Sammio
Blogi > Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Kukapa tietosuojaosaaja ei olisi saanut kysymystä siitä, onko jokin asia ”GDPR:n puolesta kunnossa”? Tietosuojakysymykset eivät kuitenkaan ole läheskään aina – tai koskaan – näin mustavalkoisia.

Säännellyn liiketoiminnan megatrendinä on siirtää compliance-liiketoiminnan prosesseihin (”by design” kuten tietosuojan kontekstissa usein sanotaan). Tyypillisiä motivaattoreita on, että keskitetyllä compliance-funktiolla on vaikeus pysyä liiketoiminnan kehityksen mukana, koska nykyaikainen liiketoiminta on paitsi nopeatempoista myös enenevissä määrin siirtynyt ketteriin menetelmiin tai DevOps-malleihin.

Tietosuojaohjelmissa on viime vuosina rakennettu ja pilotoitu uusia arviointimenettelyjä kartoittamaan, vastaako toiminta tietosuojalainsäädännön vaatimuksia tai organisaation sisäisiä tietosuojakäytäntöjä. Tyypillisimmin työkaluksi valikoituu tietosuojan vaikutustenarviointi eli DPIA. DPIA on useimmilla toimialoilla täysin uusi vaatimus, jonka on voinut rakentaa oman organisaation näköiseksi.

Tietosuoja-ammattilaiselle vaikutustenarvioinnit eivät ole tarkoitettu compliance-leimaksi, vaan käytännön keinoksi kehittää tietosuojan toteuttamista jokapäiväisessä toiminnassa. Ja koska tietosuoja on joukkuelaji, on vaikutustenarviointi myös oivallinen mahdollisuus saada organisaation silmät syttymään tietosuojaymmärryksestä. Ainakin näin teoriassa. Silmien syttyminen on kuitenkin tietosuojaohjelman tärkein mittari – se tarkoittaa sitä, että organisaatio on ottanut ensimmäisen askeleen kohti sisäänrakennettua tietosuojaa ja lakivaatimusten tunnistamista osana liiketoiminnan arkipäiväisiä käytäntöjä. Parhaimmillaan ajatuksella laadittu vaikutustenarviointi muodostaa kattavan läpileikkauksen kohteensa tietosuojaratkaisuista – eli siitä, miten abstraktit tietosuojavaatimukset on päädytty kyseisessä käsittelyssä käytännössä toteuttamaan. Ajan myötä vaikutustenarvioinneista kumuloituu organisaatiolle Privacy by Design-ajattelua toteuttava osaamis- ja ratkaisupankki.

Käytännössä tietosuojakulttuuriin on usein matkaa. Tietosuojaohjelma koetaan jarruna ja liiketoiminta näkee tietosuojavaatimukset ja dokumentaation harmillisen usein hallinnollisena taakkana tai pakollisena harjoitteena. On tyypillistä, että uusi compliance-vaatimus halutaan ”ulkoistaa” keskitetylle tietosuoja- tai compliance –funktiolle välittämällä sähköpostin liitteinä joukko dokumentteja kysymys ”onko tämä OK GDPR:n näkökulmasta”.

Vaikka koko organisaation ei toki tarvitsekaan olla tietosuoja-asiantuntijoita, ei tietosuojaymmärrystä voi ainakaan dataintensiivisissä yrityksissä ulkoistaa vain tietosuojaosastolle. Jos vaikutustenarvioinnin lopputuloksilla ei ole käyttöarvoa tai jos osallistujat eivät saa arvioinnista mitään irti, saattaa DPIA-mallissa olla vielä kehitettävää. Tietosuoja on tällöin kustannuserä, ei kilpailuetu.

Uusia compliance-prosesseja rakennettaessa on kuitenkin tärkeää muistaa, että ei ole häpeä tehdä ensiksi keskinkertaista prosessia, jonka on tarkoituskin jalostua ajan saatossa – on realismia, että monialaisesti osaamista vaativan liiketoimintaprosessin muotoilu vie aikansa ja edellyttää vuorovaikutteista suhdetta organisaation sisäisten ryhmien välillä.  Itse vaikutustenarviointiohjelma ja vaikutuksenarviointiin liittyvät prosessit kertovat organisaation tietosuojan tasosta enemmän kuin yksittäiset, valmistuneet arvioinnit. DPIA-malli kuvaakin organisaation tavoitteita, tietosuoja-arvoja sekä etenkin tietosuojan omistajuutta kautta organisaation. Tietosuojakulttuuri herää hetkestä, jolloin organisaatio ymmärtää tietosuojan olevan muutakin kuin kyllä-ei-kysymyksiä tai mustavalkoisia ratkaisuja, joihin tarvitaan tietosuojaosaston leimaa.

Tutustu Alma Talentin ICT, tietosuoja ja IPR -koulutuksiin tästä!

Kira Ahveninen-Kuha

Lead, Data Protection and Cybersecurity Law

KPMG

Omaa asiantuntijuutta kannattaa ylläpitää

Oman osaamisen tunnistaminen ja sen kasvattaminen on aihe, joka puhututtaa niin jokaista jo tovin samassa työssä viihtynytt...

Lue lisää

Teknologiamurros kiihtyy, myös oppimisen täytyy kiihtyä

Tiedätkö, mitä osaamista sinulla on? Tietääkö organisaatiosi, mitä osaamista sillä on? Entä tiedätkö, mitä osaami...

Lue lisää

Verkkokoulutus yhdistää elinikäisen oppimisen ja asiantuntijatyön tarpeet

Useissa tutkimuksissa on todettu, että elinikäinen ja työn lomassa tapahtuva oppiminen ovat suuria tulevaisuuden trendejä...

Lue lisää

Herkulliset kokemukset Assistentti Forumin kohokohtana

Odotukseni Assistentti Forum 2019 – Tuhat rautaa tulessa –seminaarille olivat korkeat kuultuani suosituksia assistenttity...

Lue lisää

Lean HR karsii aikasyöpöt minimiin ja luo merkityksellisyyttä toimintaan

Lean on hiipinyt teollisuudesta asiantuntijamaailmaan, ja sen soveltaminen eri aloilla pankkimaailmasta palkanlaskentaan on a...

Lue lisää