GDPR: uhka vai mahdollisuus?
Jokaisella vakiintuneella yrityksellä on ehkä arvokkain resurssi omassa datassaan. Tämän datamarkkinan arvon on laskettu olevan tänä vuonna globaalisti noin 34 miljardia dollaria ja kasvavan noin 20 %:n vuositahtia. Mitä tämä datamarkkinan sisältämä tieto konkreettisesti tarkoittaa tietoturvan kannalta?
Big Data mielletään helposti vain oman liiketoiminnan tueksi tuotettuina raportteina ja erilaisina historiallisina näkyminä. Tällä hetkellä paras käyttötapaus voisi esimerkiksi olla reaaliaikanen talousraportointi yhdistettynä historialliseen trendiin ja tuoteryhmiin. Lähitulevaisuudessa tähän voidaan jo yhdistää koneoppimista ja keinoälyä, jolloin näkymä tulevaisuuteen aukeaa laajemmalle ja kauemmas. Myös omaa, anonyymiä dataa voidaan tulevaisuudessa myydä tai antaa organisaatiosta ulos oman liiketoiminnallisen ekosysteemin tueksi. Esimerkkinä tästä voisi olla Applen tai Google App Storen käyttäjästatistiikka, minkälaiset sovellukset ovat suosittuja tietyssä maassa tai maanosassa tietyllä ajanjaksolla. Hakua voi rajata vielä sovellustyypin ja laitteenkin mukaan. Tämä auttaa esimerkiksi pelifirmaa kehittämään ja kohdentamaan tuotteitaan markkinakohtaisesti sekä ajoittamaan lanseeraukset paremmin.
Viime aikoina on huomattu, että varsin vakiintuneissakin maissa poliittinen ilmasto voi muuttua nopeasti. Nykyisiä ja tulevia IT-palveluntarjoajia koskevia päätöksiä tehtäessä kannattaa muistaa, että kaikella yrityksen tuottamalla ja käyttämällä datalla on fyysisen sijainnin lisäksi myös looginen, juridinen ja poliittinen ulottuvuus. Amerikkalaisen emoyhtiön tekemät päätökset paikallisen politiikan ja lainsäädännön alla vaikuttavat myös sen eurooppalaisiin juridisiin tytäryhtiöihin. On esimerkiksi mielenkiintoista nähdä, milloin GDPR koeponnistetaan toden teolla USAn oikeusjärjestelmää vastaan. Vaikka toisin tahdottaisiin, on se tulevaisuudessa enemmän kuin todennäköistä.
EUn voimaantulevan tietosuoja-asetuksen eli GDPRn edeltäjä on vanha henkilötietodirektiivi, jonka se korvasi jo huhtikuussa 2016. Uusi GDPR on siis jo täysimääräisesti voimassa, mutta sen noudattamista ryhdytään oikeasti valvomaan toukokuun lopussa ensi vuonna. Toisin kuin aikaisempi direktiivi, GDPR ei vaadi enää mitään kansallista tulkintaa lain tai asetuksen muodossa, vaan on sellaisenaan velvoittava ja valvottava kaikissa jäsenvaltioissa.
GDPRn taustalla on toisaalta alati kerääntyvä henkilökohtaisen tiedon määrä, jota yrityksillä on käytössään. Usein henkilöt itse vielä osallistuvat tietämättään tai tietentahtoen ja vapaaehtoisesti tiedon lisäämiseen ja rikastamiseen. Yksinkertaisena esimerkkinä voisi olla vaikka puhelimeen ladattu kanta-asiakassovellus, joka käyttää paikkatietoja ja yhdistelee niitä henkilön historiallisiin ostopreferensseihin ja Facebook-tykkäyksiin. Tulevan lain kannalta ei ole merkitystä sillä, onko tieto luotu yrityksen vai käyttäjän toimesta. Jos yritys sitä kerää niin se on siitä vastuussa.
Toisaalta taas taustalla on kansalaisaktivismi ja kuluttajien oikeuksien lisääntyminen sekä ennen kaikkea yleinen tiedostavuus näistä oikeuksista; omat oikeudet tunnetaan ja niitä osataan myös vaatia. Kuluttaja-aktivismi on viime vuosien aikana noussut voimakkaasti ja yritysten onkin pidettävä asiakkaat tyytyväisenä lähes keinolla millä hyvänsä, jotta sosiaalisen median kautta helposti masinoitavilta lynkkaus- ja boikottikampanjoilta vältyttäisiin.
Euroopan Komission vuonna 2015 julkaistussa Yhden Digitaalisen Markkinan Strategiassa Big Data nimetään “keskeiseksi kilpailukykytekijäksi” ja “taloudellisen kasvun, innovaation ja digitalisaation katalyytiksi, joka hyödyttää kaikkia markkinasektoreita sekä yhteyskuntaa yleisemminkin”. Tämä ehkä hieman lennokaskin kuvaus osoittaa sitä sitoutumisen tasoa komissiolta, jota GDPR:n läpivienti on vaatinut ja toisaalta mitä kaikkea siltä odotetaan. Kyseessä ei siis ole taipuminen kansalaispaineen alla, vaan tavoitteena on pikemminkin saattaa lainsäädäntö sellaiseen harmonisoituun tilaan, että EU:n sisämarkkinoille saadaan Jean-Claude Junckerin mukaan 250 miljardia euroa lisää kasvua. Lukuun on varmasti laskettu kaikki yhteiskunnalliset kerrannaisvaikutukset ja sen realistisuudesta voi olla montaa mieltä, mutta varmaa on että ainakin se että hankkeella on Komission tuki takanaan.
GDPR:ssä on uhkan sijaan pikemminkin oiva tilaisuus yrityksille olla edelläkävijä. Ajatuksena voi miettiä olisiko järkevää pelkän GDPR-komplianssin sijaan jopa mainostaa asiakkaille näiden oikeuksia? Harva yritys tänä päivänä tuo aktiivisesti niitä näkyville ja omien prosessien ollessa tältä osin kunnossa ei siitä varsinaisesti vaivaa tai kustannustakaan koidu. Imagovoitto olisi sen sijaan kiistaton. Vaikka paha kello kuuluukin kauemmas, niin sosiaalisessa mediassa hehkutetaan usein myös positiivisia kokemuksia. GDPR tarjoaakin mahdollisuuden profiilinnostoon ja luottamuksen lisäämiseen asiakkaiden silmissä. Perinteisesti lisääntynyt luottamus yritykseen on muuttunut myös lisääntyneeksi kassavirraksi. GDPR tarjoaakin EU:n alueella toimiville yrityksille tätä kautta kilpailuetua globaaleilla markkinoilla toimiviin yrityksiin verrattuna vahvan regulaation tuoman vakauden ja varmuuden kautta. EU:n sisällä taas maiden välisten tulkintojen jäädessä pois pelikenttä on tasaisempi tältä osin.
Asianajotoimisto Lexian seminaarissa kysyttiin osallistuneilta suomalaisilta yrityksiltä miten he ovat varautuneet uuden lain tuomiin velvoitteisiin. Noin 15 % vastasi “Ei mitenkään”, reilu puolet eli 57 %, ovat “Tutustuneet lain tuomiin velvoitteisiin”, jälleen 15 %:ssa on “Tehty konkreetinen suunnitelma”. Vain ainoastaan joka kymmenes toteuttaa jo tehtyä suunnitelmaa. Tämän otannan perusteella isolle osalle suomalaisista yrityksistä tulee melkoinen kiire asian kanssa. Asian kuntoon saattaminen ei sinänsä ole vaikeaa ja komplianssin saavuttamiseksi löytyy pikaisella Google-haulla useita suunnilleen saman sisältöisiä ja suhteellisen yksikertaisia to-do -listoja, joilla asia tulee hoidettua. Teknisten ratkaisujen toteutus on yksikertaista, kun tietää ensin mitä tavoitellaan. Varmaa on kuitenkin, että käytännössä joka ikisen yrityksen pitää tehdä asian suhteen jotain, kunnossa nämä eivät itsestään kenelläkään.
Miten sinä voit varauta GDPR:n tuloon? Yrityksen varsinaisen liiketoiminnan osalta tietohallintojohtajanne ovat varmasti tilanteen tasalla mitä toukokuun loppu tarkoittaa omille järjestelmille. Hallituksen työkalujen osalta kannattaa tehdä samat asiat kuin muutenkin eli varmistaa niiden komplianssi. Me Admincontrolilla autamme mielellämme yritystänne GDPR-kysymysten äärellä – ota siis rohkeasti yhteyttä, niin keskustellaan lisää tietoturvallisemmasta huomisesta.
– Turkka Turunen, CEO, Admincontrol Finland Oy.