Tietosuojavaltuutettu antoi joulukuussa (8.12.2021) kiinnostavan huomautuksen siivousyritykselle, joka oli käyttänyt WhatsApp-pikaviestintätyökalua sisäisessä toiminnassa ja jakanut siellä muun muassa asiakkaiden yhteystietoja ja ovikoodeja.

Tietosuojavaltuutetun mukaan tässä toiminnassa oli useita ongelmia. Ensisijaisena ongelmana tietosuojavaltuutettu piti WhatsApp-työkalun sopimusmallia, jossa sopimus on aina henkilökohtainen kyseiselle työntekijälle, eikä näin yrityksellä ole mitään keinoja valvoa miten henkilötietoja käsitellään tässä työkalussa.

”Tietosuojavaltuutettu toteaa, että kun sovellusta käytetään henkilökohtaisessa puhelimessa, sopimussuhde on yksityishenkilön eli työntekijän ja Facebookin välillä, eikä rekisterinpitäjällä ole keinoja valvoa, miten henkilötietoja palvelussa käytetään. Yrityksen antaman selvityksen perusteella se ei myöskään ollut kertonut asiakkailleen WhatsAppin käytöstä henkilötietojen käsittelyssä.”

Toinen ongelma oli se, että asiakkaille ei ollut viestitty siitä, miten henkilötietoja käsitellään WhatsAppin avulla.

Kolmantena ongelmana tietosuojavaltuutettu nosti esiin asiakkaiden henkilötietojen todennäköisen siirtymisen Yhdysvaltoihin, koska WhatsAppin palvelinkeskukset sijaitsevat pääasiallisesti Yhdysvalloissa.

WhatsApp on korkean riskin työkalu yritystoiminnassa

Vaikka kyse on yksittäisestä huomautuksesta, voi tästä päätellä, että ainakaan Suomen tietosuojavaltuutetun mukaan ei WhatsApp ole kovin soveltuva työkalu yritystoimintaan, jossa sen avulla käsitellään asiakastietoja. WhatsAppihan ei tarjoa todellista yritysversiota palvelustaan*, joten parempaa hallittavuutta ei ole mahdollista ostaa edes rahalla. Täten WhatsAppin käyttöön liittyy aina riskejä yritystoiminnan näkökulmasta.

Osittain tuota ensimmäistä haastetta (sopimukset ovat henkilökohtaisia) voi kiertää, jos työntekijöillä on työpuhelimet, joita ei käytetä kuin työasioihin. Tällöin WhatsAppin käyttösopimus muodostuu tuon työpuhelimen numeron perusteella, eikä ole samalla tavalla työntekijän henkilökohtainen sopimus. Esimerkiksi monissa autoliikkeissä harrastetaan tämäntyyppistä mallia, koska asiakkaat viestivät mielellään WhatsAppilla, ja on kaikkien kannalta järkevämpää, että viestit eivät sekoitu myyjien henkilökohtaisiin WhatsApp-viestittelyihin.

Toinen mainittu haaste (asiakkaille ei ollut viestitty) on taas ratkaistavissa juurikin paremmalla viestinnällä. Jos esimerkiksi viestinnän aloituksen yhteydessä kerrotaan asiakkaille, kuinka tietoja tullaan käsittelemään ja pyydetään asiakasta hyväksymään WhatsAppin käyttö viestintävälineenä, ollaan jo varsin turvallisilla vesillä.

Kolmas haaste, tietojen siirtyminen Yhdysvaltoihin, on taas asia, johon ei näytä olevan tulossa ratkaisua lähiaikoina. Tässä asiassa voi tosin lohduttautua sillä, että ongelma vaivaa tässä maassa varmaankin suurinta osaa yrityksiä, jotka käyttävät jotain moderneja ohjelmistoja. Ongelman suuruus riippunee myös toimialasta. Jos kyse on terveystiedoista tai turvallisuuteen liittyvistä asioista, tämä kannattaa ottaa vakavammin kuin vaikkapa pienen matkailuyrityksen kohdalla.

Aina ei WhatsAppia voi välttää

WhatsAppin käyttö yritystoiminnassa on varsin yleistä Suomessakin. Suurin syy on se, että monilla aloilla asiakkaat suosivat WhatsAppia hyvin vahvasti. Esimerkiksi monissa matkailualan yrityksissä sen käyttö on elinehto monella tapaa niin myyntivaiheessa kuin palveluiden toimituksessa.

Markkinoilla ei ole myöskään kovin paljon ketteriä vaihtoehtoja, jotka tarjoaisivat hyvää tietosuojaa ja olisivat myös asiakkaiden näkökulmasta käteviä ottaa käyttöön. Varsin harvoin joku yksittäinen autoliike voi myyntivaiheessa vaatia potentiaalista ostajaa rekisteröitymään johonkin uuteen palveluun, vain koska autoliike ei haluaisi itse käyttää WhatsAppia.

WhatsApp tuskin on myöskään tarjoamassa yrityksille maksullisia palveluita näiden haasteiden kiertämiseksi. Facebook-konsernin liiketoiminnan kannalta tällaiset pienet (eurooppalaiset) ongelmat eivät ole erityisen merkityksellisiä.

Kuluttajien näkökulmasta WhatsAppin käyttämiseen on myös paljon hyviä syitä. WhatsApp arkistoi keskustelut käyttäjän omaan puhelimeen, ja kuluttaja voi itse hallita notifikaatioita ja monia muita asioita liittyen yrityksen kanssa asiointiin. Täten malli on kuluttajan kannalta usein hyvin perusteltu, ja esimerkiksi huomattavasti parempi malli kuin mennä johonkin yrityksen tarjoaman webbiportaalin sisälle.

Erilliset työpuhelimet ratkaisevat paljon

Yksi parhaita ratkaisuja on hankkia työntekijöille erilliset työpuhelimet ja liittymät, joita ei saa käyttää henkilökohtaiseen viestintään. Parhaimmillaan nämä työpuhelimet ovat jaettuja puhelimia, jotka voidaan vuoron tai työsuhteen päättyessä siirtää sellaisenaan eteenpäin. Tämä jo yksinään ratkaisee monia WhatsAppiin ja moniin muihinkin pikaviestimiin liittyviä ongelmia.

Toinen tärkeä asia on viestiä asiakkaille siitä, miten heidän antamia tietoja säilytetään ja käsitellään. WhatsAppinkin sisällä tietojen käsittely voi olla perusteltua ja tarkoituksenmukaista, mutta tästä tulee viestiä asiakkaille ja kertoa yrityksen pelisäännöt näiden tietojen säilyttämiseen.

PS. Harto Pönkä on kirjoittanut myös tästä päätöksestä pitkän ja perusteellisen kommentin, joka kannattaa myös lukea, jos aihe on itselle hyvin ajankohtainen.

PSS. *= Laajempi kommentti: WhatsApp tarjoaa WhatsApp for Business -versiota pk-yrityksille, mutta sen keskeinen idea on tehostaa WhatsAppin käyttöä markkinoinnissa, esimerkiksi verkkosivuilla, ei kilpailla esimerkiksi Teamsin ja muiden yrityskäyttöön paremmin suunniteltujen ratkaisujen kanssa.

Tilaa blogin Parhaat palat -kooste, uutiskirje, joka ilmestyy noin neljä kertaa vuodessa.

Tuoreita artikkeleita digitaalisten työympäristöjen teknologioista