Käyttäjän suostumus ohjaa käyttäjätietojen hallintaa – GDPR ja IAM

08/09/2017 | Kirjoittanut: Tero Pasanen | Aihe: Asiakasidentiteetinhallinta (CIAM), GDPR, IAM, Tietosuoja Image for Käyttäjän suostumus ohjaa käyttäjätietojen hallintaa – GDPR ja IAM

Verkkokaupat, sosiaalisen median jättiyritykset ja kehittyneet verkkopalvelut hyödyntävät massiivisesti käyttäjätietojaan. Niiden avulla kohdistetaan tarjouksia, valikoidaan sisältöjä käyttäjän ruudulle ja ohjataan häntä niiden sisältöjen pariin, joiden arvellaan kiinnostavan häntä. Tämä on ollut arkea jo Amazonin alkuajoista lähtien, mutta sen merkitys kasvanut, kun Facebookin ja Googlen kaltaiset teknologiajätit ovat tehneet kohdentamisesta koko liiketoimintansa ytimen.

Tilanne muuttuu kuitenkin pian, kun EU:n tietosuoja-asetus eli GDPR (General Data Protection Regulation) astuu voimaan ensi vuoden toukokuun lopussa. Se vaikuttaa suurten nettiyhtiöiden lisäksi kaikkien käyttäjätietoja keräävien suomalaisyritysten toimintaan. On kyseessä sitten siivouspalvelu, konserttilippuja tarjoava yritys tai nettihuutokauppa, pitää sen muuttaa merkittävästi käyttäjätietojensa hallintaa.

GDPR sanelee – asiakas on kuningas

Suurin muutos koskee asiakkaiden eli käyttäjien antamien suostumusten elinkaaren hallintaa (Consent Lifecycle Management). Tähän saakka verkkopalvelun käyttäjä on antanut palveluntarjoajalle laajat ja pysyvät käyttöoikeudet tietojensa käyttöön raksimalla rastin yhteen suostumusruutuun. GDPR edellyttää, että käyttäjälle kerrotaan tarkasti, mihin tietoja voidaan käyttää, kauanko tietoja säilytetään, mistä käyttäjä näkee hänestä kerätyt tiedot ja miten käyttäjä voi poistaa tietonsa. GDPR:n vaatimuksia ei voi täyttää ilman tietojärjestelmässä olevaa käyttäjien suostumusten hallintaa.

Maailma on muuttunut myös siinä mielessä, että asiakkaat ovat tottuneet sähköisten palveluiden helppokäyttöisyyteen ja intuitiivisuuteen. Palvelut oppivat parhaimmillaan tekoälyn avustamina asiakkaan käyttäytymisestä ja ohjaavat häntä tekemään uusia valintoja.

Asiakkaat odottavat parhaiden sosiaalisen median palveluiden tasoista käyttökokemusta kaikkialla verkossa. Jos verkkopalvelu on vaikeasti lähestyttävä tai monimutkainen, asiakkaat hylkäävät sen ensikäynnillään. Paikalle ei voi jäädä, vaan digitalisaation tuomia uusia keinoja on osattava hyödyntää jatkuvasti. Palveluiden on uudistuttava asiakkaiden ehdoilla, jotta pysytään kilpailukykyisenä.

Organisaatioiden haasteet

Asiakastietojen hallintatietojärjestelmät eivät tue useimmissa verkkopalveluissa GDPR:n vaatimuksia. Syykin on selvä: useimmat järjestelmät ovat yhdysvaltalaisten ohjelmistotalojen tuotteita, eikä niissä ole huomioitu EU:n jo ennestään USA:ta tiukempia yksityisyydensuojan vaatimuksia, saati GDPR:ää.

Organisaatiot haluavat jatkossakin hyödyntää asiakasrekistereitään kohdennettuun myyntiin ja markkinointiin. Näin voidaan tehdä, mutta se vaatii uudenlaisia ratkaisuja tietojärjestelmiin, jotta varmistetaan GDPR:n myötä tulevat uudet oikeudet järjestelmien käyttäjille.

Tietojärjestelmän päivittäminen GDPR:n vaatimuksia vastaavaksi ei ole pelkkä IT-projekti. Siihen tulee sitouttaa tiiviisti liiketoiminnan osa-alueet ylimmästä johdosta myyntiin, markkinointiin sekä talous- ja henkilöstöhallintoon saakka. Projektiin tarvitaan tietosuojan juridista osaamista, jotta järjestelmä vastaa uuden tietosuoja-asetuksen tiukimmatkin vaateet.

Sähköisissä palveluissa tulee olla jatkossakin helppo ja vaivaton käyttökokemus palveluun rekisteröitymisestä alkaen. Verkkopalvelun pitää olla tietoturvallinen eli se saa antaa pääsyn palveluun vain asianmukaisesti tunnistautuneille käyttäjille. Myös käyttäjätietojen elinkaaren hallinta on tärkeä osa verkkopalveluita. Esimerkiksi asiakassuhteen päättyessä on loogista varmistaa, että käyttöoikeus palveluun poistuu.

Voittajat mukautuvat

Kun asiakkaalle tarjotaan paras mahdollinen sähköinen palvelu, pitää sen takana olla yhtenäinen tietojärjestelmä. Sen pitää antaa vastaus useisiin tarpeisiin:

Tietosuojan riskikartoitus (PIA, Privacy Impact Assessment) on luonteva tapa käynnistää sähköisen palvelun modernisointi. Siinä selvitetään tietosuojan nykytila ja kartoitetaan kehitysprojektin askeleet tärkeysjärjestyksessä.

Ratkaisu löytyy markkinoille tulleista moderneista ja helppokäyttöisistä identiteetin- ja pääsynhallinnanjärjestelmistä (IAM, Identity and Access Management). Niihin on sisäänrakennettu GDPR:n vaatimukset täyttävä suostumusten hallinta ja ne on suunniteltu toteuttamaan nykypäivän vaatimukset käytettävyyden ja itsepalveluiden osalta.

Modernissa IAM-järjestelmässä asiakkaiden suostumusten hallinta ja tietosuoja-asiat on automatisoitu koskemaan kaikkea tietoa, johon asiakas voidaan suoraan tai välillisesti liittää. Kun vanhoista järjestelmistä edetään kohti ajanmukaista digitaalista palvelukokemusta, tavoitteena pitää olla yksi yhtenäinen asiakastietokanta ja siihen liitetty IAM-järjestelmä.

Tietojärjestelmän muutos vaatii monissa organisaatioissa myös toimintatapojen radikaalia muutosta siilomaisesta tiedonhallinnasta yhteisen tiedon rikastamiseen. Samalla organisaation kaikilla tasoilla pitää lisätä ymmärrystä, mistä tietosuojassa ja GDPR:ssä on kyse.

Spellpoint tarjoaa voittavan reseptin: Kokonaispalvelun asiakastietojärjestelmien ja sähköisten palveluiden uudistamiseen, joka huomioi ja ratkaisee kaiken edellä mainitun. Kerromme mielellämme lisää – ota yhteyttä.

Tero Pasanen, tero.pasanen@spellpoint.fi
Senior IAM Architect