Joka toinen suomalainen verkkokauppaa käyvä yritys laiminlyö asiakkaidensa tietojen suojaamisen

Jos yritys ei varmista asiakas- tai jäsentiliä käyttävän asiakkaan henkilöllisyyttä luotettavasti, se jättää oven auki petosten tekijöille. Pohjoismaisen vertailumme mukaan suomalaisten yritysten tietosuojassa on parantamisen varaa.

Pohjoismaiden johtavana vahvojen tunnistamispalvelujen toimittajana olemme toteuttaneet jo toista kertaa selvityksen, jossa testataan suurten verkkokauppaa käyvien yritysten asiakastiedonhallinnan luotettavuutta. Olemme erityisesti tutkineet, miten asiakkaan henkilöllisyys varmistetaan sähköpostitse, asiakaschatissa tai puhelimitse tapahtuvassa yhteydenotossa.

”Keinot asiakkaan henkilöllisyyden todentamiseen luotettavasti verkossa puuttuivat monissa tapauksissa kokonaan. Suomessa vain joka toinen yritys suojasi asiakkaidensa tiedot asianmukaisesti” sanoo Identisuren myyntijohtaja Otto Harinen

Viime vuonna toteutettu ensimmäinen selvitys kattoi ainoastaan yrityksiä Ruotsissa, jossa Identisuren emoyhtiö IDkollen i Sverige AB toimii. Tänä vuonna testiin otettiin mukaan kattava otos yrityksiä myös Suomesta, Tanskasta ja Norjasta.

”Lähes puolet suomalaisista yrityksistä, jotka suojasivat tiedot, perustelivat päätöstä GDPR-säännöillä tai vetosivat asiakkaan tietosuojaan. Vaikka tämä vastaa vain noin joka neljättä yritystä, on näiden termien käyttäminen positiivinen merkki, ja lupaa hyvää tulevaisuuden osalta. Mutta merkittävä muutos saavutetaan luultavasti vasta sitten, kun huolimattomasti toimivat yritykset saavat sakkoja tietosuojavastuusta luistamisesta”, Harinen jatkaa.

NORJALAISET YRITYKSET TESTIN PARHAAT

Identisure on aktiivinen toimija kaikissa Pohjoismaissa, ja kun ensimmäinen kysely Ruotsissa herätti viime vuonna niin toimialan kuin asiakkaiden kiinnostuksen, oli luonnollista laajentaa tutkimus pohjoismaiseksi vertailuksi. ”Ruotsissa tilanne ei ollut parantunut merkittävästi vuoden takaisesta: 48 prosentilla testatuista yrityksistä ei edelleenkään ollut käytössä luotettavaa tapaa varmistaa asiakkaidensa henkilöllisyyttä verkossa. Suomi asettui testissä Ruotsin kanssa samalle tasolle”, Harinen kertoo.

Tanskassa vain neljä kymmenestä yrityksestä edellytti tunnistautumista asiakkaaksi luotettavalla tavalla ennen asiakastietoihin pääsyä. Norjalaiset yritykset menestyivät parhaiten tämän vuoden selvityksessä. Norjassa vain noin joka viides yritys antoi pääsyn asiakastietoihin, jos asiakkaan henkilöllisyyttä ei voitu tunnistaa luotettavasti.

Tutkimus koski ainoastaan yksityistä sektoria. ”Meillä on paljon tietoa eri markkinoista ja seuraamme myös, miten tietoturva-asioita hoidetaan julkisella sektorilla Pohjoismaissa. Sieltä löytyy positiivisia esimerkkejä. Näyttää siltä, ​​​​että julkisella sektorilla ollaan paremmin perillä siitä, mihin GDPR velvoittaa”, Harinen toteaa.

LISÄTIETOA SELVITYKSESTÄ

Selvitys toteutettiin Ruotsissa, Suomessa, Norjassa ja Tanskassa Identisuren (emoyhtiö: IDkollen) toimeksiannosta ottamalla jokaisessa maassa yhteyttä 50 paikalliseen tunnettuun yritykseen, jotka myyvät tuotteita tai palveluita yksityishenkilöille. Jotkut yrityksistä toimivat useilla markkinoilla.

Kaikki testatut yritykset tarjoavat asiakkaille jonkinlaisen jäsenyyden ja mahdollistavat sisäänkirjautumisen verkkosivuston tai sovelluksen kautta. Kyselyssä testattiin, miten asiakkaan henkilöllisyys varmistettiin yhteydenotossa. Yhteydenotto tapahtui sähköpostitse, asiakaschatissa tai puhelimitse.

Luotettavat henkilöllisyyden todentamiskeinot määriteltiin maakohtaisesti. Esimerkiksi Ruotsissa luotettaviksi menetelmiksi luokiteltiin BankID ja Freja eID.Suomessa edellytettiin kansallisen luottamusverkoston palveluihin tukeutumista eli esim. pankkitunnusten tai mobiilivarmenteen käyttöä. Jos todentaminen tapahtui vain julkisesti saatavilla olevien tietojen, esimerkiksi postiosoitteen, avulla, sitä ei laskettu luotettavaksi tunnistautumiskeinoksi. 

Kolme käytännön vinkkiä yrityksille joiden tarvitsee tunnistaa asiakas esim. puhelimessa tai verkkopalvelussa:

  • Älä koskaan luota tarkistuskysymyksiin joiden vastaukset voivat löytyä julkisista lähteistä. Muista, että myöskään henkilötunnuksen tietäminen ei todista henkilöllisyyttä. Ethän halua altistaa asiakkaitasi identiteettivarkauksille tai riskeerata GDPR-sakkoja
  • Luo turvalliset käytännöt tunnistamiseen ja varmista, että tietosuojakäytäntöjä todella myös noudatetaan kaikissa asiakaspalvelutilanteissa. Social engineering on oikea riski.
  • Tutustu markkinoilla oleviin valmiisiin ja helppokäyttöisiin vahvan tunnistamisen palveluihin ja harkitse niiden käyttöönottamista. Kerromme mielellämme lisää!