Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Kira Ahveninen-Kuha

Blogi > Compliance-ajattelusta liiketoiminnan kehitykseen – tietosuoja on joukkuelaji

Kukapa tietosuojaosaaja ei olisi saanut kysymystä siitä, onko jokin asia ”GDPR:n puolesta kunnossa”? Tietosuojakysymykset eivät kuitenkaan ole läheskään aina – tai koskaan – näin mustavalkoisia.

Säännellyn liiketoiminnan megatrendinä on siirtää compliance-liiketoiminnan prosesseihin (”by design” kuten tietosuojan kontekstissa usein sanotaan). Tyypillisiä motivaattoreita on, että keskitetyllä compliance-funktiolla on vaikeus pysyä liiketoiminnan kehityksen mukana, koska nykyaikainen liiketoiminta on paitsi nopeatempoista myös enenevissä määrin siirtynyt ketteriin menetelmiin tai DevOps-malleihin.

Tietosuojaohjelmissa on viime vuosina rakennettu ja pilotoitu uusia arviointimenettelyjä kartoittamaan, vastaako toiminta tietosuojalainsäädännön vaatimuksia tai organisaation sisäisiä tietosuojakäytäntöjä. Tyypillisimmin työkaluksi valikoituu tietosuojan vaikutustenarviointi eli DPIA. DPIA on useimmilla toimialoilla täysin uusi vaatimus, jonka on voinut rakentaa oman organisaation näköiseksi.

Tietosuoja-ammattilaiselle vaikutustenarvioinnit eivät ole tarkoitettu compliance-leimaksi, vaan käytännön keinoksi kehittää tietosuojan toteuttamista jokapäiväisessä toiminnassa. Ja koska tietosuoja on joukkuelaji, on vaikutustenarviointi myös oivallinen mahdollisuus saada organisaation silmät syttymään tietosuojaymmärryksestä. Ainakin näin teoriassa. Silmien syttyminen on kuitenkin tietosuojaohjelman tärkein mittari – se tarkoittaa sitä, että organisaatio on ottanut ensimmäisen askeleen kohti sisäänrakennettua tietosuojaa ja lakivaatimusten tunnistamista osana liiketoiminnan arkipäiväisiä käytäntöjä. Parhaimmillaan ajatuksella laadittu vaikutustenarviointi muodostaa kattavan läpileikkauksen kohteensa tietosuojaratkaisuista – eli siitä, miten abstraktit tietosuojavaatimukset on päädytty kyseisessä käsittelyssä käytännössä toteuttamaan. Ajan myötä vaikutustenarvioinneista kumuloituu organisaatiolle Privacy by Design-ajattelua toteuttava osaamis- ja ratkaisupankki.

Käytännössä tietosuojakulttuuriin on usein matkaa. Tietosuojaohjelma koetaan jarruna ja liiketoiminta näkee tietosuojavaatimukset ja dokumentaation harmillisen usein hallinnollisena taakkana tai pakollisena harjoitteena. On tyypillistä, että uusi compliance-vaatimus halutaan ”ulkoistaa” keskitetylle tietosuoja- tai compliance –funktiolle välittämällä sähköpostin liitteinä joukko dokumentteja kysymys ”onko tämä OK GDPR:n näkökulmasta”.

Vaikka koko organisaation ei toki tarvitsekaan olla tietosuoja-asiantuntijoita, ei tietosuojaymmärrystä voi ainakaan dataintensiivisissä yrityksissä ulkoistaa vain tietosuojaosastolle. Jos vaikutustenarvioinnin lopputuloksilla ei ole käyttöarvoa tai jos osallistujat eivät saa arvioinnista mitään irti, saattaa DPIA-mallissa olla vielä kehitettävää. Tietosuoja on tällöin kustannuserä, ei kilpailuetu.

Uusia compliance-prosesseja rakennettaessa on kuitenkin tärkeää muistaa, että ei ole häpeä tehdä ensiksi keskinkertaista prosessia, jonka on tarkoituskin jalostua ajan saatossa – on realismia, että monialaisesti osaamista vaativan liiketoimintaprosessin muotoilu vie aikansa ja edellyttää vuorovaikutteista suhdetta organisaation sisäisten ryhmien välillä.  Itse vaikutustenarviointiohjelma ja vaikutuksenarviointiin liittyvät prosessit kertovat organisaation tietosuojan tasosta enemmän kuin yksittäiset, valmistuneet arvioinnit. DPIA-malli kuvaakin organisaation tavoitteita, tietosuoja-arvoja sekä etenkin tietosuojan omistajuutta kautta organisaation. Tietosuojakulttuuri herää hetkestä, jolloin organisaatio ymmärtää tietosuojan olevan muutakin kuin kyllä-ei-kysymyksiä tai mustavalkoisia ratkaisuja, joihin tarvitaan tietosuojaosaston leimaa.

Tutustu Alma Talentin ICT, tietosuoja ja IPR -koulutuksiin tästä!

Kira Ahveninen-Kuha

Lead, Data Protection and Cybersecurity Law

KPMG

Työn merkitys tekee myyjästä menestyjän

Työn merkityksestä on puhuttu viime vuosina paljon ja se on isossa roolissa myös myyntityössä. Merkityksen löytäminen ...

Lue lisää

Social sellingiä ei voi sivuuttaa myynnin tapana, jos haluaa kasvua

Sosiaaliset kanavat ovat luoneet myyjille uusia keinoja löytää, tavoittaa ja voittaa asiakas puolelleen, ja niistä on tul...

Lue lisää

Temperamenttityyppien tunnistaminen: kohtaa asiakkaasi oikein ja tehosta myyntityötä

Myyjät kohtaavat työssään useita erilaisia henkilöitä, joilla on hyvin erilaiset temperamenttityypit. Näiden tyyppien ...

Lue lisää

Hyvä koulutus saa aikaan muutoksia ajattelussa, työtavoissa tai molemmissa

Helsingin käräjäoikeuden käräjätuomari Mia Sundström haluaa saada koulutettavat oivaltamaan itse asioita, koska silloi...

Lue lisää

Osaamisen ennakointi yhdistää tiimin ja rakentaa tulevaisuudenkestävyyttä

Osaamisen ennakointi sekä laaja-alainen, eri osaamisalueiden tunnistaminen puhuttavat tällä hetkellä HR-kenttää, esihen...

Lue lisää