/ Business

SC5 ennustaa tulevaa: GDPR ja palvelukehitys

Näissä kirjoituksissa katsomme tulevaisuuteen ja ennustamme tekniikan ja talouden trendejä vuodelle 2017. Samalla pohdimme vaikeita kysymyksiä, kuten minne pilvipalvelut meidät lopulta vievät, mitä tapahtuu kehityksen kelkasta pudonneille ja miksi verkkopalvelut kehittyvät yhä henkilökohtaisempaan suuntaan. Kerromme myös, miksi kokonaisvaltaiset ratkaisut ovat tärkeämpiä kuin yksittäiset innovaatiot ja millaisiin asioihin suomalaisten yritysten kannattaa keskittyä vuonna 2017.


Toukokuussa 2018 voimaan astuva EU:n tietosuoja-asetus, tunnettu paremmin lyhenteellä GDPR (General Data Protection Regulation) tulee muuttamaan palvelunkehitysalan toimintaympäristöä merkittävästi. Asetuksen muutokset ovat niin rajuja, että alan toimijoiden kannattaa alkaa varautua niihin jo nyt. Onkin todennäköistä, että tietosuoja-asetuksen noudattamisen varmistaminen on alan toimijoiden suurin yksittäinen investointi vuonna 2017. Tietosuoja-asetus tulee koskemaan kaikkia toimijoita, jotka keräävät tai tallentavat käyttäjien henkilöön liittyviä tietoja EU:n alueella, siitä riippumatta mistä toimijat ovat itse kotoisin. Niinpä asetuksen vaikutukset tuntuvat myös kaukana Euroopan Unionin rajojen ulkopuolella.

Tietosuoja-asetus on pitkä ja monimutkainen lakiteksti. Sen tulkintoja tullaan varmasti selvittämään jatkossa eri oikeusasteita myöten. Lähtökohta on kuitenkin yksinkertainen: kuluttajalla on yhä vahvempi oikeus kontrolloida häntä koskevaa tietoa.

Tämä asettaa palvelukehitykselle koko joukon uusia haasteita, sillä asetuksen mukaisen palvelun täytyy mahdollistaa ainakin seuraavat käyttäjän oikeudet läpi datan elinkaaren:

  • Käyttäjä voi tutustua hänestä kerättyyn tietoon
  • Käyttäjä voi muuttaa tai poistaa hänestä kerättyä tietoa
  • Käyttäjä voi siirtää tietonsa palveluntarjoajalta toiselle
  • Tietomurroista on kerrottava viipymättä sekä käyttäjille että viranomaisille
  • Käyttäjä voi tilapäisesti rajoittaa henkilötietojensa käsittelyä

On selvää, että uudet palvelut täytyy suunnitella alusta alkaen tietosuoja-asetuksen vaatimusten ympärille. Lainsäätäjä kehottaa toteuttamaan käyttäjän oikeuksia mahdollisimman käyttäjäystävällisesti. Esimerkiksi käyttäjä voi tarkastella häntä koskevia tietoja tai tiedonkeruuta koskevaa informaatiota muodossa, joka on intuitiivisesti ymmärrettävää myös automaattisen tiedonkeruun hienouksia tuntemattomille maallikoille. Lisäksi käyttäjän oikeus muokata hänestä kerättyjä tietoja tai jopa jättäytyä tiedonkeruun ulkopuolelle. Tämä tulee luomaan kokonaan uusia haasteita sekä käyttöliittymäsuunnittelulle että palvelun toiminnalle yleensä.

Koska useimmat vanhemmista palveluista on suunniteltu kokonaan toisenlaisen tietoturvaparadigman pohjalta, uusien toiminnallisuuksien lisääminen jälkeenpäin voi olla hyvin haasteellista. Toinen mielenkiintoinen kysymys on nykyisin olemassa olevien tietokantojen kohtalo. Rekisterinpitäjien tulee tarkistaa, että tietokannat eivät pidä sisällään virheellisiä tai vanhentuneita tietoja sekä saatettava tietokannat tietosuoja-asetuksen vaatimusten mukaisiksi.

Myös tiedonkerääjän vastuut lisääntyvät. Kaiken henkilötietojen keruun on oltava hyvin perusteltua ja rajoituttava palvelun kannalta merkittäviin tietoihin. Arvioinnit tietojen mahdollisesta vaikutuksesta käyttäjän yksityisyydensuojaan tulevat pakollisiksi ja kerääjän on kysyttäessä pystyttävä osoittamaan tiedonkeruun tarpeellisuus ja turvallisuus. Mahdollisista riskeistä on keskusteltava viranomaisten kanssa. Lisäksi kerääjä on vastuussa tietoturvasta koko siinä ketjussa, missä tietoja käytetään.

Asetuksen mukaan henkilötietoja sisältävien tietokantojen turvallisuutta täytyy aktiivisesti valvoa, testata ja kehittää eteenpäin. Niinpä merkittäviä henkilötietoja sisältävää tietokantaa ylläpitävän organisaation täytyy osoittaa niistä vastuussa oleva henkilö. Tällä tietosuojavastaavalla (Data Protection Officer, eli DPO) on asetuksen mukaan joukko uusia tehtäviä ja vastuita ja muun organisaation täytyy taata hänelle toimintavapaus ja riittävät resurssit. Tietosuojavastaava valvoo asetuksen noudattamista, huolehtii työntekijöiden koulutuksesta ja toimii yhteyshenkilönä viranomaisten suuntaan.

Sanktiot EU:n tietosuoja asetuksen laiminlyönneistä ovat kovat: jopa 20 miljoonaa euroa sakkoa, tai 4% yrityksen liikevaihdosta, kumpi luku vain onkin suurempi. Mille tasolle sanktiot asettuvat ja kuinka rajatapauksia tulkitaan on toistaiseksi epäselvää. Alan toimijat joutuvat kuitenkin arvioimaan uudelleen laajojen tietokantojen mielekkyyttä ja miten tiedonkeruun voisi kohdistaa paremmin.


Seuraava kirjoitus julkaistaan blogissamme ke 4.1.2017.

Don’t take our word on it – check what our customers have to say!