Canonin järjestämässä aamiaisseminaarissa, jossa paneuduttiin suomalaisten yritysten haasteisiin työsuhteiden elinkaarenhallinnassa HR-prosessien näkökulmasta. Öster on erityisen kiinnostunut henkilötietokäytännöistä, ja hänen mukaansa monissa yrityksissä tietosuojan noudattamisessa ja tietojen saatavuudessa on edelleen parantamisen varaa.
”Tietosuojavaatimukset on huomioitava koko työsuhteen elinkaaren ajan, ja tiedot on poistettava tai anonymisoitava elinkaaren päättyessä. Tiedon on oltava myös helposti saatavilla, sillä tietosuoja-asetuksen mukaan sekä nykyisillä että entisillä työntekijöillä on mm. tarkastus- ja oikaisemisoikeus omiin tietoihinsa”, muistuttaa Eero Öster.
Österin mukaan EU:n tietosuoja-asetuksen tarkoituksena onkin antaa työntekijöille enemmän mahdollisuuksia omien tietojensa käsittelyyn ja virtaviivaistaa yrityksille suunnattuja vaatimuksia. Asetuksen siirtymäaika on jo käynnissä, ja henkilötietojen käsittelyn on oltava asetuksen mukaista 25.5.2018 mennessä. Henkilötietojen säädösten mukainen käsittely luo käytettäville järjestelmille paljon erilaisia tietosuojavaatimuksia. Tällaisia ovat esimerkiksi tiedon poistaminen ajallaan, tiedon suojaaminen siirrettäessä ja tallennettuna, rekisteröidyn oikeuksien toteutus sekä väärien ihmisten pääsyn rajoittaminen heille kuulumattomiin tietoihin.
Tietoturvan huomioiminen on tärkeää jo järjestelmien suunnitteluvaiheessa
EU:n tietosuoja-asetuksen mukaan henkilötietoja saa käsitellä vain lainmukaisin perustein, ja rekisteröidyillä on myös tietyissä tapauksissa oikeus pyytää tietonsa poistamista eli oikeus tulla unohdetuksi. Tällä hetkellä suuressa osassa yrityksiä käytössä olevat henkilöstöhallinnon prosessit ja järjestelmät eivät vastaa näihin vaatimuksiin tarpeeksi hyvin.
Österin mukaan henkilötietojen käsittelyyn käytettävissä järjestelmissä tulisi ottaa huomioon jo suunnitteluvaiheessa tietosuojavaatimukset, tietojen helppo saatavuus sekä poistettavuus. Yrityksissä olisi myös ensisijaisen tärkeää ymmärtää ja määritellä paremmin eri työtehtävissä toimivien ihmisten tarpeet päästä käsittelemään henkilötietoja. Tarkat prosessit käyttöoikeuksien myöntämiseen, muuttamiseen ja poistoon ovat tietoturvan kannalta elintärkeitä. Myös entisten työntekijöiden pääsy yrityksen tietoihin ja tietojen leviäminen esimerkiksi tulostamisella ovat riskejä, jotka pitää ottaa huomioon yrityksen HR-prosesseja suunniteltaessa.
Tietoa säilytettäessä on tärkeää pitää huolta tietojen oikeellisuudesta, sillä väärä tai vanhentunut tieto voi aiheuttaa huomattaviakin haittoja kyseiselle henkilölle. Öster painottaa myös, että tietoja kerätessä tulisi olla tarkka niiden säilytysajasta sekä välittömästä poistamisesta elinkaaren päättyessä, ja hän kaipaakin enemmän konkreettisia ”poista tiedot” -nappeja henkilöstöhallinnon järjestelmiin. Jos henkilötietoja halutaan hyödyntää analytiikassa ja kerätä yrityksen kehittämiselle oleellista dataa, voidaan tiedot anonymisoida niin, ettei tieto ole enää yhdistettävissä yksittäiseen henkilöön.
Täydellistä tietosuojaa on kuitenkin vaikeaa ja kallista saavuttaa ennen tietosuoja-asetuksen lopullista voimaanastumispäivää. Yritysten kannattaa kuitenkin jo miettiä tarkkaan, mitkä ovat HR-prosessien tietosuojan kannalta kriittisimmät kohteet, ja mitä niille voidaan tehdä mahdollisimman pian ennen toukokuuta 2018.
Eero Öster haastaakin yritykset pohtimaan jo hyvissä ajoin: Millainen on yrityksesi tietosuojavalmius tällä hetkellä? Entä millainen sen pitäisi olla toukokuussa 2018? Ja mitä tässä välissä pitäisi tehdä?
Canon Oy ja Nixu Oyj tarjoavat yhdessä tietosuojaan liittyvää konsultointia ja ratkaisuja.