Vuoden 2020 vakavin tietoturvakriisi oli karu muistutus siitä, kuinka tärkeää on noudattaa säädöksiä ja asetuksia erityisesti henkilötietojen käsittelyssä. 

Kaikilla yrityksillä on vastuu toimia lakien ja määräysten mukaisesti. Vastaamon tietomurto osoitti, kuinka tärkeää compliance on yrityksille. Paitsi lain sanelema vastuu, on hyvä compliance myös myyntivaltti yritykselle.

Haluamme NordCheckillä muuttaa organisaatioiden käsityksen siitä, mitä compliance on. Se ei ole vain sääntöjen noudattamista, riskienhallintaa ja laadunvalvontaa, vaan mahdollisuus toimia eettisemmin, vastuullisemmin ja kestävän kehityksen periaatteiden mukaisesti.

Virheitä ja laiminlyöntejä potilastietojen käsittelyssä

Vastaamo syyllistyi huolimattomuuteen potilastietojen käsittelyssä. Yritys laiminlöi GDPR-asetuksen ja tietosuojalainsäädännön noudattamista, eikä turvannut riittävällä tavalla potilastietoja. 

Vastaamossa tietosuojaan liittyi vakavia laiminlyöntejä. Yritys oli  esimerkiksi lähettänyt ainakin osalle asiakkaistaan sähköpostilla laskuja, joissa henkilötunnus oli suojaamatta. Tietosuojavaltuutettu on todennut, että yritys ei saa käyttää henkilötunnusta laskuissa.

Vastaamon toiminnassa on ollut lukuisia muitakin puutteita, laiminlyöntejä ja virheellisiä menettelyitä. Tietoturvaloukkaukset ja potilastietojen varastaminen salattiin aluksi viranomaisilta. Tietomurto salattiin myös yrityskaupan toiselta osapuolelta.

Lakisääteinen vastuu ei toteutunut

Kyse on laissa määritetystä vastuusta huolehtia asiakkaiden tietoturvasta, jonka Vastaamo oli toiminnallaan ja sen puutteella laiminlyönyt.

Vastaamon toimitusjohtaja irtisanottiin heti, kun tietomurto tuli ilmi. Myös hallituksen pääomistajan edustajat mukaan lukien hallituksen puheenjohtaja jäivät pois Vastaamon toiminnasta. Uusi toimitusjohtaja ja hallituksen puheenjohtaja ja hallitus nimitettiin marraskuussa 2020.

Vastaamon uusi toimitusjohtaja ja hallitus erosivat tammikuun lopussa 2021, selvitettyään mahdollisuuksia jatkaa liiketoimintaa. Lopulta yritys asetettiin selvitystilaan.

Avoin ja tehokas viestintä elintärkeää

Me NordCheckillä ajattelemme, että yrityksen on viestittävä asiakkailleen tehokkaasti myös vaativammista compliance-asioista. Yrityksen on tiedettävä, mikä kunkin asiakkaan tilanne on, kyettävä luomaan uusia palveluprosesseja nopeasti samalla kuitenkin lainsäädännön tiukkojakin vaatimuksia noudattamaan ja tuottamaan asiakkailleen ajantasaista, oikeaa tietoa. 

Kyse on laissa määritetystä vastuusta huolehtia asiakkaiden tietoturvasta, jonka Vastaamo on toiminnallaan ja sen puutteella laiminlyönyt.

Laiminlyönneillä kauaskantoiset seuraamukset

Kuten Vastaamon tapaus osoittaa, voi compliance-asioiden heikko hoitaminen tuottaa vakavia seurauksia niin asiakkaille kuin yhtiölle ja sen omistajille. 

Asiakkaille tapahtuneiden vakavien vahinkojen lisäksi tietomurron kaltaiset asiat voivat romahduttaa koko yrityksen arvon ja tehdä investoinnista hukkainvestoinnin. Taloudellisen vahingon lopullinen määrä on vielä epäselvä.

Vastaamon osakkeiden arvo on alentunut ja asian selvittelyn kustannukset ovat kasvaneet korkeiksi. Viranomaiset ovat määräämässä Vastaamolle vielä sanktioita ja asiakkaiden mahdolliset korvausvaatimukset tulevat rasittamaan yhtiötä. Kaiken lisäksi liikevaihdon putoaminen tulee vaikeuttamaan yrityksen jatkoa entisestään.

Compliance on ensisijaista

Jos compliance-hallinta nähdään toissijaisena, laiminlyöntien riski lisääntyy.  Automatisoitu, kattavasti hallittu compliance-hallinta minimoi inhimillisten virheiden riskin ja tekee yritykselle mahdolliseksi pysyä ajan tasalla vaatimuksista. 

Yrityksen omistajien tulisi varmistaa, että yrityksillä on tehokkaat compliance-prosessit ja -käytännöt sekä toimiva riskienhallinta ja -raportointi.

Nyt on aika toimia!

On tärkeää, että yritykset voivat tarjota ajantasaista, oikeaa ja riittävää tietoa mahdollisista ongelmista.

Kriisitilanteessa johdolla ja hallituksella tulee olla riittävät keinot saada välittömästi ajantasaista tietoa yrityksen toiminnasta. Johdolla ja hallituksella on oltava käytettävissään myös tehokkaat keinot sekä korjata tilanne että viestiä oikein, täsmällisesti ja nopeasti, faktoihin perustuen. Näiden prosessien toteuttaminen vaatii hyvää ohjeistusta ja koulutusta hyvin nopeasti. 

Me NordCheckillä olemme riskienhallinnan ja compliance-toiminnan asiantuntijoita. Hyvä compliance-hallinta voi parhaimmillaan estää Vastaamon kaltaisen kriisin, joten nyt on aika laittaa yrityksenne compliance kuntoon!

Kirjoittaja:

Kai Linnervuo, COO ja NordCheck Oy:n perustaja

Kuva: Tima Miroshnichenko / Pexels