Case Vapo

Teoriasta käytäntöön esikartoitus auttoi Vapoa ottamaan GDPR:n vaatimukset haltuun

 

 EU:n tietosuoja-asetus (GDPR) tulee voimaan keväällä 2018. Vapo otti Digian avuksi tietosuoja-asetuksen tuomiin velvoitteisiin valmistautumisessa. Digia Continuous Compliance Fast Track -esikartoitusmallilla tietosuoja-asetuksen vaatimat toimenpiteet Vapolla kartoitettiin kokonaisuutena.

Hyödyt:

  • Tietosuojan ja tietoturvan nykytilan kartoitus kertoo lähtötason.
  • Lopputuloksena syntyi selkeä suunnitelma konkreettisista toimenpiteistä, joita muutos vaatii.
  • Eri asioiden vastuuhenkilöt saavat yhtenäisen valmennuksen ja työkalut muutoksen toteuttamiseen.
  • Vastaamalla tietosuoja-asetuksen vaatimuksiin vältetään sanktiot ja luodaan vahva pohja tulevaisuuden digitaaliselle kehitykselle tietoturvallisesti.


Palvelumme ja ratkaisumme:

Ennen Digiaa kukaan ei pystynyt vakuuttamaan, että tietäisivät todella, minkälaisia toimenpiteitä meidän tulisi käytännössä pystyä tekemään, jotta olisimme ’compliant’. Projekti sujui nopeasti ja vastaavaa kartoitusta voin suositella muillekin.

Antti Kleemola, tietohallintojohtaja, VapoTeoriasta käytäntöön – esikartoitus auttoi Vapoa ottamaan GDPR:n vaatimukset haltuun

EU:n tietosuoja-asetus oli paperilla Vapolle jo vanha juttu. Yritys tarvitsi kuitenkin ulkopuolista apua käytännön toimenpiteisiin siirtymiseksi. Digia työnsi kädet saveen ja auttoi Vapon seuraavalle tasolle Continuous Compliance Fast Track -esikartoitusmallillaan.

Kyberuhat ovat olleet tapetilla viime aikoina identiteettivarkauksista tietovuotoihin ja kiristyksiin. Yrityksien kannalta tapahtumat johtavat usein palvelujen häiriintymiseen, perusoikeuksien loukkaamiseen ja heikentävät luottamusta digitaalisten palveluiden toimintaan. Myös EU:ssa tietoturvan ja -suojan ongelmiin on herätty, ja uusi, entistä tiukempia velvoitteita yrityksille ja organisaatioille asettava tietosuoja-asetus (GDPR) tulee voimaan keväällä 2018.

Energiayhtiö Vapo haluaa olla maailman paras osaaja energia-alalla. Tavoitteen saavuttamisessa digitalisaatiolla on suuri merkitys, johon Vapo on investoinut merkittävästi. Vapo toimii säännellyllä toimialalla, jolloin mahdollisiin lakimuutoksiin tulee reagoida etukäteen. Näin ollen oli myös luonnollista, että Vapolla tietosuoja-asetuksen tuomat muutokset otettiin asialistalle jo 2015. Teoriasta käytäntöön siirryttiin keväällä 2017 Digian avulla.

Kädet savessa

Tiedon turvallisuus on Vapolle tärkeää monesta eri näkökulmasta. Maailman tapahtumat ovat kannustaneet etsimään haavoittuvaisuuksia omista järjestelmistä jatkuvasti, jotta ulkopuoliset tahot eivät pääsisi käsiksi esimerkiksi laitosten etäohjauksiin. Tämän lisäksi tietojen suojaaminen on noussut entistä tärkeämpään osaan Vapon alkaessa hyödyntää asiakasdataa yhä enemmän.

”Olemme viimeisen vuoden aikana tuoneet entistä enemmän asiakasta kiinni omaan tekemiseemme ja prosesseihimme. Se tarkoittaa samalla sitä, että käytämme huomattavasti enemmän ympäristöissämme asiakkaan dataa tai asiakkaan generoimaa dataa. On siis tärkeää varmistaa, että toimimme varmasti oikein tällä alueella”, kertoo Vapon tietohallintojohtaja Antti Kleemola.

EU:n tietosuoja-asetuksen sisältö ja ohjeistukset olivat teorian tasolla Vapolle jo tuttuja.

”Olimme järjestäneet ohjeistusta ja koulutusta työntekijöillemme aiheesta. Mutta kädet savessa tekeminen puuttui”, Kleemola kuvailee.

Avuksi tuli Digian Continuous Compliance Fast Track -esikartoitusmalli, jonka avulla Vapossa päästiin siirtymään teoriasta konkreettisesti kiinni niihin asioihin, jotka vaativat huomiota, jotta kaikki menisi vaatimusten mukaan tietosuoja-asetuksen tullessa voimaan.

EU:n tietosuoja-asetuksen sisältö ja ohjeistukset olivat teorian tasolla Vapolle jo tuttuja.

Uhkakuvat syrjään ja suoraan asiaan

EU:n tietosuoja-asetuksesta keskusteltaessa lähdetään usein liikkeelle sanktioista. Pelotekulmasta käsin käyty keskustelu oli tuttua Kleemolalle. Erilaisissa seminaareissa käydyt keskustelut eivät kuitenkaan johtaneet konkretiaan.

”Ennen Digiaa kukaan ei oikeastaan pystynyt vakuuttamaan, että tietäisivät todella, minkälaisia toimenpiteitä meidän tulisi käytännössä pystyä tekemään, jotta olisimme ’compliant’”, Kleemola kertoo.

”Juuri se lähestymistapa, että lähdetään suoraan puhumaan asiasta ja konkreettisista toimenpiteistä, eikä niistä uhkakuvista, oli meille tärkeää.”

Kaksi viikkoa kestäneessä kartoituksessa Digian asiantuntija kävi läpi Vapon järjestelmät ja koosti yhteenvedon, jonka perusteella pystyttiin suunnittelemaan tarvittavia toimenpiteitä. Lopputuloksena Vapon tietosuojavastaavalla, tietohallinnolla ja muilla olennaisilla toimijoilla on hyödynnettävissään raportit kahdella kielellä suosituksineen ja riskikartta, josta Vapon on helppo johtaa tietotilinpäätös.

”Kartoituksesta seurasi suosituksia siitä, mitä kannattaa seuraavaksi lähteä tekemään ja mitä asioita tulisi ottaa huomioon. Mutta lisäksi saimme varmistusta siitä, että olemme jo tehneet aiemmin oikeita asioita ja että olemme aiemmin ymmärtäneet asiat oikein.”, Kleemola kertoo.

Yhteistyö Digian kanssa saa Kleemolalta kiitosta.

”Projekti sujui nopeasti ja vastaavaa kartoitusta voin suositella muillekin. Digian asiantuntija paneutui detaljeihin ja varmisti tarvittaessa epäselvät asiat viranomaisilta asti saman tien. Se oli loistava homma”, Kleemola päättää.

Nyt tehty kartoitus koski Vapon energiatoimintaa Suomessa. Kartoituksen pohjalta työtä voidaan jatkaa myös konsernin muissa yhtiöissä Suomessa ja ulkomailla.

Takaisin ylös