Sisäinen tarkastus pureutui GDPR-käytäntöihin

Hanselin hallitus valitsi vuoden 2018 sisäisen tarkastuksen teemaksi toukokuussa sovellettavaksi tulleen EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimusten täyttymisen tarkastamisen. Tarkastuksen sisältö oli laaja, sillä tarkastukseen sisällytettiin myös Hanselin puitesopimukset.

Tarkastuksessa keskityttiin tietosuojaan liittyvien prosessien ja käytäntöjen tarkastamiseen sekä tietosuojaohjeisiin ja muuhun olemassa olevaan dokumentaatioon. Tarkastuksessa todettiin, että GDPR:n edellyttämät asiat on meillä hoidettu hyvin.

Yhtään erittäin merkittäväksi luokiteltua havaintoa ei noussut esille, ja raportin ainoa merkittävä huomio liittyi tietosuojan riskiarviointimallin laadintaan ja riskiarviointien tekemiseen. Lisäksi raportissa suositeltiin, että yhtiön johtoryhmän hyväksymä tietosuojapolitiikka hyväksyttäisiin myös hallituksessa. Yhtiön tietoturvaryhmälle vastuutettiin riskiarviointimallin laatiminen. Taloushallinnon toimesta tehdään säännöllisin väliajoin yhtiön riskien arviointi riskienhallinta-asiantuntijan kanssa. Jatkossa tähän tullaan lisäämään myös tietosuojanäkökulma.

Hansel oli hyvin varautunut GDPR:n soveltamisen aloitukseen. Asian valmistelu ja sisäisen koulutuksen järjestäminen oli vastuutettu yhtiön juristille ja tietoturvapäällikölle, jotka toimivat myös sisäisinä konsultteina valmisteluprojektin aikana. Kaikki puitesopimuksista vastaavat kategoriapäälliköt vastasivat omien sopimusten päivittämisestä asetuksen mukaisiksi.