Yksi tietosuoja-asetuksen tärkeimmistä periaatteista on henkilötietojen "kuuluminen" rekisteröidyille. Rekisteröity voi milloin tahansa pyytää pääsyä kaikkiin tietoihin, joita rekisterinpitäjä on hänestä kerännyt, ja rekisterinpitäjän on pyyntö toteutettava 30 päivän kuluessa.
Tutkija kontaktoi tässä 83 organisaatioita tekaistulla sähköpostiosoitteella, jonka avulla hän esitti kihlattuaan. Hän kertoi myös voivansa antaa lisätietoja henkilöllisyydestään verkkoportaalin kautta, jonka arvasi monilta kontaktoiduilta organisaatioilta puuttuvan ja sitä myötä vaan kasvattavan ahdistusta pyyntöön vastaamiseksi.
Reagoinnista päätellen moni pieni ja keskisuuri organisaatio on vielä täysin varautumaton tietopyyntöjen vastaanottamiseen; enemmänkin GDPR-hiki nousi pintaan, tietoturvallisuus unohtui ja pyyntö yritettiin käsitellä paniikissa nopeasti. Tärkeää olisi olla selkeät prosessit, joilla ensin pyynnön esittävä henkilö tunnistetaan tarpeeksi uskottavasti ja edetä pyynnön käsittelyyn vasta tämän jälkeen. Joskus voi riittää sopivan sähköpostiosoitteen hallinta, mutta tällöin luovutetaan vain tähän sähköpostiosoitteeseen liittyviä tietoja. Vahvempia ja useampia tunnistamiskeinoja henkilöllisyyden varmistamiseksi (esim. puhelinnumero, pankkitunnistus, muut tunnisteet) ja liittyvien henkilötietojen löytämiseksi pitää tietenkin tarvittaessa käyttää.
Henkilötietojen luvaton luovuttaminen on tietoturvaloukkaus samoin kuin suojaamattoman USB-tikun unohtuminen julkisiin tiloihin tai tietoinen murtautuminen palvelimille.
Kun ei ole sovittua toimintatapaa tai valmista portaalia ihmisen tunnistamiseen, hätäännytään ja tehdään virheitä.
Jos organisaatiossa koulutetaan asiakaspalvelijoille yksi asia, sen olisi syytä olla prosessi tietopyyntöjen käsittelyyn ja ihmisten yksityisyyden kunnioittamiseen. Palvelualttius ei saa näissä asioissa ajaa tietosuojan ohi.
Opeta tällainen sääntö henkilöstölle, niin voitte säästyä monelta harmilta. Arvailu johtaa ongelmiin. Tällä kertaa luovutettiin esim. salasanoja, rikoshistoriaa ja luottokorttitietoja luvattomasti väärälle henkilölle. Haitta voi olla "pienestä" teosta yksittäiselle ihmisille, ja mainevahinkona organisaatiolle, erittäin suuri.
Isot yritykset ja teknologia-alan yritykset pärjäsivät vertailussa hyvin. Ne ovat tottuneet datan käsittelyyn ja niillä oli prosessi valmiina.