Blogi / Hankinnasta maksuun

GDPR tulee – onko taloushallintosi valmis?

Yrityksesi on luultavasti jo valmistautumassa EU:n uuteen tietosuoja-asetukseen (GDPR eli General Data Protection Regulation), koska 25.5.2018 alkaen tarkastajat voivat sakottaa raskaasti niitä yrityksiä, jotka eivät noudata asetusta. Mikäli ette ole vielä valmistautuneet, nyt on aika aloittaa.

GDPR:n perusteet

GDPR pyrkii suojelemaan EU-kansalaisten henkilötietoja, joten mikäli yrityksellä on toimintaa EU:n alueella, siihen pätee EU:n tietosuoja-asetus. Tarkoituksena on asettaa johdonmukainen standardi tietosuojalle, suojata EU-kansalaisten henkilötietojen yksityisyyttä, sekä uudistaa niiden yritysten lähestymistä tietosuojaan, joilla on toimintaa EU:n alueella.

GDPR:n tuomat vastuut sisältävät tarkkoja ohjeita, kuten luvan varmistaminen henkilöiltä, tai arkaluonteisten tietojen salaaminen mobiililaitteilla ja pilvessä, sekä yleisempiä periaatteita, kuten ”sisäänrakennettu” yksityisyyden suojaaminen, vastuullisuuden kulttuuri, sekä selkeiden sääntöjen ja toimintamallien vakiinnuttaminen.

Tärkeimpiä muutoksia:

  • Sanktiot asetuksen rikkomisesta, jotka ovat ankarammat kuin aiemmassa lainsäädännössä
  • Maantieteellinen ulottuvuus laajenee
  • Asiakkaan oikeudet vahvistuvat
  • ”Sisäänrakennettu” yksityisyyden suoja (toisin sanottuna tietosuojan tulisi olla läpikotaisin osa jokapäiväisiä liiketoiminnan käytäntöjä)

GDPR tuo mukanaan tiukemmat standardit ja langettaa ankarammat sanktiot niille organisaatioille, jotka eivät noudata asetusta. Yritykselle langetettujen sakkojen määrä voi olla jopa 20 miljoonaa euroa, tai 4 prosenttia vuotuisesta liikevaihdosta (riippuen kumpi on suurempi).

GDPR taloushallinnolle

Mitä GDPR tarkoittaa taloushallinnolle? Organisaation mahdollisesti arkaluonteisimpien tietojen käsittely on suuri vastuu. Talousosaston joutuessa tietomurron kohteeksi, voi rikollisten käsiin päätyä tietoa, joka saattaa mahdollistaa asiakkaiden tilien valtaamisen, rahojen varastamisen, tai identiteettivarkauden. Talousosaston tulisi siis olla erityisen tarkka suhtautumisessaan asetuksen noudattamiseen.

Tietosuoja-asetukseen valmistautuminen on koko yrityksen vastuulla. Talousosastoa ei pidä jättää yksin suojautumaan, eikä yhdenkään osaston tulisi toimia muista täysin erillään. Jos et ole tietoinen omista vastuistasi, nyt on aika ottaa ne selville.

Talousosastoa tulevat koskemaan ainakin seuraavat vastuut:

Arkistointi

Organisaation tulee ylläpitää hyvin hallinnoitua laskuarkistoa. Vaikka periaate on yksinkertainen, voidaan papereita säilyttää useissa eri paikoissa ja sähköisiä dokumentteja voi olla tallennettuna moniin eri paikkoihin. Organisaation on varmistettava, että arkistoidut dokumentit pysyvät muuttumattomina ja koskemattomina, ja että ne tuhotaan tietyn säilytysajan jälkeen.

Pääsy tietoihin

Yritysten on pyynnöstä annettava asiakkaille ja toimittajille pääsy heidän omiin tietoihinsa. Pääsy on annettava viipymättä ja esitettävä muodossa, jota asiakas pystyy lukemaan ja käyttämään uudelleen.

Tietojen kirjaaminen

Yritysten tulee pitää kirjaa sisäisestä tiedonkäsittelystä, ja dokumentinhallinnan järjestelmistä on pystyttävä viemään raakatietoja sekä tuottamaan täysi säilytettyjen dokumenttien tarkastushistoria.

Tietojen poistaminen

Organisaatioiden on pyynnöstä poistettava tiedot asiakkaasta tai toimittajasta, mikäli tämä peruu lupansa tietojen säilyttämiseen. Haasteena tässä tapauksessa on varmistaa, että kaikki asiaankuuluva tieto poistetaan vaikuttamatta samalla muihin tietoihin.

Tietomurron sattuessa

Asiakkaille on tiedotettava viipymättä kun tietomurto on havaittu. Jotta tämä olisi mahdollista, on organisaation oltava valmiina tunnistamaan tietomurto mahdollisimman nopeasti, arvioimaan mitkä tiedot ovat päässeet vääriin käsiin, sekä ottamaan yhteyttä niihin asiakkaisiin ja toimittajiin 72 tunnin kuluessa, joihin murto vaikuttaa.

Joitakin kysymyksiä joihin on osattava vastata:

  • Tiedätkö minkälaisten henkilötietojen kanssa olet tekemisissä?
  • Tiedätkö missä niitä säilytetään ja kuinka niitä hallinnoidaan?
  • Tiedätkö kuka vastaa tietojen turvaamisesta ja hallinnasta?

Tällä hetkellä vastaukset näihin kysymyksiin saattavat olla monimutkaisia, tai niitä ei ole ollenkaan.

On tärkeää työskennellä yhdessä organisaation IT-osaston ja sisäisen valvonnan kanssa, jotta tietojen turvaaminen on taattua ja osasto noudattaa GDPR:n asettamia vaatimuksia. Avoin kommunikaatio osastojen välillä on GDPR:n asettamien periaatteiden kulmakivi. Asioista puhuminen tässä vaiheessa saattaa säästää yrityksen vakavalta maineen vahingoittumiselta tai suurilta sakoilta.

Yksinkertaista asioita

GDPR:n noudattaminen auttaa varmistamaan, että taloushallinnon ja kirjanpidon osastot seuraavat tiukkoja tietoturvastandardeja, sekä saattaa muuttaa taloushallinnon toimintatapaa organisaation sisällä. Talousosastolla käsitellään suuria määriä arkaluontoista tietoa, joka tekee siitä eniten alttiin suurille sanktioille. Siltikin, nykyiset prosessit saattavat vaatia vain yksinkertaista päivitystä täyden muutoksen sijaan.

Raportointi- ja ilmoitusjärjestelmät on otettava käyttöön tiedottamaan mahdollisista ongelmista heti kun ne ilmenevät. Turvallisuusriskejä voidaan hallita automatisoiduilla järjestelmillä ja prosesseilla, jotka eliminoivat yhden merkittävimmistä olemassa olevista turvallisuusriskeistä – inhimillisen virheen. Avainprosessien, kuten laskujen käsittelyn ja hankinnasta maksuun – prosessin automatisointi auttavat keventämään taakkaa, ottamalla käyttöön toistuvat, automatisoidut ja jäljitettävät prosessit, jotka auttavat noudattamaan säännöksiä.

Katso tästä kuinka Palette Software voi auttaa automatisoimaan yrityksesi taloushallinnon prosesseja.

Printtaa tai jaa Julkaisupäivä: 2017-11-21