Sammio

Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Kira Ahveninen-Kuha

Blogi > Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Kukapa tietosuojaosaaja ei olisi saanut kysymystä siitä, onko jokin asia ”GDPR:n puolesta kunnossa”? Tietosuojakysymykset eivät kuitenkaan ole läheskään aina – tai koskaan – näin mustavalkoisia.

Säännellyn liiketoiminnan megatrendinä on siirtää compliance-liiketoiminnan prosesseihin (”by design” kuten tietosuojan kontekstissa usein sanotaan). Tyypillisiä motivaattoreita on, että keskitetyllä compliance-funktiolla on vaikeus pysyä liiketoiminnan kehityksen mukana, koska nykyaikainen liiketoiminta on paitsi nopeatempoista myös enenevissä määrin siirtynyt ketteriin menetelmiin tai DevOps-malleihin.

Tietosuojaohjelmissa on viime vuosina rakennettu ja pilotoitu uusia arviointimenettelyjä kartoittamaan, vastaako toiminta tietosuojalainsäädännön vaatimuksia tai organisaation sisäisiä tietosuojakäytäntöjä. Tyypillisimmin työkaluksi valikoituu tietosuojan vaikutustenarviointi eli DPIA. DPIA on useimmilla toimialoilla täysin uusi vaatimus, jonka on voinut rakentaa oman organisaation näköiseksi.

Tietosuoja-ammattilaiselle vaikutustenarvioinnit eivät ole tarkoitettu compliance-leimaksi, vaan käytännön keinoksi kehittää tietosuojan toteuttamista jokapäiväisessä toiminnassa. Ja koska tietosuoja on joukkuelaji, on vaikutustenarviointi myös oivallinen mahdollisuus saada organisaation silmät syttymään tietosuojaymmärryksestä. Ainakin näin teoriassa. Silmien syttyminen on kuitenkin tietosuojaohjelman tärkein mittari – se tarkoittaa sitä, että organisaatio on ottanut ensimmäisen askeleen kohti sisäänrakennettua tietosuojaa ja lakivaatimusten tunnistamista osana liiketoiminnan arkipäiväisiä käytäntöjä. Parhaimmillaan ajatuksella laadittu vaikutustenarviointi muodostaa kattavan läpileikkauksen kohteensa tietosuojaratkaisuista – eli siitä, miten abstraktit tietosuojavaatimukset on päädytty kyseisessä käsittelyssä käytännössä toteuttamaan. Ajan myötä vaikutustenarvioinneista kumuloituu organisaatiolle Privacy by Design-ajattelua toteuttava osaamis- ja ratkaisupankki.

Käytännössä tietosuojakulttuuriin on usein matkaa. Tietosuojaohjelma koetaan jarruna ja liiketoiminta näkee tietosuojavaatimukset ja dokumentaation harmillisen usein hallinnollisena taakkana tai pakollisena harjoitteena. On tyypillistä, että uusi compliance-vaatimus halutaan ”ulkoistaa” keskitetylle tietosuoja- tai compliance –funktiolle välittämällä sähköpostin liitteinä joukko dokumentteja kysymys ”onko tämä OK GDPR:n näkökulmasta”.

Vaikka koko organisaation ei toki tarvitsekaan olla tietosuoja-asiantuntijoita, ei tietosuojaymmärrystä voi ainakaan dataintensiivisissä yrityksissä ulkoistaa vain tietosuojaosastolle. Jos vaikutustenarvioinnin lopputuloksilla ei ole käyttöarvoa tai jos osallistujat eivät saa arvioinnista mitään irti, saattaa DPIA-mallissa olla vielä kehitettävää. Tietosuoja on tällöin kustannuserä, ei kilpailuetu.

Uusia compliance-prosesseja rakennettaessa on kuitenkin tärkeää muistaa, että ei ole häpeä tehdä ensiksi keskinkertaista prosessia, jonka on tarkoituskin jalostua ajan saatossa – on realismia, että monialaisesti osaamista vaativan liiketoimintaprosessin muotoilu vie aikansa ja edellyttää vuorovaikutteista suhdetta organisaation sisäisten ryhmien välillä.  Itse vaikutustenarviointiohjelma ja vaikutuksenarviointiin liittyvät prosessit kertovat organisaation tietosuojan tasosta enemmän kuin yksittäiset, valmistuneet arvioinnit. DPIA-malli kuvaakin organisaation tavoitteita, tietosuoja-arvoja sekä etenkin tietosuojan omistajuutta kautta organisaation. Tietosuojakulttuuri herää hetkestä, jolloin organisaatio ymmärtää tietosuojan olevan muutakin kuin kyllä-ei-kysymyksiä tai mustavalkoisia ratkaisuja, joihin tarvitaan tietosuojaosaston leimaa.

Tutustu Alma Talentin ICT, tietosuoja ja IPR -koulutuksiin tästä!

Kira Ahveninen-Kuha

Lead, Data Protection and Cybersecurity Law

KPMG

Hajoaako pää stressin keskellä? – Hyödynnä nämä 8 hyvinvointirutiinia arjessasi!

Tuntuuko, että pää hajoaa? Ei ole koskaan omaa aikaa? Todo-lista ei vaan koskaan lopu? Ota tilanteet rauhallisesti vastaa...

Lue lisää

Tapa etsiä töitä ja työntekijöitä muuttuu

Nykypäivänä työnhakijan pitäisi löytää itselleen sopivat avoimet työpaikat lukuisien työnhakukanavien joukosta ja s...

Lue lisää

Mitä tarkoittaa olla entistä inhimillisempi siinä, mitä robotit eivät korvaa?

Osallistuin viime lokakuussa heti RoboHR-seminaarin jälkeen Millennial Boardin Meet-up:iin, jonka aiheena oli tulevaisuuden ...

Lue lisää

Tunteiden, arjen ja hyvinvoinnin johtaminen

Muistatko tilannetta, jossa joku mielestäsi harmiton aihe tai kysymys sai aikaan keskustelukumppanissasi valtaisan, suhteett...

Lue lisää

Omaa asiantuntijuutta kannattaa ylläpitää

Oman osaamisen tunnistaminen ja sen kasvattaminen on aihe, joka puhututtaa jokaista jo tovin samassa työssä viihtynyttä ja...

Lue lisää