Tulostusversio

2/2015

Tietosuojan voi tuotteistaa

Teksti: Päivi Männikkö

Mediakonserni Sanomalla tietosuoja on osa tuotekehitystä.

Ennen vanhaan postiluukusta tipahti sanomalehti aamuisin ja aikakauslehti kerran kuussa. Nyt paperilehtien selailun lisäksi kuluttaja klikkailee verkkolehtiä sekä kirjautuu sovelluksiin ja keskustelupalstoille.

Mediankäytöstä kertyy tietoa aivan eri tavalla kuin ennen, ja sekös kohderyhmiä etsiviä mainostajia kiinnostaa. Mediayrityksille sähköisiltä alustoilta kertyvä data on arvokasta materiaalia, jonka avulla kehitetään uusia tuotteita.

Kertyvän tietomassan hallinnassa on haasteensa, sanoo mediakonserni Sanoman tietosuojajohtaja Riikka Turunen. Tietosuojan pitää pysyä toiminnan jatkuvan kehittämisen perässä, kuluttajat haluavat yhä enemmän hallita itse tietojaan, ja yritysten pitäisi kehittää yhteisiä tietojen käsittelyn käytäntöjä, jotta datasta saataisiin digitalouden kilpailuvaltti EU:ssa.

Ei punakynälle

Sanoma julkaisee sanoma- ja aikakauslehtiä, tuottaa oppimisratkaisuja sekä pyörittää tv- ja radioyhtiöitä useissa Euroopan maissa. Sanomalla on viime vuosina viilattu tietosuojan rakentamista osaksi tuotteita heti tuotekehityksen ensiaskelista lähtien. Tätä kutsutaan nimellä Privacy by Design, ja sen odotetaan sisältyvän tulevaan EU:n tietosuoja-asetukseen.

Riikka Turunen on sitä mieltä, että Privacy by Design kuuluu digimaailmaan, vaikka sitä ei asetuksessa vaadittaisikaan. Tapa, jossa lakimies käy suunnitelmat läpi punakynällä juuri ennen valmiin tuotteen julkaisua, ei toimi. Tiedon keruusta ja analysoinnista voi seurata ongelmia, joiden ratkaisu vie aikaa.

”Siksi pitää varmistaa, että lainsäädännön vaatimukset ja vaikutukset loppukäyttäjiin osataan huomioida tarpeeksi varhain.”

”Tietysti silti vielä ennen tuotteen julkaisua varmistetaan, että kaikki on tehty, kuten pitää.”

Osaajat apuna

Jotta tietosuoja osataan huomioida tuotekehityksen alusta alkaen, Sanomalla tuotekehitystiimeissä on aina mukana tietosuojaosaajaksi (Privacy Champion) nimetty tekniikan tai liiketoiminnan ammattilainen. Hänet koulutetaan tunnistamaan tilanteet, joissa tietosuoja pitää ottaa huomioon; esimerkiksi, kun tuote muuttuu oleellisesti tai kehitetään aivan uutta sovellusta.

Tietosuojaosaajia on noin 7 500 työntekijän konsernissa nelisenkymmentä. Heistä jokaisella on oma vastuualueensa. Tukea ja ohjeita tietosuojaosaajat saavat lakiosaston tietosuojayksiköltä. Turusen mukaan tietosuojaosaajien osallistuminen pulmatilanteiden selvittämiseen auttaa löytämään entistä luovempia keinoja. Osaajat ovat esimerkiksi parempia luomaan asiakaslähtöisiä ratkaisuja kuin juristit.

Yhteisiä tuotteita

Jotta pyörää ei joka tuotteessa tarvitsisi keksiä uudestaan, Sanomalla on tunnistettu yhteisiä henkilötietojen käsittelyn toimintoja. Tuotekehitystiimit voivat ottaa ne käyttöön sellaisinaan ja luottaa siihen, että ne ovat lainmukaisia. Esimerkiksi tiedonsiirto sovelluksen ja taustajärjestelmien välillä sujuu kaikissa sovelluksissa samalla tavalla.

Toisena esimerkkinä Turunen mainitsee Sanoman Hollannin-yhtiössä kehitetyn sovelluksen, jolla verkkosivulla surffaava voi antaa nimenomaisen suostumuksensa evästeiden käyttöön.

”Se kannattaa hyödyntää sellaisenaan eri maissa.”

Työkalu automatisoi arviointia

Kehitteillä on myös työkalu, jolla on tarkoitus yhtenäistää ja osin automatisoida tuotteiden vaatimustenmukaisuuden arviointia. Jos arviointia tarvitaan, sen tekevät tuotepäälliköt, tietosuojaosaajat sekä lakiasioiden asiantuntijat yhdessä. He pohtivat, millaisia henkilötietojen käsittelyn ominaisuuksia tuotteessa tarvitaan.

Arvioinnin työkalu auttaa analysoimaan, toteutuvatko tietosuojan vaatimukset toiminnoissa. Jos eivät, työkalu pilkkoo tarvittavat muutokset teknisiksi vaatimuksiksi ja toimittaa ne eteenpäin tuotekehitykseen. Se myös auttaa valvomaan toteutusta ja raportointia esimiehille.

Työkalulla Sanoman tietosuojayksikkö voi seurata paremmin, millaisista toiminnoista tietosuojan katselmuksia ja arviointeja tehdään. Jos tietynlaisten toimintojen arvioinnit yleistyvät, syynä saattaa olla puutteellinen ohjeistus tai tarve uudelle yhteiselle toimintamallille.

Asiakkaan elinkaari tutuksi

Digitaalisista tuotteista kerätään asiakastietoja tai vähintään tietoja palvelun käytöstä ja klikkailuista. Riikka Turunen korostaa, että kuluttajapalveluja tarjoavien yritysten on pakko tunnistaa asiakkaan elinkaari, eikä siitä ole pitkä harppaus tiedon elinkaaren hallintaan. Tiedot pitää luokitella ja luoda säännöt niiden käsittelylle. Käyttäjätietoa voidaan myös anonymisoida ja pseudonymisoida sen elinkaaren aikana.

”Datan käsittely on muuttunut paljon 20 vuodessa. Koska se on nyt niin monimutkaista, sitä pitää yksinkertaistaa käsittelyä ohjaaviksi malleiksi”, Turunen kiteyttää.

Yhteiset mallit myös edistävät yritysten keskinäistä ja viranomaisten kanssa käytävää vuoropuhelua.

”Näin luodaan käytäntöjä, joiden avulla dataa voidaan hyödyntää entistä laajemmin.”

Lue myös

Tietosuojan voi tuotteistaa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.