Tapahtumien ja koulutusten järjestäminen on ytimeltään datan käsittelyä. Kun keräät ilmoittautumisia, keräät samalla valtavan määrän henkilötietoja nimistä ja sähköposteista aina erikoisruokavalioihin ja jopa henkilötunnuksiin. Mutta kuka näkee nämä tiedot? Miten niitä jaetaan eteenpäin? Ja mitä tapahtuu sitten, kun tapahtuma on ohi?
Eventillan markkinointipäällikkö Vilma Autio ja tekninen johtaja Markus Haataja perkasivat Tarkkana henkilötietojen kanssa -koulutuksessa läpi tapahtumadatan kriittisimmät sudenkuopat ja parhaat käytännöt. Katso tallenne alta ja ota haltuun työkalut, joiden avulla varmistat, että organisaatiosi tapahtumahallinta kestää tiukimmankin tarkastelun.
Katso koulutustallenne tästä:
Mikäli upotus ei näy, voit katsoa tallenteen myös suoraan YouTubesta.
1. Henkilötiedot tapahtumissa: Kerää vain se, mitä oikeasti tarvitset
EU:n tietosuoja-asetuksen eli GDPR:n nyrkkisääntö on selkeä: kerää vain tarpeellinen määrä tietoa ja säilytä sitä vain niin kauan kuin on pakko. Henkilötietoa on kaikki data, josta ihminen voidaan tunnistaa – joko suoraan tai välillisesti.
Tapahtumajärjestäjän ensimmäinen tarkistuspiste onkin ilmoittautumislomake. Onko jokainen kysytty kenttä oikeasti välttämätön itse tapahtuman järjestämisen kannalta? Ylimääräisen datan kerääminen ”varmuuden vuoksi” ei ole vain tietosuojariski, vaan se kerryttää organisaatioon tarpeetonta digitaalista kuormaa.
Ilmoittautumisen yhteydessä osallistujan on aina myös hyväksyttävä tietosuojaseloste tai käyttöehdot. Eventillassa tämä hoidetaan tyylikkäästi tekemällä ehtojen hyväksymisestä pakollinen askel lomakkeella, jolloin jokaisesta ilmoittautumisesta jää järjestelmään selkeä, auditoitava jälki.
2. Markkinointiluvat ja viestinnän pelisäännöt
Markkinointilupa ja tietosuojaselosteen hyväksyminen ovat kaksi täysin eri asiaa. Tapahtumaviestintä itsessään jaetaan karkeasti kahteen kategoriaan:
- Transaktionaaliset viestit: Ilmoittautumisvahvistukset, kuitit, tiedotteet peruutuksesta tai muistutukset itse tapahtuman käytännöistä. Nämä kuuluvat saumattomaan osallistujakokemukseen, eikä niihin tarvita erillistä markkinointilupaa.
- Markkinointiviestintä: Kutsujen lähettäminen tuleviin tapahtumiin tai yrityksen muiden palveluiden mainostaminen.
Varsinkin kuluttajapuolella eli B2C-markkinoinnissa markkinointiin vaaditaan aina erillinen ja aktiivinen suostumus. Myös yrityspuolella eli B2B-markkinoinnissa lupien kysyminen on vahva best practice, joka ehkäisee listojen roskaantumista. Eventillan vahvojen integraatioiden ansiosta lomakkeella kysytty markkinointilupa voi laukaista automaation, joka siirtää osallistujan tiedot suoraan CRM- tai uutiskirjejärjestelmään ja hoitaa tyylikkään double opt-in -varmistuksen taustalla.
3. Sano hyvästit sähköpostissa pyöriville Excel-listoille
Yksi tapahtuma-alan suurimmista tietoturvariskeistä on vanhanaikainen datan jakaminen. Kun catering tarvitsee tiedot ruokavalioista tai järjestyksenvalvoja osallistujalistan ovelle, moni lataa edelleen koneelleen Excelin ja lähettää sen sähköpostilla eteenpäin.
Tämä on riski:
- Tiedosto jää pyörimään useiden ihmisten sähköpostilaatikoihin ja laitteille.
- Tiedosto on vain ”sen hetken totuus”, eikä se päivity, jos peruutuksia tulee.
- Jos avaat henkilötietoja sisältävän Excelin matkustaessasi EU- tai ETA-alueen ulkopuolella, olet tehnyt tietosuojarikkomuksen.
Eventillan ratkaisu tähän ovat jaettavat raportit ja suojatut kentät. Voit luoda esimerkiksi cateringille oman, salasanasuojatun online-raportin, joka näyttää pelkät allergiatiedot ilman osallistujien nimiä. Raportti päivittyy reaaliajassa, jos osallistuja muuttaa tietojaan. Mikä tärkeintä, voit ajastaa raportin linkin vanhenemaan ja lakkaamaan toimimasta esimerkiksi tunti tapahtuman päättymisen jälkeen. Näin data ei jää koskaan lojumaan vääriin paikkoihin.
Arkaluonteisimmat tiedot, kuten henkilötunnukset, voidaan Eventillassa asettaa suojatuiksi kentiksi. Silloin edes organisaatiosi omat tapahtumanhallinnan käyttäjät eivät näe tietoa, ellei heidän käyttöoikeustasonsa sitä erikseen vaadi.
4. Datan elinkaari ja automaattinen anonymisointi
Dataa ei saa säilyttää ikuisesti. Kun tapahtuma on ohi, henkilötiedot on poistettava peruuttamattomasti.
Eventillassa tämä ei vaadi manuaalista perkaamista. Järjestelmä on rakennettu organisaatioille, joille automaatio on kriittistä: voit rakentaa Eventillaan automaattisia anonymisointisääntöjä. Voit esimerkiksi määrittää, että 365 päivää tapahtuman päättymisen jälkeen kaikkien osallistujien henkilötiedot anonymisoidaan automaattisesti.
Anonymisointi on peruuttamaton toimenpide, jonka jälkeen tietoja ei voida enää palauttaa. Taloushallinnon vaatimat tiedot ja tapahtuman onnistumista mittaava data, kuten myytyjen lippujen määrä ja tilastot, jäävät kuitenkin talteen, jotta liiketoiminnan kehittäminen on jatkossakin datapohjaista.
5. Entä jos pahin tapahtuu? Varautuminen tietosuojaloukkaukseen
Tietosuojaloukkaukseen varautuminen on kuin moottoripyörällä ajamista: on niitä, jotka ovat jo kaatuneet, ja niitä, jotka tulevat kaatumaan.
Kun inhimillinen virhe tai tietoturvapoikkeama tapahtuu, aika on kortilla. Olennaisinta on, että organisaatiossanne on sovittu selkeä toimintamalli:
- Dokumentoi: Kirjaa heti ylös kuka, mitä ja milloin teki tai huomasi.
- Rajoita: Katkaise pääsy vuotaneisiin tietoihin välittömästi.
- Viesti: Kenelle organisaatiossa asiasta ilmoitetaan ensimmäisenä? Kuka on varalla?
Varmistetaanko tietoturvallinen osallistujahallinta Eventillalla?
Kirjoittajasta
Kirjoittajasta
