GDPR tuo uudistuksia Severaan ja ValueFrameen
EU:n tietosuoja-asetus (GDPR) astuu voimaan toukokuun lopulla. Sen tavoite on tuoda läpinäkyvyyttä yritysten ja organisaatioiden henkilötietojen käsittelyyn. Asetuksen mukaan kaikilla yksityishenkilöillä on oikeus tietää, miten hänen henkilötietojaan, kuten nimi, osoite, sähköposti, syntymäaika tai terveystiedot, käsitellään organisaatioissa.
Se tarkoittaa, että henkilötietoja säilyttävien yritysten ja yhteisöjen täytyy jatkossa pystyä seuraamaan muun muassa, missä kaikkialla henkilötietoja säilytetään, mihin niitä käytetään ja kuka niitä on katsellut. Lisäksi jokaisen organisaation on tarjottava yksityishenkilöille mahdollisuus pyytää selvitystä ja pyynnön saavuttua myös toimitettava tarkka selvitys henkilötietojen käsittelystä.
Tulevia uudistuksia
Visma Solutionsin PSA-tuotteissa, Severassa ja ValueFramessa tietoturva on aina ollut vahvalla tasolla, mutta EU:n tietosuoja-asetuksen myötä sitä on entisestään vahvennettu.
GDPR:n mukaisesti jokaisella yksityishenkilöllä on oikeus pyytää poistamaan hänen henkilötietonsa rekisterinpitäjänä toimivan yrityksen rekistereistä asetuksessa määriteltyjen reunaehtojen puitteissa. Sekä Severaan että ValueFrameen on tulossa uutena toimintona henkilötietojen poistamismahdollisuudet. Severasta voidaan jatkossa poistaa asiakkaiden yhteyshenkilöiden tiedot, ValueFramessa uusi poistomahdollisuus koskee palvelun käyttäjien tietoja. Molemmissa ohjelmistoissa on palvelun käyttäjien henkilötietoja voinut aikaisemmin ainoastaan passivoida, kun henkilö on vaihtanut työpaikkaa. Severassa työpaikkaa vaihtavan palvelun käyttäjän tiedot voi jatkossa anonymisoida. Anonymisointi täyttää tietosuoja-asetuksen vaatimuksen. ValueFramen osalta tulemme tarjoamaan tukisivujen kautta ohjeistusta sekä suosittelemamme käytännöt mm. yhteyshenkilöiden henkilötietojen poistamiseen.
Severaan tulee uutena toimintona myös henkilötietojen muutoshistoria, josta voi helposti tarkastaa, mitä henkilötietoja on muutettu ja kuka niitä on muuttanut. ValueFramessa muutoshistorian on voinut tarkistaa jo aikaisemminkin. Sekä ValueFramesta että Severasta löytyy lisäksi useita dokumentteja, joista voi henkilön niin vaatiessa tarkistaa, mitä tietoja hänestä on järjestelmään tallennettu.
Severan ”Älä lähetä sähköpostia” -valinta tulee GDPR:n myötä olemaan oletuksena päällä. Aikaisemmin sen on voinut laittaa päälle tarvittaessa. Valinta tulee uusille Severaan lisättäville yhteyshenkilöille automaattisesti, vanhoille sen pystyy lisäämään massatoimintona. Tämä siksi, että jos Severasta on integraatio esimerkiksi johonkin markkinointijärjestelmään, niin ainakaan Severan vuoksi ei jatkossa voi vahingossa lähteä sähköposteja automaattisesti.
Lisätietoa EU:n tietosuoja-asetuksesta Severassa löytyy muun muassa webinaarista, ja Visma Solutions Communityssa on kattava kirjoitus aiheesta. ValueFramen osalta on ValueFrame Support -sivustolla vastauksia yleisimpiin GDPR-kysymyksiin.
Sopimukset uusitaan
ValueFramen ja Severan käyttäjät saavat kevään ja kesän aikana hyväksyttäväkseen uudet palveluehdot. Palveluehtosopimukset uudistuvat kattamaan GDPR:n vaatiman tietojenkäsittelysopimuksen.
EU:n tietosuoja-asetus tulee myös vaatimaan yrityksiltä entistä avoimempaa tiedotusta esimerkiksi yhteistyökumppaneistaan. Eli jatkossa yritysten täytyy kertoa julkisesti muun muassa, kuka vastaa yrityksen teknisestä infrastruktuurista ja siten esimerkiksi henkilötietojen fyysisestä säilyttämisestä. Siksi sopimusten päivittämisen yhteydessä tulemme julkaisemaan tiedot palveluidemme tuottamiseen käyttämistämme alihankkijoista ja heidän rooleista palveluidemme tuottamisessa.
Me Visma Solutionsilla koemme vahvaa vastuuta ja haluamme huolehtia siitä, että myös kaikkien alihankkijoidemme tietosuoja on lain vaatimalla tasolla.
Rekisterinpitäjällä on aina vastuu
Jokainen organisaatio, jolla on henkilötietorekisteri toimii sen osalta rekisterinpitäjänä. Helpottaaksemme rekisterinpitäjän vastuuta toteuttaa rekisteröidyn oikeuksia, Visma Solutions henkilötietojen käsittelijänä toimivana ohjelmistotalona voi auttaa siinä, että asiat on mahdollisimman helppo tarkistaa meidän ohjelmistoistamme.
Me emme kuitenkaan vastaa asiakasyritysten omiin tarkoituksiinsa keräämistä henkilötietorekistereistä, eli rekisterinpitäjänä heidän täytyy itse huolehtia GDPR:n vaatimusten täyttämisestä omien asiakkaiden ja työntekijöiden osalta.
Yksi tapa tietosuoja-asetuksen mukaisen tietojen tarkastuspyynnön vastaanottoon on käyttää Visma Signin verkkolomakepalvelua. Palvelun avulla jokainen yritys voi helposti rakentaa itselleen oman GDPR-tietopyyntölomakkeen. Visma Signin vahvan tunnistautumisen avulla voi aukottomasti varmistaa, että tiedon pyytäjällä on oikeudet pyytämiinsä tietoihin.
Visma Solutions tulee myös käyttämään Visma Signia omien asiakkaidensa kanssa ja sen kautta asiakasyritystemme henkilökunta voi jatkossa pyytää tietoja omien henkilötietojensa käsittelystä.
Listätietoa GDPR:stä Visma Solutionsin tuotteissa löydät Communitystä.
Lue seuraavaksi: Näin ylläpidät CRM-järjestelmää ja huolehdit asiakastietojen tietoturvasta
Riku Tarkiainen on Visma Solutionsin Director of Information Security and Data Privacy. Tietoturvasta ja tekniikasta innostuva Riku pitää yhdessä tiimiemme kanssa huolen, että yrityksemme asiakkaat, tuotteet ja työntekijät pysyvät turvassa.
