Sammio

Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Kira Ahveninen-Kuha

Blogi > Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Kukapa tietosuojaosaaja ei olisi saanut kysymystä siitä, onko jokin asia ”GDPR:n puolesta kunnossa”? Tietosuojakysymykset eivät kuitenkaan ole läheskään aina – tai koskaan – näin mustavalkoisia.

Säännellyn liiketoiminnan megatrendinä on siirtää compliance-liiketoiminnan prosesseihin (”by design” kuten tietosuojan kontekstissa usein sanotaan). Tyypillisiä motivaattoreita on, että keskitetyllä compliance-funktiolla on vaikeus pysyä liiketoiminnan kehityksen mukana, koska nykyaikainen liiketoiminta on paitsi nopeatempoista myös enenevissä määrin siirtynyt ketteriin menetelmiin tai DevOps-malleihin.

Tietosuojaohjelmissa on viime vuosina rakennettu ja pilotoitu uusia arviointimenettelyjä kartoittamaan, vastaako toiminta tietosuojalainsäädännön vaatimuksia tai organisaation sisäisiä tietosuojakäytäntöjä. Tyypillisimmin työkaluksi valikoituu tietosuojan vaikutustenarviointi eli DPIA. DPIA on useimmilla toimialoilla täysin uusi vaatimus, jonka on voinut rakentaa oman organisaation näköiseksi.

Tietosuoja-ammattilaiselle vaikutustenarvioinnit eivät ole tarkoitettu compliance-leimaksi, vaan käytännön keinoksi kehittää tietosuojan toteuttamista jokapäiväisessä toiminnassa. Ja koska tietosuoja on joukkuelaji, on vaikutustenarviointi myös oivallinen mahdollisuus saada organisaation silmät syttymään tietosuojaymmärryksestä. Ainakin näin teoriassa. Silmien syttyminen on kuitenkin tietosuojaohjelman tärkein mittari – se tarkoittaa sitä, että organisaatio on ottanut ensimmäisen askeleen kohti sisäänrakennettua tietosuojaa ja lakivaatimusten tunnistamista osana liiketoiminnan arkipäiväisiä käytäntöjä. Parhaimmillaan ajatuksella laadittu vaikutustenarviointi muodostaa kattavan läpileikkauksen kohteensa tietosuojaratkaisuista – eli siitä, miten abstraktit tietosuojavaatimukset on päädytty kyseisessä käsittelyssä käytännössä toteuttamaan. Ajan myötä vaikutustenarvioinneista kumuloituu organisaatiolle Privacy by Design-ajattelua toteuttava osaamis- ja ratkaisupankki.

Käytännössä tietosuojakulttuuriin on usein matkaa. Tietosuojaohjelma koetaan jarruna ja liiketoiminta näkee tietosuojavaatimukset ja dokumentaation harmillisen usein hallinnollisena taakkana tai pakollisena harjoitteena. On tyypillistä, että uusi compliance-vaatimus halutaan ”ulkoistaa” keskitetylle tietosuoja- tai compliance –funktiolle välittämällä sähköpostin liitteinä joukko dokumentteja kysymys ”onko tämä OK GDPR:n näkökulmasta”.

Vaikka koko organisaation ei toki tarvitsekaan olla tietosuoja-asiantuntijoita, ei tietosuojaymmärrystä voi ainakaan dataintensiivisissä yrityksissä ulkoistaa vain tietosuojaosastolle. Jos vaikutustenarvioinnin lopputuloksilla ei ole käyttöarvoa tai jos osallistujat eivät saa arvioinnista mitään irti, saattaa DPIA-mallissa olla vielä kehitettävää. Tietosuoja on tällöin kustannuserä, ei kilpailuetu.

Uusia compliance-prosesseja rakennettaessa on kuitenkin tärkeää muistaa, että ei ole häpeä tehdä ensiksi keskinkertaista prosessia, jonka on tarkoituskin jalostua ajan saatossa – on realismia, että monialaisesti osaamista vaativan liiketoimintaprosessin muotoilu vie aikansa ja edellyttää vuorovaikutteista suhdetta organisaation sisäisten ryhmien välillä.  Itse vaikutustenarviointiohjelma ja vaikutuksenarviointiin liittyvät prosessit kertovat organisaation tietosuojan tasosta enemmän kuin yksittäiset, valmistuneet arvioinnit. DPIA-malli kuvaakin organisaation tavoitteita, tietosuoja-arvoja sekä etenkin tietosuojan omistajuutta kautta organisaation. Tietosuojakulttuuri herää hetkestä, jolloin organisaatio ymmärtää tietosuojan olevan muutakin kuin kyllä-ei-kysymyksiä tai mustavalkoisia ratkaisuja, joihin tarvitaan tietosuojaosaston leimaa.

Tutustu Alma Talentin ICT, tietosuoja ja IPR -koulutuksiin tästä!

Kira Ahveninen-Kuha

Lead, Data Protection and Cybersecurity Law

KPMG

Mikä näitä ihmisiä oikein vaivaa?  

Monet työyhteisöt muistuttavat enemmän kolmevuotiaiden hiekkalaatikkoa kuin työpaikkaa. Useissa firmoissa tunnutaan unoh...

Lue lisää

Ohjelmistorobotiikasta seuraavalle tasolle

Suomalaisia esimerkkejä tekoälyn ja ihmisen yhteistyöstä Edelläkävijäyrityksissä ihmisen ja tekoälyn välisen yhtei...

Lue lisää

Etätyö yleistyy – miten hyvin työkulttuurin muutos on teillä onnistunut?

Etätyö on yleistynyt nopeasti viime vuosina. Edelleen on kuitenkin runsaasti organisaatioita, joissa on vasta vähän aik...

Lue lisää

Taloushallintopalveluiden ulkoistaminen – milloin se kannattaa ja miten se onnistuu?

Onnistuminen riippuu itse asiassa täysin ulkoistajasta. Selvää on, että ulkoistamalla voidaan saavuttaa suuria hyötyjä....

Lue lisää

Milleniaalit Liikkuu, Ainakin Töissä

Milleniaalien tuomasta muutoksesta on puhuttu ja paasattu viimeinen vuosikymmen. Milleniaalisen ajan jättiläiset, kuten ...

Lue lisää

Koulutukset

19.9.2019 - 4.12.2019

ICT-sopimukset 2019

25.9.2019 - 20.11.2019

Sopimustekniikka I & II

2.10.2019 - 3.3.2020

Inhouse 360 koulutusohjelma

29.10.2019 - 30.10.2019

IT-vaatimusten määrittely