Tilineloset-ryhmän oman GDPR-projektin anatomia – näin se tehtiin

20.03.2018 | Timo Autioniemi

Kuten edellisessä kirjoituksessani mainitsin, EU:n tietosuoja-asetus koskettaa jokaista yritystä, jossa käsitellään henkilötietoja. Näin siis myös me Tilineloset-ryhmässä pääsimme sukeltamaan EU:n tietosuoja-asetuksen maailmaan. Tässä kirjoituksessa pureudun siis tarkemmin Tilineloset-ryhmän GDPR-projektiin ja minkälaisia oppeja siitä saimme. Toivottavasti nämä opit ovat hyödyksi GDPR-matkallaan vielä oleville. Mutta kerrataanpa aluksi hieman projektimme taustoja ja mistä kaikki alkoi.

Vuoden vaihteessa meillä oli kaksi nopean kasvun tilikautta takana. Liikevaihtomme kasvoi tilikauden 2016 aikana 33 % edellisestä tilikaudesta ja henkilömäärämme lisääntyi Yrityspalvelu Riihi-Tilit Oy:n oston myötä viidellä henkilöllä. Tilikaudella 2017 liikevaihtomme kasvoi 25 %.

Olin ollut Tilineloset-ryhmän liiketoiminnan vetovastuussa 8 vuotta ja kaiken kaikkiaan tilitoimistoalalla 40 vuotta. Halusin siirtyä päivittäisestä vetovastuusta liiketoiminnan kehitystehtäviin ja sovimme mentoroitavani Hannes Hyttisen kanssa kapulanvaihdosta alkaneelle tilikaudelle. Erityisesti halusin käyttää energiaani keväällä 2017 käynnistetyn Digitaalinen asiakassilta -kehitysprosessin käytäntöön viemiseen. Haaveilin myös parin viikon kesälomasta ja matkasta Norjan vuonoille. Arki iski kuitenkin loppiaisen jälkeen, kun aloin priorisoida Tilineloset-ryhmän kehityshankkeita ja tunnistin EU:n tietosuoja-asetuksen väistämättömänä tekijänä kiireellisimmäksi. Tämän kehityshankkeen aloitus ei voinut viivästyä vaan pääsin GDPR:n makuun saman tien.

Projektin aloittamista hankaloitti se, että tarjolla ei ollut mitään valmista mallia jota noudattaa ja alan parhaat käytännöt eivät olleet vielä ehtineet kehittyä. Varsinaista projektiorganisaatiota ja yksityiskohtaista projektisuunnitelmaa emme nähneet tarpeelliseksi rakentaa, vaan teimme kaiken projektinomaisena asiantuntijatyönä.

Nykytilakartoituksesta hallittuun totetukseen

Aloitimme projektin nykytilakartoituksella: haimme tietoa GDPR-aiheesta, varsinkin henkilötietojen käsittelystä käyttäen lähteinä mm. Taloushallintoliiton ja Suomen Yrittäjien sisältöjä; analysoimme tarkasti löytämämme tiedon ja pohdimme, mikä osa GDPR-tiedosta olisi meille oikeasti oleellista; lisäksi kartoitimme omat tietojärjestelmämme ja selvitimme, mihin olemme keränneet henkilötietoa, miten käsittelemme henkilötietoa ja millä perustein.

Toteutus- ja dokumentointivaiheessa olemme tehneet/teemme seuraavat projektin päätehtäviksi tunnistamamme asiat:

  • Hankimme Taloushallintoliitosta tarvittavat asiakirjapohjat: ”Seloste henkilötietojen käsittelystä tilitoimistossa”, ”Seloste henkilötietojen käsittelytoimista” sekä ”Rekisteriseloste” ja ”Tietosuojaohje”
  • Kaikki asiakassopimuksemme uusitaan vastaamaan tietosuoja-asetuksen vaatimuksia. Sopimuksiin lisätään tietosuojaosio.
  • Kirjoitamme Tilineloset-ryhmän oman rekisteriselosteen, mitä henkilötietoja meillä kerätään sekä kuinka niitä käytetään ja varastoidaan
  • Kirjoitamme selosteen henkilötietojen käsittelytoimista
  • Tarkistamme Tilineloset-ryhmän tietoturvatason
  • Koulutamme oman henkilöstömme puolen päivän mittaisessa tilaisuudessa
  • Toimitamme asiakkaillemme tietosuojaohjeen sekä seuraavat, heidän työlleen tärkeät asiakirjapohjat: ”Seloste henkilötietojen käsittelystä tilitoimistossa” , ”Rekisteriseloste” ja ”Tietosuojaohje”.

Lopuksi viimeistelemme projektimme kehittämällä yhteisen mallivastauksen, jonka mukaisesti vastaamme niille, jotka kysyvät miten tietosuoja-asiat on Tilineloset-ryhmässä hoidettu.

Laskin, että tulemme käyttämään GDPR-projektiimme noin 80 tuntia työtä ja suoria kuluja meille aiheutuu vajaat 2 000 euroa kahden käytössä olevan ohjelmiston päivityksestä. Ohjelmistojen päivitys ei kuulu oman projektimme tehtäviin, vaan päivitykset tehdään ohjelmistotalojen päässä.

Plussan puolella ollaan

GDPR-projektimme myötä olemme tehneet  Tilineloset-ryhmästä hyviä havaintoja ja liiketoimintamme näkökulmasta jäämme selvästi plussan puolelle. Kaiken kaikkiaan olemme havainneet, että ei se GDPR mikään mörkö ole. Alla vielä tiivistettynä GDPR-projektimme positiiviset puolet:

• Saamme päivitettyä kirjalliset palvelusopimukset kaikkien asiakkaidemme kanssa
• Ja lisäämme tietosuojaliitteet kaikkiin asiakassopimuksiin
• Saamme sopimusten hallinnan tulevaisuuden kasvun vaatimalle tasolle
• Meille kehittyy koko ajan tietosuojaosaamista, jota voimme edelleen jakaa asiakkaillemme ja parantaa entisestään palveluamme
• Saamme siivottua turhaa dataa jonkin verran pois
• Vahvistamme yritysprofiiliamme vastuullisena toimijana

EU:n tietosuoja-asetus hyödyttää yrityksiä, sillä manuaalisen työn määrä ja virheiden tuomat riskit pienenevät mm. karsimalla lukuisia excel-rekistereitä, mutta me olimme hoitaneet tämän asian jo aiemmin kuntoon rakentamalla toimintamallimme täysin digitaaliseksi.

Mitä seuraavaksi?

GDPR-projekti ei ole kertaluontoinen suorite, vaan sen noudattaminen ja hyödyntäminen edellyttää jatkuvaa havainnointia toimintaympäristön muutoksista sekä erityisesti niistä lainsäädännöistä, jotka vaikuttavat henkilötietojen keräämiseen.
Haluan myös painottaa, että yksikään yritys ei ole yksin GDPR-vaatimusten kanssa. Voit aina luottaa yhteistyökumppanisi osaamiseen ja niin myös me Tilineloset -ryhmässä olemme valmiina auttamaan juuri sinun yrityksesi GDPR-huolissa.

EU:n tietosuoja-asetus -kirjoitussarjamme jatkuu seuraavassa ”Nämä asiat paranevat PK-yrityksissä GDPR-projektin myötä”-kirjoituksessa, jossa tulen paneutumaan GDPR:n positiivisiin vaikutuksiin. Suosittelen siis jatkossakin seuraamaan tulevia blogi-kirjoituksiamme, sillä tarjolla on erilaisia näkemyksiä GDPR:n vaikutuksista.

Tervetuloa siis seuraamaan GDPR-matkaamme Tilineloset-ryhmän blogissa.

 

Timo Autioniemi

 

Kirjoittaja on Tilineloset-ryhmän hallituksen puheenjohtaja, KLT Timo Autioniemi. Timo on digitaalisen taloushallinnon pioneeri,
jolla on 40 vuoden kokemus tilitoimistoliiketoiminnasta ja yrittäjyydestä.