EU:n tietosuoja-asetus tulee voimaan tasan kuukauden kuluttua 25.5.2018. Sitä ei kuitenkaan ole tarpeen säikähtää liikaa. Keskeistä on sopeuttaa asetuksessa edellytetyt toimet siihen tasoon, jolla yrityksessä käsitellään kuluttajien tai muiden henkilöiden tietoja. 

Yksinkertaisimmillaan velvoitteet ovat täytettävissä varsin suoraviivaisesti, jos yritys ei kerää ja käsittele terveys- tai muita arkaluonteisia tietoja, käsittelyyn osallistuu vain rajallinen määrä henkilöitä tai ulkopuolisia toimijoita eikä tietoja luovuteta Euroopan talousalueen ulkopuolelle. 

Räätälöinnissä tarvittavat toimenpiteet ovat seuraavat:

1. Kartoitus: Aluksi on syytä kartoittaa yrityksen ja sen yhteistyökumppanien avulla keräämien ja käsittelemien henkilötietojen laatu, tietovirrat toimijoiden välillä sekä henkilötietojen luovutukset. 

2. Periaatteiden laadinta: Kartoituksen perusteella laaditaan tietoturvaperiaatteet, joiden käytännön noudattaminen tulee varmistaa, mm. menettelytavoista mahdollisessa tietovuodossa.

3. Käsittelysopimukset: Seuraavaksi laaditaan käsittelysopimukset alihankkijoiden kanssa samoin kuin henkilötietojen luovutusta koskevat sopimukset. 

4. Rekisteriseloste: Myös julkinen rekisteriseloste tulee päivittää siten, että siinä kerrottu aidosti kattaa kaiken henkilötietojen käsittelyn yrityksessä.

Tietoturva-asetuksen vaatimukset koetaan helposti ylimääräiseksi ja turhaksi byrokratiaksi. Oikein mitoitettuna toimet kuitenkin auttavat yritystä saamaan tukevat raamit henkilötietojen turvaamiselle. Toimet tuovat myös suojaa seuraamuksia kohtaan, mikäli henkilötietoja kaikesta huolimatta joutuisi vääriin käsiin.

Yritykset ovat kokeneet tässä kuvatun lähestymistavan mutkattomaksi, käytännölliseksi ja hyödylliseksi.