Case Vapo: Esikartoitus auttoi ottamaan GDPR:n vaatimukset haltuun

ReferenssiTeoriasta käytäntöön – esikartoitus auttoi Vapoa ottamaan GDPR:n vaatimukset haltuun

EU:n tietosuoja-asetus oli paperilla Vapolle jo vanha juttu. Yritys tarvitsi kuitenkin ulkopuolista apua käytännön toimenpiteisiin siirtymiseksi. Digia työnsi kädet saveen ja auttoi Vapon seuraavalle tasolle Continuous Compliance Fast Track -esikartoitusmallillaan.

Kyberuhat ovat olleet tapetilla viime aikoina identiteettivarkauksista tietovuotoihin ja kiristyksiin. Yrityksien kannalta tapahtumat johtavat usein palvelujen häiriintymiseen, perusoikeuksien loukkaamiseen ja heikentävät luottamusta digitaalisten palveluiden toimintaan. Myös EU:ssa tietoturvan ja -suojan ongelmiin on herätty, ja uusi, entistä tiukempia velvoitteita yrityksille ja organisaatioille asettava tietosuoja-asetus (GDPR) tulee voimaan keväällä 2018.

Energiayhtiö Vapo haluaa olla maailman paras osaaja energia-alalla. Tavoitteen saavuttamisessa digitalisaatiolla on suuri merkitys, johon Vapo on investoinut merkittävästi. Vapo toimii säännellyllä toimialalla, jolloin mahdollisiin lakimuutoksiin tulee reagoida etukäteen. Näin ollen oli myös luonnollista, että Vapolla tietosuoja-asetuksen tuomat muutokset otettiin asialistalle jo 2015. Teoriasta käytäntöön siirryttiin keväällä 2017 Digian avulla.

Kädet savessa

Tiedon turvallisuus on Vapolle tärkeää monesta eri näkökulmasta. Maailman tapahtumat ovat kannustaneet etsimään haavoittuvaisuuksia omista järjestelmistä jatkuvasti, jotta ulkopuoliset tahot eivät pääsisi käsiksi esimerkiksi laitosten etäohjauksiin. Tämän lisäksi tietojen suojaaminen on noussut entistä tärkeämpään osaan Vapon alkaessa hyödyntää asiakasdataa yhä enemmän.

”Olemme viimeisen vuoden aikana tuoneet entistä enemmän asiakasta kiinni omaan tekemiseemme ja prosesseihimme. Se tarkoittaa samalla sitä, että käytämme huomattavasti enemmän ympäristöissämme asiakkaan dataa tai asiakkaan generoimaa dataa. On siis tärkeää varmistaa, että toimimme varmasti oikein tällä alueella”, kertoo Vapon tietohallintojohtaja Antti Kleemola.

EU:n tietosuoja-asetuksen sisältö ja ohjeistukset olivat teorian tasolla Vapolle jo tuttuja.

”Olimme järjestäneet ohjeistusta ja koulutusta työntekijöillemme aiheesta. Mutta kädet savessa tekeminen puuttui”, Kleemola kuvailee.

Avuksi tuli Digian Continuous Compliance Fast Track -esikartoitusmalli, jonka avulla Vapossa päästiin siirtymään teoriasta konkreettisesti kiinni niihin asioihin, jotka vaativat huomiota, jotta kaikki menisi vaatimusten mukaan tietosuoja-asetuksen tullessa voimaan.

Uhkakuvat syrjään ja suoraan asiaan

EU:n tietosuoja-asetuksesta keskusteltaessa lähdetään usein liikkeelle sanktioista. Pelotekulmasta käsin käyty keskustelu oli tuttua Kleemolalle. Erilaisissa seminaareissa käydyt keskustelut eivät kuitenkaan johtaneet konkretiaan.

”Ennen Digiaa kukaan ei oikeastaan pystynyt vakuuttamaan, että tietäisivät todella, minkälaisia toimenpiteitä meidän tulisi käytännössä pystyä tekemään, jotta olisimme ’compliant’”, Kleemola kertoo.

”Juuri se lähestymistapa, että lähdetään suoraan puhumaan asiasta ja konkreettisista toimenpiteistä, eikä niistä uhkakuvista, oli meille tärkeää.”

Kaksi viikkoa kestäneessä kartoituksessa Digian asiantuntija kävi läpi Vapon järjestelmät ja koosti yhteenvedon, jonka perusteella pystyttiin suunnittelemaan tarvittavia toimenpiteitä. Lopputuloksena Vapon tietosuojavastaavalla, tietohallinnolla ja muilla olennaisilla toimijoilla on hyödynnettävissään raportit kahdella kielellä suosituksineen ja riskikartta, josta Vapon on helppo johtaa tietotilinpäätös.

”Kartoituksesta seurasi suosituksia siitä, mitä kannattaa seuraavaksi lähteä tekemään ja mitä asioita tulisi ottaa huomioon. Mutta lisäksi saimme varmistusta siitä, että olemme jo tehneet aiemmin oikeita asioita ja että olemme aiemmin ymmärtäneet asiat oikein.”, Kleemola kertoo.

Yhteistyö Digian kanssa saa Kleemolalta kiitosta.

”Projekti sujui nopeasti ja vastaavaa kartoitusta voin suositella muillekin. Digian asiantuntija paneutui detaljeihin ja varmisti tarvittaessa epäselvät asiat viranomaisilta asti saman tien. Se oli loistava homma”, Kleemola päättää.

Nyt tehty kartoitus koski Vapon energiatoimintaa Suomessa. Kartoituksen pohjalta työtä voidaan jatkaa myös konsernin muissa yhtiöissä Suomessa ja ulkomailla.

Suosittelija:

Ennen Digiaa kukaan ei pystynyt vakuuttamaan, että tietäisivät todella, minkälaisia toimenpiteitä meidän tulisi käytännössä pystyä tekemään, jotta olisimme ’compliant’. Projekti sujui nopeasti ja vastaavaa kartoitusta voin suositella muillekin.

Antti Kleemola, tietohallintojohtaja, Vapo

Pinterest
Referenssin infoboxi
Digia Oyj

Tiedot

Tilaaja: Vapo

Lisätietoja

Digia Oyj:n yritysprofiili Kotisivut

Tagit

Jos tarjontatagi on sininen, pääset klikkaamalla sen kuvaukseen

Liiketoimintaprosessi

Laatu, turvallisuus ja ympäristö

Erikoisosaaminen

Tietoturva

Toimialakokemus

Raaka-aineet ja energia

Tarjonnan tyyppi

Konsultointi

Omat tagit

tietosuoja-asetus
EU-tietosuoja
gdpr

Siirry yrityksen profiiliin Siirry Digia Oyj kotisivuille Yrityshaku Referenssihaku Julkaisuhaku

Digia - Asiantuntijat ja yhteyshenkilöt

Asiantuntijoita ja yhteyshenkilöitä ei ole vielä kuvattu.

Digia - Muita referenssejä

Digia - Muita julkaisuja

Siirry Digia Oyj kotisivuille Siirry yrityksen profiiliin Yrityshaku Referenssihaku Julkaisuhaku

Digitalisaatio & innovaatiot blogimedia

Blogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä

Tiedon hakemisen lyhyt historia - Digitaaliset alustat jäsentävät nyt maailman tietoa uudelleen
Suomen 50 suurinta yritystä
Brutaalit nettisivut

Etusivu Yrityshaku Pikahaku Referenssihaku Julkaisuhaku Blogimedia