Vuoden 2020 vakavin tietoturvakriisi oli karu muistutus siitä, kuinka tärkeää on noudattaa säädöksiä ja asetuksia erityisesti henkilötietojen käsittelyssä. 

Kaikilla yrityksillä on vastuu toimia lakien ja määräysten mukaisesti. Vastaamon tietomurto osoitti, kuinka tärkeää compliance on yrityksille. Paitsi lain sanelema vastuu, on hyvä compliance myös myyntivaltti yritykselle.

Haluamme NordCheckillä muuttaa organisaatioiden käsityksen siitä, mitä compliance on. Se ei ole vain sääntöjen noudattamista, riskienhallintaa ja laadunvalvontaa, vaan mahdollisuus toimia eettisemmin, vastuullisemmin ja kestävän kehityksen periaatteiden mukaisesti.

Virheitä ja laiminlyöntejä potilastietojen käsittelyssä

Vastaamo syyllistyi huolimattomuuteen potilastietojen käsittelyssä. Yritys laiminlöi GDPR-asetuksen ja tietosuojalainsäädännön noudattamista, eikä turvannut riittävällä tavalla potilastietoja. 

Vastaamossa tietosuojaan liittyi vakavia laiminlyöntejä. Yritys oli  esimerkiksi lähettänyt ainakin osalle asiakkaistaan sähköpostilla laskuja, joissa henkilötunnus oli suojaamatta. Tietosuojavaltuutettu on todennut, että yritys ei saa käyttää henkilötunnusta laskuissa.

Vastaamon toiminnassa on ollut lukuisia muitakin puutteita, laiminlyöntejä ja virheellisiä menettelyitä. Tietoturvaloukkaukset ja potilastietojen varastaminen salattiin aluksi viranomaisilta. Tietomurto salattiin myös yrityskaupan toiselta osapuolelta.

Avoin ja tehokas viestintä elintärkeää

Me NordCheckillä ajattelemme, että yrityksen on viestittävä asiakkailleen tehokkaasti myös vaativammista compliance-asioista. Yrityksen on tiedettävä, mikä kunkin asiakkaan tilanne on, kyettävä luomaan uusia palveluprosesseja nopeasti samalla kuitenkin lainsäädännön tiukkojakin vaatimuksia noudattamaan ja tuottamaan asiakkailleen ajantasaista, oikeaa tietoa. 

Kyse on laissa määritetystä vastuusta huolehtia asiakkaiden tietoturvasta, jonka Vastaamo on toiminnallaan ja sen puutteella laiminlyönyt.

Laiminlyönneillä kauaskantoiset seuraamukset

Kuten Vastaamon tapaus osoittaa, voi compliance-asioiden heikko hoitaminen tuottaa vakavia seurauksia niin asiakkaille kuin yhtiölle ja sen omistajille. 

Asiakkaille tapahtuneiden vakavien vahinkojen lisäksi, tietomurron kaltaiset asiat voivat romahduttaa koko yrityksen arvon ja tehdä investoinnista hukkainvestoinnin.

Jos compliance-hallinta nähdään toissijaisena, laiminlyöntien riski lisääntyy.  Automatisoitu, kattavasti hallittu compliance-hallinta minimoi inhimillisten virheiden riskin ja tekee yritykselle mahdolliseksi pysyä ajan tasalla vaatimuksista. 

Yrityksen omistajien tulisi varmistaa, että yrityksillä on tehokkaat compliance-prosessit ja -käytännöt sekä toimiva riskienhallinta ja -raportointi.

Nyt on aika toimia!

On tärkeää, että yritykset voivat tarjota ajantasaista, oikeaa ja riittävää tietoa mahdollisista ongelmista.

Kriisitilanteessa johdolla ja hallituksella tulee olla riittävät keinot saada välittömästi ajantasaista tietoa yrityksen toiminnasta. Johdolla ja hallituksella on oltava käytettävissään myös tehokkaat keinot sekä korjata tilanne että viestiä oikein, täsmällisesti ja nopeasti, faktoihin perustuen. Näiden prosessien toteuttaminen vaatii hyvää ohjeistusta ja koulutusta hyvin nopeasti. 

Me NordCheckillä olemme riskienhallinnan ja compliance-toiminnan asiantuntijoita. Hyvä compliance-hallinta voi parhaimmillaan estää Vastaamon kaltaisen kriisin, joten nyt on aika laittaa yrityksenne compliance kuntoon!

Kirjoittaja:

Kai Linnervuo, COO ja NordCheck Oy:n perustaja

Kuva: Tima Miroshnichenko / Pexels