QualiBooth

compliance

Mitä GDPR opetti meille EAA:sta

Euroopan esteettömyysdirektiivi seuraa samaa täytäntöönpanopolkua kuin GDPR. Jos organisaatiosi oppi GDPR:n kantapään kautta, tässä on, miten välttää sen toistaminen.

4 min read QualiBooth
EU:n lippu eurooppalaisen hallintorakennuksen edessä, edustaen EU:n digitaalista sääntelyä.

Olemme olleet täällä ennenkin

Vuonna 2018 GDPR tuli voimaan, ja useimpien organisaatioiden reaktio noudatti ennustettavaa kaarta. Lähes hiljaisuuden jakso. Sitten, määräajan lähestyessä, kiire. Sitten, kun täytäntöönpano todella saapui, aito kiireellisyys ja hätäinen pyrkimys tulla vaatimustenmukaiseksi aikataululla, joka oli paljon lyhyempi kuin sen olisi pitänyt olla.

Euroopan esteettömyysdirektiivi on samalla kehityskaarella. Määräaika – 28. kesäkuuta 2025 – on umpeutunut. Täytäntöönpano on käynnissä. Ja organisaatiot, jotka kohtelivat esteettömyyttä “hoidamme sen aikanaan” -asiana, huomaavat nyt, että aikanaan on saapunut.

Jos kävit läpi GDPR:n, suuri osa seuraavasta tuntuu tutulta.

Mitä niillä on yhteistä

Vaatimustenmukaisuuden määräaika, jonka useimmat organisaatiot ohittivat

Kun GDPR tuli voimaan toukokuussa 2018, kyselyt osoittivat, että enemmistö EU:n yrityksistä ei ollut vaatimustenmukaisia – joissakin raporteissa luku oli yli 60 %. Tarina EAA:n kanssa näyttää samanlaiselta. Vähän ennen kesäkuun 2025 määräaikaa julkaistu tutkimus osoitti johdonmukaisesti, että vain pieni osa lain piiriin kuuluvista yrityksistä oli saavuttanut merkityksellisen vaatimustenmukaisuuden.

Molemmat lait jakavat saman perusmallin: pitkä valmisteluvaihe, jonka aikana useimmat organisaatiot ryhtyvät rajoitettuihin toimiin, jota seuraa toiminnan ryöpsähdys määräajan lähestyessä, jota seuraa jatkuva täytäntöönpano niille, jotka eivät liikkuneet tarpeeksi nopeasti.

Alueellinen soveltamisala, jonka monet yritykset aliarvioivat

GDPR koskee mitä tahansa organisaatiota, joka käsittelee EU:n asukkaiden tietoja riippumatta siitä, missä organisaatio sijaitsee. EAA toimii samalla tavalla: jos digitaalinen tuotteesi tai palvelusi myydään asiakkaille EU:ssa ja organisaatiosi täyttää kokorajat (yli 10 työntekijää ja yli 2 miljoonan euron liikevaihto), sinun on noudatettava vaatimuksia – riippumatta siitä, onko pääkonttorisi Münchenissä vai San Franciscossa.

Monet EU:n ulkopuoliset yritykset yllättyivät GDPR:n ulottuvuudesta. Sama tapahtuu EAA:n kanssa.

Seuraamuskehys, jolla on todelliset hampaat

GDPR:n sakot – enintään 4 % maailmanlaajuisesta vuosiliikevaihdosta tai 20 miljoonaa euroa, kumpi tahansa on suurempi – nousivat otsikoihin. Organisaatiot joutuivat monen miljoonan euron seuraamusten kohteeksi laiminlyönneistä, jotka monissa tapauksissa olisivat olleet vältettävissä.

EAA-seuraamukset asetetaan kansallisella tasolla, joten ne vaihtelevat jäsenvaltioittain. Mutta ne eivät ole vähäpätöisiä. Italia ja Ranska molemmat säätävät sakoista kymmenien tuhansien eurojen suuruusluokassa rikkomusta kohti. Saksan Barrierefreiheitsstärkungsgesetzin (BFSG) täytäntöönpano sisältää huomattavia seuraamuksia. Ja toisin kuin GDPR:ssä, jossa monet rikkomukset havaittiin tietomurtojen tai valitusten kautta, esteettömyysvirheet ovat näkyvissä kenelle tahansa, joka vierailee verkkosivustollasi ruudunlukijalla – mukaan lukien vammaisten edunvalvontajärjestöt, jotka tekevät esteettömyysvalituksia.

Missä EAA eroaa GDPR:stä

Esteettömyysrikkomukset ovat näkyvissä ulkopuolelta

GDPR-rikkomukset edellyttivät usein sisäpiirin valituksen tai tietomurtoilmoituksen tullakseen ilmi. Esteettömyysvirheet ovat julkisesti havaittavissa. Kuka tahansa voi avata verkkosivustosi, ajaa automaattisen skannauksen tai testata sitä ruudunlukijalla ja dokumentoida löytämänsä. Vammaisten edunvalvontaryhmät tekevät juuri tätä järjestelmällisesti.

Tämä tarkoittaa, että mahdollisten valittajien joukko on paljon suurempi ja valituksen tekemisen kynnys paljon matalampi. Et tarvitse pääsyä sisäisiin järjestelmiin tai vuodettuja asiakirjoja. Tarvitset vain selaimen.

Tekninen standardi on jo määritelty

GDPR edellytti organisaatioita toteuttamaan “asianmukaisia teknisiä ja organisatorisia toimenpiteitä” tietojen suojaamiseksi – standardi, joka oli tarkoituksellisesti epämääräinen teknologisen muutoksen mahdollistamiseksi. EAA määrittelee konkreettisen teknisen standardin: EN 301 549, joka viittaa verkkosisällön saavutettavuusohjeisiin (WCAG 2.1/2.2) AA-tasolla.

Tämä selkeys on kaksiteräinen miekka. Toisaalta organisaatiot tietävät tarkalleen, mitä niiden on saavutettava. Toisaalta se tekee vaatimustenvastaisuuden osoittamisesta helppoa – automaattiset työkalut voivat luoda yksityiskohtaisen rikkomusraportin sekunneissa.

Varhainen täytäntöönpano on jo käynnissä

GDPR:llä oli suhteellisen hiljainen ensimmäinen täytäntöönpanovuosi ennen kuin suuret sakot saapuivat. EAA:n täytäntöönpano etenee nopeammin. Ranskan viranomaiset alkoivat antaa ilmoituksia suurille vähittäiskauppiaille pian määräajan jälkeen. Pariisilainen tuomioistuin antoi tuomion kouluympäristön esteettömyystapauksessa, joka sisälsi mahdollisia 25 000 euron vuotuisia sakkoja. Edunvalvontajärjestöt eri puolilla EU:n jäsenvaltioita tekevät aktiivisesti valituksia.

GDPR-opit, jotka pätevät EAA:han

”Tulemme vaatimustenmukaisiksi ennen kuin täytäntöönpano tavoittaa meidät” ei ole strategia

Monet organisaatiot tekivät tämän laskelman GDPR:n kanssa ja havaitsivat, että täytäntöönpano oli nopeampaa ja kohdennetumpaa kuin ne odottivat. Esteettömyysvalituksia tehdään nyt. Organisaatiot, jotka pääsevät tämän edelle, ovat niitä, jotka aloittavat auditoinnin ja korjaamisen ennen kuin ne saavat virallisen ilmoituksen.

Dokumentaatiolla on yhtä paljon merkitystä kuin teknisellä korjauksella

GDPR edellytti organisaatioita pitämään kirjaa käsittelytoimista, tietosuojaa koskevista vaikutustenarvioinneista ja suostumuksen näytöstä. EAA edellyttää esteettömiä alustoja ja monissa kansallisissa täytäntöönpanoissa esteettömyysselosteita, jotka dokumentoivat nykyiset vaatimustenmukaisuustasot, tunnetut poikkeukset ja yhteydenottomekanismit, joilla käyttäjät voivat ilmoittaa esteistä.

Esteettömyysseloste, joka heijastaa tarkasti nykytilaasi – ja kyky osoittaa jatkuvaa parannusta – on merkityksellistä näyttöä vilpittömästä vaatimustenmukaisuudesta.

Vaatimustenmukaisuus on prosessi, ei projekti

GDPR-ajattelun ansa oli kohdella vaatimustenmukaisuutta rastitettavana ruutuna: palkkaa lakitiimi, päivitä tietosuojakäytäntö, lisää evästebannerit, valmista. Monet organisaatiot pysähtyivät sitten – huomatakseen, että niiden oli palattava vaatimustenmukaisuuteensa, kun ne lanseerasivat uusia tuotteita tai päivittivät olemassa olevia.

Esteettömyys toimii samalla tavalla. Jokainen uusi ominaisuus, jokainen kolmannen osapuolen komponentti, jokainen ulkoasun uudistus voi tuoda uusia esteitä. Kestävä vaatimustenmukaisuus edellyttää esteettömyyden sisällyttämistä kehitys- ja sisältötyönkulkuihin, ei sen kohtelemista kertaluonteisena korjauksena. Oppaamme esteettömyydestä ohjelmistokehityksen elinkaaressa kattaa, miltä tämä näyttää käytännössä.

Aloita perustasosta

Ennen kuin voit suunnitella korjaamista, sinun on ymmärrettävä, missä tällä hetkellä olet. Se tarkoittaa auditoinnin tekemistä – sekä automaattisesti että manuaalisesti – virheiden dokumentoimiseksi, niiden priorisoimiseksi vaikutuksen ja esiintymistiheyden mukaan sekä realistisen korjaussuunnitelman luomiseksi.

Jos et ole vielä tehnyt tätä, nopein lähtökohta on ilmainen automaattinen skannaus, joka antaa sinulle välittömän kuvan automatisoitavista rikkomuksista. Kokonaiskuvan saamiseksi – mukaan lukien noin 60–70 % esteistä, joita automaattiset työkalut eivät pysty havaitsemaan – tarvitaan manuaalista testausta, jonka tekevät apuvälineteknologiaa käyttävät ihmiset.

Organisaatiot, jotka hoitivat GDPR:n hyvin, eivät odottaneet täytäntöönpanoa. Ne arvioivat asemansa, tekivät suunnitelman ja toteuttivat sen samalla kiireellisyydellä, jonka ne soveltaisivat mihin tahansa muuhun olennaiseen liiketoimintariskiin. EAA ansaitsee saman kohtelun.

Selvitä, täyttääkö sivustosi EAA-vaatimukset