Tilitoimisto: onko tietosuoja varmasti kunnossa?

Palkkaus.fi

EU:n tietosuoja-asetus GDPR velvoittaa tilitoimistot käsittelemään asiakkaiden tietoja tarkasti. Tietosuoja pitää huomioida ohjelmistovalinnoissa ja arjen rutiineissa.

Mitä laki vaatii?

Tilitomistolla on moniin nettipalveluihin verrattuna paljon enemmän asiakasyritysten ja työntekijöiden henkilökohtaista dataa. Tilitoimistolta vaaditaan ihan samaa kuin, miltä tahansa sensitiivistä asiakasdataa käsittelevältä palvelulta tai ohjelmistolta. Siksi tietosuoja ja tietoturva pitää ottaa vakavasti ja valita oikeat työkalut tilitoimiston arkeen. Riskit ja datan käsittely pitää miettiä ja asiakkaille pitää kertoa, miten dataa käsitellään.

GDPR lyhyesti yhdellä sivulla (avaa infografiikka tästä linkistä)

EU-tasoinen asetus tuli voimaan monta vuotta sitten ja siirtymäaikakin päättyi jo 25.5.2018. Tässä ei mennä tarkemmin GDPR:n yksityiskohtiin, vaan nostamme muutamia asioita, joiden osalta kannattaa tarkistaa, että kaikki on kunnossa.

Sähköposti on riski

Sähköposti on niin arkinen väline, että sitä ei usein ajatella tietoturvan ja tietosuojan kannalta. GDPR ei kategorisesti kiellä sähköpostin käyttämistä luottamuksellisen asiakastiedon lähettämiseen. MUTTA: Sähköposti on vanhaa tekniikkaa ja erityisesti pienyritykset ja yrittäjät käyttävät monenlaisia sähköpostipalveluita ja -ohjelmia, eikä käytännössä voi olla varma, että sähköposti kulkee tietoturvallisesti koko matkan ja että se säilytetään turvallisesti.

Kun sähköpostia kirjoitetaan, tyypillinen riski on se, että tehdään inhimillinen virhe sähköpostiosoitteessa. Viesti menee nimikaimalle tai jollekin ihan muulle (kari.sukunimi@gmail.com vs. kari.k.sukunimi@gmail.com). Monesti työntekijöiden sähköpostiosoitteissa on numeroita tai ne perustuvat johonkin lempinimeen, jolloin helposti kirjoittaa kiireessä väärin yksittäisiä merkkejä. Tällaisesta aiheutuu selvittelyä, aikaa kuluu, työntekijä hermostuu ja toimisto sekä asiakasyritys saavat vähintäänkin mainehaittaa.

Sähköpostilla voidaan myös kalastella asiakkaiden tietoja. Jos toimistossasi on rutiinia, että asiakkaiden kyselyt tulevat sähköpostilla, voi käydäkin niin, että joku esiintyy asiakkaana. Sähköpostin lähettäjätiedon voi väärentää tai viestin sisältö näyttää muuten oikeanlaiselta.

Usein käytetään DropBoxia tai vastaavia tietojen välittämiseen. Sinällään nämä ovat tietoturvallisia, mutta niitä käytetään myös tietojen kalasteluun, kuten Taloushallintoliitto juuri varoitti. Siksi asiakkaan kyselyihin vastaaminen on syytä aina tehdä tietoturvallisen kanavan kautta, mielellään esim. suoraan palkkapalvelun sisällä. Myös jokaisen käytetyn tietokoneen virustorjuntaohjelmistot pitää muistaa pitää aina ajantasalla.

Sähköpostin käyttäminen on tietoturvariski myös, jos luottamuksellinen asiakaskommunikaatio on tallessa vain sähköposteissa. On mahdollista, että joku varastaa koko sähköpostidatan toimistoltasi. Tällöin iso määrä asiakkaiden arkaluontoista tietoa päätyy massana vääriin käsiin. Sähköpostia ei pidä käyttää tiedon arkistointipaikkana, vaan esim. palkkatiedot pitää pitää erillään viestinnästä, aivan kuten kirjanpitodatakin. Tällöin myös asiakkaan vaihtaessa toimistoa, vanhan asiakkaan data voidaan eristää ja sopia historiatiedon käsittelystä.

Pitä siis huoli, että sähköpostilla ei välitetä esim. työntekijöiden palkkalaskelmia tai muuta henkilökohtaista dataa. Jos data päätyykin vääriin käsiin, niin vaikka tekemiesi asiakas- ja alihankintasopimusten mukaan olisitkin juridisesti turvassa, mainehaitta voi nykypäivän some-maailmassa olla valtava!

Henkilötunnus vain oikeasti tarpeellisiin kohtiin

Henkilötunnus yksilöi ihmisen ja kertoo lisäksi hänestä henkilökohtaista tietoa (syntymäaika, sukupuoli). Sitä voi käyttää prosessissa vain, kun se todella on tarpeen. Siksi esim. exceleissä asiakkaiden dataa pyöritellessä pitää miettiä, onko tässä yhteydessä todella tarpeen käyttää henkilötunnuksia. Vai voisiko käyttää jotain muuta tunnistetta (työntekijänumeroa tms.) tai yksinkertaisesti tehdä listan ilman tunnuksia.

Näin varmistat, että jos excel vahingossa päätyy vääriin käsiin, siinä ei ole turhaan henkilökohtaista tietoa mukana.

Puhelimessa asiointi ja tietoturva

Kun toimistoon otetaan yhteyttä puhelimella, pitää myös aina muistaa, että jos et todella tunne soittajaa henkilökohtaisesti, ei pitäisi välittää luottamuksellisia tietoja. Tietojen kalastelu puhelimella on tyypillinen tapa, miten esim. identiteettivarkaat toimivat. Tunkeutuja soittaa useisiin paikkoihin ja saa ongittua kokonaisuutena paljon tietoa kohdehenkilöstä.

Kannattaa valita sellaiset sähköiset työkalut, että palkkadata, henkilötiedot jne. kulkevat aina tietoturvallisesti asiakasyrityksen, työntekijöiden ja tilitoimiston välillä. Viranomaisten kanssa asioidessa käytä aina heidän turvapostejaan, ei koskaan saa antaa puhelimessa henkilökohtaista dataa.

Asiakasdatan arkistointi ja varmuuskopiot

Tilitoimisto säilyttää paljon asiakkaiden dataa: kirjanpito, palkkatiedot, laskutus, asiakasviestinnän historia jne. Vanhan mallinen paperiarkisto on tuttu ja tuntuu turvalliselta. Mutta kannattaa miettiä, voisiko tulevan datan jo säilyttää täysin sähköisesti ja siirtyä pikku hiljaa moderniin arkistointiin.

Jos asiakas vaihtaa toimistoa, pystyt myös tarvittaessa eristämään asiakkaan datan pysyväissäilytykseen ilman, että siihen pääsee normaalissa arjessa käsiksi. Tai tarpeen vaatiessa jopa poistamaan dataa. Yleensä poistamista automaattisesti tehdä, koska jo tilitoimiston oman juridisen aseman vuoksi on perusteltua säilyttää data, kunhan se on selkeästi eristetty aktiivisesta asiakasdatasta.

Asiakasdatan varmuuskopiointi on myös tärkeä asia. Jos toimistosi joutuu esim. yrityksen tietojärjestelmät kryptaavan kiristysohjelman uhriksi, onko sinulla varmuuskopiot, joista voit palauttaa toimintosi nopeasti takaisin? Tätä kannattaa aina myös kysyä ohjelmistotoimittajilta ja alihankkijoilta osana toimeksiantosopimusta.

Palkkadatan osalta on perusteltua ja teknisesti helpointa säilyttää kaikki data (palkkalaskelmia myöten) 10 vuotta palkanmaksusta. Hyvällä sähköisellä palkkaohjelmalla tämä onnistuu ja vanhoista tiedoista voi tehdä helposti hakuja tarpeen mukaan.

Sähköinen allekirjoittaminen

Perinteisesti sopimuksia (toimeksiannot, työsopimukset jne.) on kirjoitettu paperilla. Nykyään sopimukset voi jo tehdä turvallisesti digitaalisesti, ns. vahvalla sähköisellä allekirjoituksella. Suomessa tämä voi tapahtua verkkopankkitunnuksilla, henkilökortilla tai mobiilivarmenteella.

Palkkahallinnossa työsopimuksia syntyy joillekin yrityksille paljon ja niiden hallinta pelkästään paperiprosessina voi viedä paljon aikaa. Kannattaa käyttää palvelua, jossa on mahdollisuus siirtyä sähköisiin allekirjoituksiin. Arkistointi on helppoa ja koko allekirjoitusprosessi on nopeampi. Samalla myös esim. allekirjoittajan tiedot tulevat järjestelmään oikein, koska esim. kirjoitusvirheitä ei voi sattua.

Fyysinen tietoturva

Lopuksi asia, joka ei liity suoraan GDPR:ään eikä käytettyihin ohjelmistoihin, mutta joka usein unohdetaan. Tietoturva ja tietosuoja ei ole vain digitaalista, vaan siihen kuuluu myös fyysisiä asioita. Arkistointi ja sen turvallinen säilytys on tästä yksi esimerkki. Miten tilitoimiston asiakasdata on suojattu tulipalolta ja onko arkistotilaan pääsy rajattu vain niille, jotka sitä tarvitsevat? Pääsevätkö kaikki käsiksi koko dataan, vai onko esim. ei-aktiivisten asiakkaiden arkisto eri lukkojen takana?

Tietomurtoja tehdään myös ujuttamalla troijalaisia ohjelmistoihin ja järjestelmiin esim. sähköpostin kautta, mutta ne voivat tulla yrityksen koneille myös muistitikkujen ja muiden siirrettävien massamuistien mukana. Kannattaa miettiä ohjeistus, miten ja mitä muistitikkuja toimistolla käytetään.

Palkkaus.fi on aina turvallinen

Palkkaus.fi ottaa yksityisyyden, tietoturvan ja tietosuojan huomioon alusta asti tuotekehityksessä. Alustamme ja ohjelmistomme on moderni järjestelmä, jossa ei ole vanhoja tietoturvaltaan puutteellisia komponentteja. Asiakkaiden data on turvassa ja tietosuojasta huolehditaan.

Tietoturva_tietosuoja_Tietokonsultit
Tietoturvan ja tietosuojan kokonaisuus (Kuva: Tietokonsultit.fi)

Asiakkaiden viestit ja palkkadata (sekä mahdolliset liitteet) kulkevat suojatusti palvelun sisällä tilitoimistolle. Viestinnästä jää myös arkisto, jos asiakkaan kanssa käytyihin keskusteluihin on helppo palata, eikä etsimiseen mene aikaa. 2021 keväällä julkistettava työtenkijän mobiilisovellus sisältää myös yrityksen ja työntekijän välisen viestinnän, jolloin myös asiakas voi hoitaa palkkahallintoon liittyvät keskustelut tietoturvallisesti palvelun sisällä.

Arkistoinnin toiminnallisuudet kehittyvät myös monipuolisemmiksi ja 2021 aikana tilitoimistolla on käytössä monipuolinen palvelu asiakasdatan hallintaan.

Kehitämme jatkuvasti ohjelmistomme tietoturvaa ja seuraamme tietosuojaa parantavia uusia teknologioita tarkasti.

Palkkaus.fi on turvallinen valinta tilitoimiston ja yritysasiakkaiden palkkahallintoon!

Lue lisää

Taloushallintoliitto: Tietojenkalastelua liikkeellä – katso ennen kuin klikkaat Dropbox-viestin linkkiä

Tietosuojavaltuutettu: ohjeita organisaatioille

Tietosuoja.fi: GDPR:n periaatteet datan käsittelylle

GDPR lyhyesti yhdellä sivulla: infografiikka