Kukapa tietosuojaosaaja ei olisi saanut kysymystä siitä, onko jokin asia ”GDPR:n puolesta kunnossa”? Tietosuojakysymykset eivät kuitenkaan ole läheskään aina – tai koskaan – näin mustavalkoisia.
Säännellyn liiketoiminnan megatrendinä on siirtää compliance-liiketoiminnan prosesseihin (”by design” kuten tietosuojan kontekstissa usein sanotaan). Tyypillisiä motivaattoreita on, että keskitetyllä compliance-funktiolla on vaikeus pysyä liiketoiminnan kehityksen mukana, koska nykyaikainen liiketoiminta on paitsi nopeatempoista myös enenevissä määrin siirtynyt ketteriin menetelmiin tai DevOps-malleihin.
Tietosuojaohjelmissa on viime vuosina rakennettu ja pilotoitu uusia arviointimenettelyjä kartoittamaan, vastaako toiminta tietosuojalainsäädännön vaatimuksia tai organisaation sisäisiä tietosuojakäytäntöjä. Tyypillisimmin työkaluksi valikoituu tietosuojan vaikutustenarviointi eli DPIA. DPIA on useimmilla toimialoilla täysin uusi vaatimus, jonka on voinut rakentaa oman organisaation näköiseksi.
Tietosuoja-ammattilaiselle vaikutustenarvioinnit eivät ole tarkoitettu compliance-leimaksi, vaan käytännön keinoksi kehittää tietosuojan toteuttamista jokapäiväisessä toiminnassa. Ja koska tietosuoja on joukkuelaji, on vaikutustenarviointi myös oivallinen mahdollisuus saada organisaation silmät syttymään tietosuojaymmärryksestä. Ainakin näin teoriassa. Silmien syttyminen on kuitenkin tietosuojaohjelman tärkein mittari – se tarkoittaa sitä, että organisaatio on ottanut ensimmäisen askeleen kohti sisäänrakennettua tietosuojaa ja lakivaatimusten tunnistamista osana liiketoiminnan arkipäiväisiä käytäntöjä. Parhaimmillaan ajatuksella laadittu vaikutustenarviointi muodostaa kattavan läpileikkauksen kohteensa tietosuojaratkaisuista – eli siitä, miten abstraktit tietosuojavaatimukset on päädytty kyseisessä käsittelyssä käytännössä toteuttamaan. Ajan myötä vaikutustenarvioinneista kumuloituu organisaatiolle Privacy by Design-ajattelua toteuttava osaamis- ja ratkaisupankki.
Käytännössä tietosuojakulttuuriin on usein matkaa. Tietosuojaohjelma koetaan jarruna ja liiketoiminta näkee tietosuojavaatimukset ja dokumentaation harmillisen usein hallinnollisena taakkana tai pakollisena harjoitteena. On tyypillistä, että uusi compliance-vaatimus halutaan ”ulkoistaa” keskitetylle tietosuoja- tai compliance –funktiolle välittämällä sähköpostin liitteinä joukko dokumentteja kysymys ”onko tämä OK GDPR:n näkökulmasta”.
Vaikka koko organisaation ei toki tarvitsekaan olla tietosuoja-asiantuntijoita, ei tietosuojaymmärrystä voi ainakaan dataintensiivisissä yrityksissä ulkoistaa vain tietosuojaosastolle. Jos vaikutustenarvioinnin lopputuloksilla ei ole käyttöarvoa tai jos osallistujat eivät saa arvioinnista mitään irti, saattaa DPIA-mallissa olla vielä kehitettävää. Tietosuoja on tällöin kustannuserä, ei kilpailuetu.
Uusia compliance-prosesseja rakennettaessa on kuitenkin tärkeää muistaa, että ei ole häpeä tehdä ensiksi keskinkertaista prosessia, jonka on tarkoituskin jalostua ajan saatossa – on realismia, että monialaisesti osaamista vaativan liiketoimintaprosessin muotoilu vie aikansa ja edellyttää vuorovaikutteista suhdetta organisaation sisäisten ryhmien välillä. Itse vaikutustenarviointiohjelma ja vaikutuksenarviointiin liittyvät prosessit kertovat organisaation tietosuojan tasosta enemmän kuin yksittäiset, valmistuneet arvioinnit. DPIA-malli kuvaakin organisaation tavoitteita, tietosuoja-arvoja sekä etenkin tietosuojan omistajuutta kautta organisaation. Tietosuojakulttuuri herää hetkestä, jolloin organisaatio ymmärtää tietosuojan olevan muutakin kuin kyllä-ei-kysymyksiä tai mustavalkoisia ratkaisuja, joihin tarvitaan tietosuojaosaston leimaa.
Tutustu Alma Talentin ICT, tietosuoja ja IPR -koulutuksiin tästä!