Riskienhallinta ja ulkoiset tietolähteet

Organisaation sisäiset ja ulkoiset tietolähteet

Organisaation liiketoimintaprosessit käyttävät sekä tuottavat dataa, tätä kokonaisuutta voisi kuvata käsitteellä sisäinen data.

Lisäksi on olemassa ulkoisia tietolähteitä, joita organisaatio voisi hyödyntää vaikkapa riskienhallinnan prosesseissaan. Mitä hyötyä sitten ulkoisen datan käytöstä on? Laadukas ja kattava ulkoinen data voi tehostaa organisaation prosesseja sekä tehdä palveluiden käyttökokemuksesta paremman kun taustaprosessit hakevat tarvittavia tietoja ulkoisista lähteistä.

Tässä kirjoituksessa keskitytään lähinnä henkilöön liittyvään ulkoiseen dataan, yrityksiä koskevia datoja on luonnollisesti myös saatavilla. Yrityksiin liittyviin datoihin ei myöskään liity samalla tavalla tietosuojaan liittyviä kysymyksiä kuin henkilöihin.

Henkilön perustiedot

Digi – ja Väestöviraston (DVV) tarjoamat perusrekisterit sisältävät runsaasti dataa henkilöstä, tällä voidaan varmistaa toisaalta henkilön antamien tietojen paikkansa pitävyys että saada muuta taustatietoa.

Myös Postilta on saatavissa sekä perustietoja että rikastettuja, profiloinnilla muodostettuja tietoja. DVV toimii erilaisten toimittajien kanssa, joilta rekisteridatan käsittelyn palvelua ostetaan. Lisäksi lähes aina tarvitaan erillinen lupa DVV:ltä.

Yhteystiedot

Henkilöön liittyvät yhteystiedot saadaan luonnollisesti ensimmäisessä vaiheessa henkilöltä itseltään, mutta niihin voidaan kohdistaa varmistavia toimenpiteitä. Annetun suomalaisen matkapuhelinnumeron tiedot voidaan tarkistaa Fonectan tarjoamasta rajapintapalvelusta. Joitain asioita voidaan päätellä myös silloin kun palvelusta ei löydy mitään tietoja.

Yleisempi ratkaisu on käyttää operaattorien HLR – rekistereitä hyödyntäviä palveluita, esimerkkinä vaikkapa tämä. Tällainen palvelu palauttaa yleisesti tietoa siitä onko numero oikeasti aktiivinen ja teleoperaattorin tiedon.

Sähköpostin validointiin on selkeintä käyttää jotain menetelmää, jossa samaan aikaan varmistetaan myös matkapuhelinnumeron toimivuus. Sähköpostiosoitteita on huonosti tarjolla maksullisena ulkoisena datana ja vaikka olisikin niin ongelmaksi tulee tiedon luotettavuus ja käsittelyn laillinen perusta.

Maksuhäiriöt ja muut taloustiedot

Suomi on Euroopassa poikkeuksellinen maa sen vuoksi että meillä ei ole kokonaisvaltaista luottotietoraportointia, kaupalliset rekisterit voivat sisältää vain ns. negatiivista luottotietoa. Käytännössä tämä tarkoittaa, että tuollainen rekisterimerkintä on indikaatio erittäin korkeasta luottoriskistä. Luottotietorekisteri sisältää maksuhäiriömerkintöjä sekä tietoja ne aiheuttaneista veloista.

Luottotietorekisterissä voi esiintyä velan kohdalla myös ref – merkintä, joka tarkoittaa sitä että kyseinen velka on hoidettu ja siitä on olemassa saatu kirjallinen dokumentaatio. Ref – merkintä ei kuitenkaan suoraan vaikuta maksuhäiriömerkintään, johon liittyy omat voimassaoloaikansa.

Suomen Asiakastiedon ylläpitämä kulutusluottojen kyselyjärjestelmä on melkeinpä ainoa poikkeus liittyen positiiviseen luottotietoon. Sen puitteissa yhteistyötä tekevät toimijat voivat vaihtaa henkilön luvalla tietoa hänen veloistaan eri toimijoiden tietokannoissa.

Verohallinto ei ole Suomessa myöskään Tanskan tapaan tarjonnut reaaliaikaista tulotietoa rajapintojen kautta, sellaista velvoitetta sillä ei ole, kun asiasta ei ole säädetty lakia. Uusi tulorekisteri ei myöskään tarjoa dataa kuin rajatulle joukolle toimijoita.

PSD2 – direktiivi on kuitenkin tuonut markkinoille ns. tilitietopalveluita, joiden dataa voidaan hyödyntää henkilön taloudellisen tilan analysointiin henkilön suostumuksella. Eräs palveluntarjoajista on Enento Group eli Suomen Asiakastieto Oy:n omistava konserni.

Tilitietopalveluita tarjoavat ovat jo voineet rakentaa raakadatan päälle erilaisia palveluita, mm. tilitapahtumadatan kategorisointia. Näitä raakadatasta johdettuja muuttujia voidaan hyödyntää analyysissä sekä riskienhallinnassa.

Joillain perintäyhtiöillä on myös hallussaan runsaasti henkilöitä koskevaa dataa, mutta tätä dataa ei voida luovuttaa ilman henkilön suostumusta osaksi luottopäätösprosessia.

Energia-alan tietolähteet

Fingrid ylläpitää sähkön kulutuksen ja tuotannon kohteiden luetteloa eli käyttöpaikkarekisteriä, josta voidaan osoitteen perusteella hakea tiedot käyttöpaikasta.

Tulevassa Datahub – uudistuksessa Datahub tulee tarjoamaan muitakin palveluita eri sähkömarkkinaosapuolille ja toisaalta asiakkaan luvalla myös kolmansille osapuolille.

Tietosuojaan liittyvät asiat

Ulkoisen datan hyödyntäjällä täytyy olla käsittelyperuste erikseen jokaiselle henkilötietojen ryhmälle mitä prosessissa käsitellään. Joku käsittelyperuste voi olla sopimuksen täytäntöönpanoon liittyvä ja toinen peruste voi olla eri.

Jos oikeutettu etu on käsittelyperusteena, niin rekisterinpitäjällä on syytä olla tehtynä käsittelyn vaikutustenarvio (DPIA) ja siihen liittyvä tasapainotesti.

Tiedonhallinnan ammattilaisen on syytä hankkia asiantuntija-apua tietosuoja-asiantuntijalta, omaan rooliin kuuluvat vastuut liittyvät kuitenkin tiedon hyödyntämiseen ja tällöin tarvitaan neutraalimpaa arviota.

Kirjoittajasta

Tämän artikkelin kirjoitti Asko Kauppinen, Askolla on vuosien kokemus erilaisista dataratkaisuista energia-alalla ja finanssisektorilla.

Asko Kauppinen