Tietosuojan huomiointi CRM-projektissa? Voisiko tylsempää ja kuivempaa tehtävää ollakaan! Nyt on kiire tuottaa konkreettisia ja mitattavia hyötyjä, kuten kasvatettua osaa asiakkaan sielusta ja lompakosta, parantunutta asiakastyytyväisyyttä ja lyhentyneitä läpimenoaikoja! Ei tässä tietohippeilylle ole aikaa. Palataan tietoturvalausuntoon – vai mikä se nyt oli – sitten keväällä!
Moni CRM-hanke on myöhässä jo syntyessään. Päätöksenteko on venynyt, kun toimittajat ovat esittäneet toinen toistaan houkuttelevampia tarjouksia ja kun CRM-hanke on saanut kilpailla johtoryhmässä muiden, yhtä kiireellisten strategisten kehityshankkeiden laumassa. Toimittajavalinnan lopulta valmistuttua aikaa kuluu sopimusneuvotteluihin niin, että projektin kick-offia joudutaan lykkäämään kahdesti. Ei ihme, että tässä vaiheessa halutaan päästä kiinni varsinaiseen tekemiseen, kuten välineiden pilotointiin, tietosisältöjen ja toimintojen määrittelyyn ja muutoksen jalkautukseen. Näin ei kuitenkaan pitäisi olla. Ja ei, tietosuojassa ei ole kyse yksittäisestä tehtävästä.
Tunnustan tässä julkisesti, että koin tietosuoja-asioihin liittyvän herätyksen vasta vuonna 2010. Olin toki aiemminkin pitänyt tietosuojaa ja tietoturvaa tärkeinä ja huomioitavina asioina, mutta suhteeni niihin oli kuten metsiensuojeluun. Minusta on suotavaa, että meillä on metsiä, joita ei ole kokonaan roskattu, hakattu, rakennettu tai lanattu parkkipaikoiksi, mutta erityisesti en jaksa syttyä asiasta. Jos joku kyselytutkimusta suorittava soittaisi ja kysyisi, pitääkö metsiä suojella enemmän, vastaisin ”totta kai”, ja perään laittaisin mielenkiintoisen 25-sivuisen artikkelin tulostumaan – yksipuoleisena tietenkin.
Tästä kulmasta lähestyin aihetta, kun eräänä helteisenä päivänä kesällä 2010 marssin tietosuojavaltuutetun toimistoon tapaamaan Reijo Aarniota. Olin paria kuukautta aiemmin tunnistanut tarpeen huomioida CRM-projektien tietosuoja-asiat tulevassa kirjassani, joten olin lähettänyt pyynnön päästä haastattelemaan sopivaa asiantuntijaa. Kiitos eurooppalaisten lomakausien ja EU-kokousten aikataulujen, sopivin heinäkuinen haastatteluaika löytyi itsensä tietosuojavaltuutetun kalenterista. Keskustelimme kaksi tuntia, ja palasin kirjoituskoneen ääreen muuttuneena miehenä.
Tapaamisessa ei ollut mitään yksittäistä asiaa, joka olisi muuttanut mieltäni tai avartanut katsantokantaani. Kyse oli ison kuvan hahmottamisesta ja siitä, että ymmärsin käytännön tasolla, millä lähestymistavalla henkilötietolakia ja sen serkkuja on luettava. Yritän seuraavassa avata tuota isoa kuvaa ja havainnollistaa käytännössä, miten tietosuojan on ilmennyttävä CRM-projektissa.
Projektin suunnittelu
Yleinen harhaluulo on, että henkilötietolain päätehtävä on rajoittaa henkilötietojen käsittelyä. Näin ei kuitenkaan ole, vaan henkilötietolain tarkoituksena on nimenomaisesti mahdollistaa yksittäisiä henkilöitä ja henkilöryhmiä koskevien tietojen käsittely. Laki antaa oikeuden käsitellä henkilötietoja, kunhan se tapahtuu huolellisesti ja suunnitelmallisesti, ja sille on perusteet ja edellytykset. Muutamia muitakin ehtoja on.
Ehkä tärkein henkilötietolain vaatimus on juuri tuo käsittelyyn liittyvä suunnitelmallisuus. Samalla se saattaa olla yksi lain paperisimmista ja tylsimmistä vaatimuksista. Käytännössä se tarkoittaa, että ennen kuin ensimmäistäkään henkilötietoa on ladattu CRM-järjestelmään, on tietojen rakenteet, lähteet ja tulevat luovutuspaikat pohdittu etukäteen ja dokumentoitu. Vaatimukset ovat maalaisjärjen mukaisia, eli ei kovinkaan vaikeita toteuttaa. Dokumentointivelvoite on pääosin hoidettavissa rekisteriselosteella, johon löytyy verkosta runsaasti malleja ja ohjeita.
Projektin toteutus
Useimmat CRM-projektit sisältävät tietojen siirron vanhasta järjestelmästä ja siivousoperaatioita. On tavallista, että nämä hankitaan palveluna järjestelmätoimittajalta tai kolmannelta osapuolelta.
Sopimusnäkökulmat on aina huomioitava, kun oman yrityksen ulkopuoliset tahot käsittelevät henkilötietoja. On sovittava kirjallisesti, millä oikeuksilla ja velvollisuuksilla toinen osapuoli tietoja käsittelee. Osa yleisistä sopimusehdoista, kuten IT2010, sisältää minimimäärityksiä tietosuojaan liittyen, mutta aina ne eivät ole riittäviä turvaamaan käsiteltäviä henkilötietoja.
Tietojen siirtelyyn on kiinnitettävä erityistä huomiota. Suojaamattomalla sähköpostilla yleisen internetin läpi liikahtava Excel-taulukko on huonoin mahdollinen tapa siirtää henkilötietoja. Yhtä hyvin tiedot voisi raapustaa postikorttiin, ja lähettää sen väärään osoitteeseen. Suositeltavinta on käyttää ulkoista tallennusmediaa (ulkoinen kovalevy tai muistitikku), ja toimittaa media turvallisesti kumppanille. Elegantisti laaditussa sopimuksessa todetaan tällöin, että kumppani tallentaa kaikki tarvittavat työversiot ja aineistokopiot tuolle medialle, ja palauttaa sen, kun työ on valmistunut. Näin varmistetaan, ettei ylimääräisiä kopioita tiedosta jää lojumaan – ja jos jää, ovat vastuukysymykset selviä.
Käyttöönotto
Projektin käyttöönottovaiheessa huomio kiinnittyy toimintatapoihin ja pelisääntöihin. Ketkä henkilötietoja käsittelevät ja miten? Mitä asioita järjestelmään kirjataan? Kuka huolehtii siitä, että järjestelmän tiedot ovat lainmukaisia? Miten toimitaan, kun joku haluaa tarkastaa tietonsa? Mm. näistä on oltava kirjalliset ohjeet.
Yleinen CRM-järjestelmien vitsaus ovat sairauskertomukset, muodossa tai toisessa. Lähes jokaisesta aktiivisessa käytössä olevasta CRM-kannasta löytyy liuta äitiyslomalla oleviksi merkittyjä ja sairauslomille liputettuja kontakteja. Molemmat merkinnät ovat henkilötietolain kannalta yksiselitteisesti kiellettyjä, vaikka asiakas itse olisi kehottanut ne ylös kirjaamaan.
Käyttöönoton yhteydessä on varmistettava, että henkilöstö hallitsee tietosuojaan liittyvät perusasiat ja henkilötietojen käsittelyyn liittyvät käytännöt ja ajatusmaailman. Käyttöönottokoulutusten yhteydessä muistutan usein asiakkaitani siitä, että henkilötietolain noudattamatta jättäminen ei ole punaisia päin kävelyyn verrattavissa oleva pieni erehdys, vaan rikoslain 38 luvussa määritelty henkilörekisteririkos, josta tuomitaan joko sakkoa tai vuosi vankeutta. Ilmeet yleensä vakavoituvat.
Lopuksi
Tietosuojan huomiointi CRM-projektissa on maalaisjärjen käyttöä ja asiakastietojen arvon tunnistamista ja tunnustamista. Hyvä alku on lukea henkilötietolaki läpi, ja sen jälkeen selata tietosuojavaltuutetun toimiston verkkosivuja. Jos aihe tuntuu vielä sen jälkeen hankalalta, kannattaa siihen liittyvät pakolliset suunnittelut ja paperityöt hoitaa sitä suuremmalla syyllä ensi tilassa alta pois. Vielä vaikeampia ne ovat, jos niihin tarttuu ensimmäisen kerran vasta keväällä. Ja siinä tapauksessa tulee lakiakin rikottua.
Tommi Oksanen
Kirjoittaja työskentelee CRM-käyttöönottokonsulttina THO Consulting Oy:ssä. Lisää hänen ajatuksiaan asiakkuusasioista on luettavissa Muutoksen tuska -blogista, http://muutoksentuska.wordpress.com.