Selvitys: Joka toinen suomalainen verkkokauppaa käyvä yritys laiminlyö asiakkaidensa tietojen suojaamisen
Jos yritys ei varmista asiakas- tai jäsentiliä käyttävän asiakkaan henkilöllisyyttä luotettavasti, se jättää oven auki petosten tekijöille. Vahvojen tunnistamispalvelujen toimittaja Identisure on julkaissut pohjoismaisen vertailun, jonka mukaan suomalaisten yritysten tietosuojassa on parantamisen varaa.
Pohjoismaiden johtava vahvojen tunnistamispalvelujen toimittaja Identisure on toteuttanut jo toista kertaa selvityksen, jossa testataan suurten verkkokauppaa käyvien yritysten asiakastiedonhallinnan luotettavuutta. Selvitys tutkii, miten asiakkaan henkilöllisyys varmistetaan sähköpostitse, asiakaschatissa tai puhelimitse tapahtuvassa yhteydenotossa.
– Keinot asiakkaan henkilöllisyyden todentamiseen luotettavasti verkossa puuttuivat monissa tapauksissa kokonaan. Suomessa vain joka toinen yritys suojasi asiakkaidensa tiedot asianmukaisesti, Identisuren myyntijohtaja Otto Harinen sanoo.
Viime vuonna toteutettu ensimmäinen selvitys kattoi ainoastaan yrityksiä Ruotsissa, jossa Identisuren emoyhtiö IDkollen toimii. Tänä vuonna testiin otettiin mukaan kattava otos yrityksiä myös Suomesta, Tanskasta ja Norjasta.
– Lähes puolet niistä suomalaisista yrityksistä, jotka suojasivat tiedot, perustelivat päätöstä GDPR-säännöillä tai vetosivat asiakkaan tietosuojaan. Vaikka tämä vastaa vain noin joka neljättä yritystä, on näiden termien käyttäminen positiivinen merkki, ja lupaa hyvää tulevaisuuden osalta. Mutta merkittävä muutos saavutetaan luultavasti vasta sitten, kun huolimattomasti toimivat yritykset saavat sakkoja tietosuojavastuusta luistamisesta, Harinen jatkaa.
Norjalaiset yritykset testin parhaat
Identisure on aktiivinen toimija kaikissa Pohjoismaissa, ja kun ensimmäinen kysely Ruotsissa herätti viime vuonna niin toimialan kuin asiakkaiden kiinnostuksen, oli luonnollista laajentaa tutkimus pohjoismaiseksi vertailuksi.
– Ruotsissa tilanne ei ollut parantunut merkittävästi vuoden takaisesta: 48 prosentilla testatuista yrityksistä ei edelleenkään ollut käytössä luotettavaa tapaa varmistaa asiakkaidensa henkilöllisyyttä verkossa. Suomi asettui testissä Ruotsin kanssa samalle tasolle, Harinen kertoo.
Tanskassa vain neljä kymmenestä yrityksestä edellytti tunnistautumista asiakkaaksi luotettavalla tavalla ennen asiakastietoihin pääsyä.
– Norjalaiset yritykset menestyivät parhaiten tämän vuoden selvityksessä. Norjassa vain noin joka viides yritys antoi pääsyn asiakastietoihin, jos asiakkaan henkilöllisyyttä ei voitu tunnistaa luotettavasti, Harinen sanoo.
Tutkimus koski ainoastaan yksityistä sektoria.
– Meillä on paljon tietoa eri markkinoista ja seuraamme myös, miten tietoturva-asioita hoidetaan julkisella sektorilla Pohjoismaissa. Sieltä löytyy positiivisia esimerkkejä. Näyttää siltä, että julkisella sektorilla ollaan paremmin perillä siitä, mihin GDPR velvoittaa, Harinen toteaa.
Haastattelupyynnöt:
Laura Eskola, Miltton
laura.eskola@miltton.com
+358 44 586 8540
Lisätietoa selvityksestä
Selvitys toteutettiin Ruotsissa, Suomessa, Norjassa ja Tanskassa Identisuren (emoyhtiö: IDkollen) toimeksiannosta ottamalla jokaisessa maassa yhteyttä 50 paikalliseen tunnettuun yritykseen, jotka myyvät tuotteita tai palveluita yksityishenkilöille. Jotkut yrityksistä toimivat useilla markkinoilla.
Kaikki testatut yritykset tarjoavat asiakkaille jonkinlaisen jäsenyyden ja mahdollistavat sisäänkirjautumisen verkkosivuston tai sovelluksen kautta. Kyselyssä testattiin, miten asiakkaan henkilöllisyys varmistettiin yhteydenotossa. Yhteydenotto tapahtui sähköpostitse, asiakaschatissa tai puhelimitse.
Luotettavat henkilöllisyyden todentamiskeinot määriteltiin maakohtaisesti. Esimerkiksi Ruotsissa luotettaviksi menetelmiksi luokiteltiin BankID ja Freja eID.Suomessa edellytettiin kansallisen luottamusverkoston palveluihin tukeutumista eli esim. pankkitunnusten tai mobiilivarmenteen käyttöä. Jos todentaminen tapahtui vain julkisesti saatavilla olevien tietojen, esimerkiksi postiosoitteen, avulla, sitä ei laskettu luotettavaksi tunnistautumiskeinoksi.
Lisätietoja Identisuresta
Identisure on Ruotsissa nimellä IDkollen i Sverige AB perustettu Pohjoismaiden johtava sähköisten tunnistamispalvelujen tarjoaja. Identisure tarjoaa poikkeuksellisen helppokäyttöisiä palveluja, joiden avulla asiakasyritys voi tietoturvallisesti etänä vahvasti todentaa asiakkaansa henkilöllisyyden ilman teknisiä integraatioita. Toiminta käynnistyi vuonna 2018 GPDR-tietoturva-asetuksen voimaantulon yhteydessä, jolloin tarve vahvoihin tunnistuspalveluihin kasvoi nopeasti. Identisuren tunnistamis- ja tietosuojapalveluja käyttää jo sadat tunnetut yritykset asiakkaiden turvalliseen tunnistamiseen. Palvelut perustuvat kansallisesti virallisesti hyväksyttyihin tunnistamismenetelmiin. Suomessa käytetään pääasiassa pankkitunnuksia ja mobiilivarmennetta. Lue lisää: identisure.fi.