Käärmeöljykauppiaan eliksiiriä?
Tietosuoja nähdään monessa yrityksessä ainoastaan kustannuksena. GDPR-huuman käärmeenöljykauppiaat lupailivat eliksiirinsä hoitavan yritysten GDPR-kolotuksen – ”100 % GDPR vaatimustenmukaisuus helposti ja vaivattomasti!” Jopa tietosuojavaltuutettu moitti GDPR-konsultteja rahastamisesta ja harhaanjohtamisesta. Jos halusit päästä helpolla – ostaa dokumentin tai analyysin, joka laskun maksamisen jälkeen unohtui pöytälaatikkoon tai nettisivun footeriin – koet epäilemättä GDPR:n hyödyttäneen vain konsulttia.
Tietosuoja tuo investoinnit takaisin keskimäärin 2,7-kertaisena
Tuoreen Ciscon tutkimuksen mukaan yli 40 % yrityksistä saa yli kaksinkertaisesti takaisin sen, minkä ne ovat tietosuojaan investoineet. Hyödyt tulevat mm. siitä, että tietosuojaprosesseilla saadaan tehostettua myyntiä, minimoitua tietoturvaloukkausten seuraamuksia, mahdollistettua ketteryyttä ja innovointia, parannettua yrityksen asemia sijoittajien silmissä sekä rakennettua luottamusta kuluttajien suuntaan. Tutkimuksen mukaan yritykset saavat sijoittamaansa yhtä dollaria vasten keskimäärin 2,7 dollaria hyötyä. Vain 8 prosenttia vastaajista kertoi investointien ylittävän tietosuojatyön hyödyt.
Investointien kokoluokasta antaa osviittaa Ciscon tutkimuksen lisäksi IAPP:n ja EY:n Annual Privacy Governance Report 2019 -tutkimus, jonka mukaan amerikkalaiset yritykset käyttivät vuodessa keskimäärin 952.000 dollaria tietosuojatyöhön verrattuna eurooppalaisten 387.000 dollariin. Työntekijää kohden yritykset käyttivät 11-207 dollaria kustannuksen ollessa suurin alle 5000 työntekijää työllistävillä yrityksillä. Tutkimuksen mukaan 62 prosenttia vastaajista piti heille allokoitua budjettia liian alhaisena velvoitteidensa hoitamiseen.
Tietosuojamaturiteetin kasvattaminen tuo eniten hyötyjä
Mielenkiintoista Ciscon tutkimuksessa oli se, että mitä kehittyneempi tietosuojan taso organisaatiossa oli, sitä enemmän ROI (return on investment) kasvoi. Tutkimus siis osoittaa, että saadakseen kasvatettua tietosuojan kypsyystasoa, yrityksen tulee investoida, mutta nämä investoinnit tulevat takaisin suhteellisesti suurempina.
Iconics (nyk. Folks) on avustanut useita yrityksiä tietosuojamaturiteetin kasvattamisessa. Käytämme työssämme American Institute of Certified Public Accountants (AICPA) ja Canadian Institute of Chartered Accountants (CICA) -järjestöjen luomaa standardoitua mallia. Pyrimme luomaan yhdessä asiakkaan kanssa keinoja, joilla voidaan tulipalojen sammuttelun sijaan (ad hoc -taso) rakentaa toistuvia ja määriteltyjä prosesseja (repeatable ja defined -tasot) sekä lopulta hallita ja optimoida prosesseja koko organisaation parhaaksi (managed ja optimized -tasot).
Tietosuojan kypsyysaste kulkee usein käsikädessä organisaation muiden bisnesprosessien kypsyysasteen kanssa. Erityisesti sen tulisi seurata digitalisaatioon ja datan hyödyntämiseen liittyvien prosessien kehitystä – yhteen kanavaan pohjautuva asiakasnäkymä vaatii varsin erilaisia tietosuojapanostuksia kuin 360-asteen omnichannel -strategian toteuttaminen. Jos yhteyttä näiden välillä ei nähdä, organisaatiolla voi olla dataa ja tekoälyä, mutta ei lainsäädännön sallimia keinoja niiden hyödyntämiseksi. Siinä jos missä, valuu investoinnit hukkaan tai otetaan tarpeeton compliance-riski, joka voi johtaa maineen/luottamuksen vahingoittumiseen, hallinnollisiin sanktioihin, vahingonkorvausvaatimuksiin taikka taloudellisiin menetyksiin datan käytön rajoittamisen ja/tai palveluihin liittyvien muutostöiden johdosta. Vastaavasti on selvää, että tietosuojapanostukset perinteisemmällä yrityksellä voivat olla maltillisempia.
Tee itse vai hanki apua?
Jos organisaation oma aika menee tulipalojen sammutteluun, voi olla paikallaan hankkia ulkopuolista apua muutoksen vauhtiin saamiseen. Asiantunteva konsultti voi tarjota näkemyksiä parhaimmista käytännöistä ja saada muutoksen kehikon luotua tehokkaammin kuin organisaation sisäinen tietosuoja-asiantuntija.
Kypsyystason kasvaessa oletettavasti myös työn painopiste siirtyy takaisin organisaation sisälle. Ohjelmallisen mainonnan kieltä lainatakseni kyse on osaamisen ”in-housaamisesta” kyvykkyyksien ja tietosuojan merkityksellisyyden kasvaessa. Kuten ohjelmallisessa mainonnassa, myös tietosuojan in-housaaminen voi kuitenkin merkitä useiden kuukausien valmisteluja, ja edellyttää mm. sitä, että organisaatiolla on tarvittava sisäinen osaaminen ja vahva johdon tuki jatkotyölle ja osaajien sitouttamiselle.
Vaikka työn painopiste siirtyisi takaisin organisaation sisälle, voi useille dataohjautuville, kypsyystasoaan jo nostaneille organisaatioille olla hyödyksi jatkossakin sparrata kumppanin kanssa ja saada näkemyksistä siivitystä omaan työhön. Konsultti voi tässä vaiheessa haastaa ajattelua ja hahmottaa mahdollisesti kokonaisuuden ja eri toimintojen väliset riippuvuudet sisäistä asiantuntijaa kirkkaammin. Konsultti voi myös mahdollistaa sen, että sisäiset resurssit kohdistetaan tehokkaammin ja säästetään siten aikaa ja kustannuksia.
Konkreettisia hyötyjä
Uskomme siihen, että erityisesti dataohjautuvien yritysten suhteen:
selvät prosessit ja ohjeistukset mahdollistavat sen, että data on laadukasta ja liiketoiminta tietää, millä säännöin sitä voidaan optimaalisesti hyödyntää
yhtenäisten toimintatapojen myötä toiminta tehostuu ja kustannukset laskevat
kuluttajille luodut vaikutusmahdollisuudet parantavat kuluttajien luottamusta yritystä kohtaan, vahvistavat yrityksen brändiä ja parantavat asiakaskokemusta
laadukkaalla tietosuoja- ja tietoturvatyöllä voidaan minimoida tietoturvaloukkausten seuraamuksia ja todennäköisesti myös niiden realisoitumista
riskien hallinnan myötä liiketoimintaa voidaan rakentaa kestävälle pohjalle parantaen yrityksen arvoa sijoittajien silmissä
tietosuoja on osa yritys- ja yhteiskuntavastuuta, ja vastuulliset yritykset saavat tutkituksi liiketoimintahyötyjä mm. houkuttelemalla parhaita osaajia
Tietosuoja voi siis parhaimmillaan olla liiketoiminnan mahdollistaja ja näkyä viivan alla – näkemys, joka saa tukea nyt myös Ciscon tutkimuksesta.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
