Miltä GDPR näyttää organisaatioiden arjessa?

Eduhousen webinaarissa kysyimme osallistujilta, millaisia haasteita organisaatiot kohtaavat GDPR:n kanssa arjen työssä.

GDPR eli yleinen tietosuoja-asetus säätelee EU:ssa, miten organisaatioiden tulee kerätä, säilyttää ja hallinnoida henkilötietoja.

Eduhousen kyselyyn vastasi noin 80 asiantuntijaa ja johtajaa eri organisaatioista.

Tulokset antavat kuvan siitä, missä GDPR näkyy organisaatioiden arjessa ja missä suurimmat haasteet syntyvät.

Yksi havainto nousee selvästi esiin:

Organisaatioiden suurin haaste GDPR:n suhteen ei ole sääntelyn ymmärtäminen, vaan sen toteuttaminen arjen työssä.

Epävarmuus GDPR:ssä syntyy arjen työssä

Kysyimme, missä GDPR aiheuttaa eniten epävarmuutta arjen työssä. Suurimmaksi epävarmuuden lähteeksi nousi osaamistason vaihtelu organisaation eri osissa (32 %).

Tulokset jakautuivat näin:

• Osaamistaso organisaation eri osissa (32 %)
• Ohjeiden ja käytännön välinen kuilu (27 %)
• Vastuunjako eri roolien välillä (22 %)
• Toiminta poikkeustilanteissa (15 %)
• En osaa sanoa (1 %)
• Muu (4 %)

Epävarmuus liittyy usein tilanteisiin, joissa GDPR kohtaa arjen työn.

Esimerkiksi:

• miten henkilötietoja käsitellään käytännössä
• kuka on vastuussa missäkin tilanteessa
• miten toimitaan poikkeustilanteissa

Vaikka ohjeet ja periaatteet ovat olemassa, niiden soveltaminen arjen tilanteissa ei ole aina selkeää.

GDPR-riskien hallinnassa puuttuu yhteinen perusta

Kysyimme myös, mikä jää useimmiten puuttumaan GDPR-riskien hallinnassa. Suurimmaksi tekijäksi nousi yhteinen perusosaaminen (28 %).

Tulokset:

• Yhteinen perusosaaminen (28 %)
• Selkeä vastuunjako arjessa (23 %)
• Tapa osoittaa osaaminen tarvittaessa (19 %)
• Selkeä ja ymmärrettävä viestintä (13 %)
• Tuki poikkeustilanteissa (13 %)
• En osaa sanoa (4 %)

Kun yhteinen perusosaaminen puuttuu, riskien hallinta jää helposti yksittäisten asiantuntijoiden varaan.

GDPR ei koske vain tietosuojavastaavaa tai IT:tä. Se koskee koko organisaatiota.

Vain 11 % organisaatioista pystyy osoittamaan henkilöstön GDPR-osaamisen hyvin

Kysyimme myös, kuinka hyvin GDPR-osaaminen pystytään organisaatioissa osoittamaan.

Tulokset:

• Hyvin (11 %)
• Kohtalaisesti (49 %)
• Heikosti (31 %)
• En osaa sanoa (9 %)

Vain 11 % vastaajista kokee, että organisaatio pystyy osoittamaan henkilöstön GDPR-osaamisen hyvin.

Suurin osa arvioi tilanteen kohtalaiseksi tai heikoksi.

Tämä viittaa siihen, että vaikka osaamista voi olla, sitä ei välttämättä pystytä todentamaan selkeästi esimerkiksi auditoinneissa tai viranomaiskyselyissä.

Kolme keskeistä haastetta organisaatioiden GDPR-arjessa

Kyselyn perusteella GDPR:n haasteet liittyvät erityisesti kolmeen asiaan.

1. Osaamisen epätasaisuus
Kaikilla organisaation osilla ei ole samaa ymmärrystä henkilötietojen käsittelystä.

2. Vastuiden ja käytäntöjen epäselvyys
Ohjeet eivät aina muutu selkeäksi toiminnaksi arjen tilanteissa.

3. Osaamisen todennettavuus
Organisaatioissa ei aina ole selkeää tapaa osoittaa, että henkilöstö osaa toimia oikein.

Kun nämä kolme asiaa ovat kunnossa, myös GDPR-riskien hallinta muuttuu huomattavasti helpommaksi.

Eduhousen GDPR-sertifikaatti vahvan tietosuojaosaamisen saavuttamiseen ja todistamiseen

 Eduhousen GDPR-sertifikaatti koulutuksineen auttaa organisaatioita siirtymään kankeasta ohjeiden noudattamisesta sujuvaan arjen GDPR-toimintaan. GDPR-sertifikaatin avulla huolehdit paitsi ajantasaisista tiedoista ja taidoista, myös osaamisen ja luotettavuuden todistamisesta esimerkiksi omille asiakkaille ja kumppaneille.