Onko GDPR kryptinen kirjainyhdistelmä vai haltuun otettava mahdollisuus? Artikkelit

Matti Timonen Fordionelta vertaa tulevaa EU:n tietosuoja-asetusta artikkelissaan kuuluisiin ”Belsassarin pitoihin”. Artikkeli avaa sekä Belsassarin sekä mystisen GDPR:n syvimmät olemukset erittäin mielenkiintoisella tavalla.

Danielin kirjassa on kertomus Belsassar-nimisestä kuninkaasta ja hänen linnassaan järjestämistä voitonjuhlista, niin kutsutuista Belsassarin pidoista. Merkittävän tapahtumasta tekee sen, että kesken hurjimman juhlinnan jostain ilmestyy ihmiskäsi, joka kirjoittaa linnan kalkittuun seinään sanat ”mene, mene, tekel, u-farsin”. Vaikka linna oli täynnä viisautta, kukaan juhlijoista ei osannut tulkita kirjoitusta ja hätähän siitä tuli. Onneksi paikalle osattiin kutsua Daniel, loitsupappien päämies. Tälle luvattiin maat ja taivaat loitsun kääntämisestä. Palkkioista ei mies huolinut, mutta teksti tuli käännetyksi.

Tarina nousi mieleeni viimeisimmässä asiakastapaamisessani. Aiheena oli, kuinkas muutenkaan, EU:n tietosuoja-asetus eli GDPR ja sen yrityksille mukanaan tuomat haasteet. Asiakas oli ihmeissään.

Monta myyntimiestä oli käynyt kylässä, mutta kukaan ei ollut osannut tulkita ymmärrettävästi, mitä asetuksen 99 artiklaa hänen yritykselleen merkitsivät. Osa oli lähestynyt asiaa teknisestä näkökulmasta, osa salauksen. Osa taasen lakitekstien kautta. Kokonaisuutta ei ollut osannut kertoa kukaan. Sanktioista oli kyllä muistettu mainita. Tämän kuultuani minussa heräsi pieni Beltesassar. Aloitin synkän yksinpuhelun, joka onneksi pian muuttui vilkkaaksi keskusteluksi. Tunnin kokous venähti lähes kahdeksi. Poistuessani asiakas oli varsin tyytyväisen oloinen. Kuten minäkin.

Miten minun tulkkaukseni erosi edellisistä? En keksi muuta kuin sen, että keskityimme asetuksen syvimpään olemukseen. Eli siihen, miten rekisteröidyn oikeudet taataan ja miten häneen liittyviä henkilötietoja käsitellään turvallisesti ja läpinäkyvästi. Aloitimme alusta. Miten käsittelylupa saadaan? Mitä tapahtuu ennen varsinaisen käsittelyn alkua? Entäpä käsittelyn aikana? Myös asiat varsinaisen käsittelyn päätyttyä tulivat käydyiksi lävitse. Kuka tietoja saa poistaa ja koska ne poistetaan. Puhuimme käsittelyyn liittyvistä tietovarannoista, tietovirroista ja tietojärjestelmistä. Uhkia, riskejä, niiden vaikutuksia ja itse henkilötietojen käsittelijöitä unohtamatta. Keskustelimme myös sopimuksista ja osoitusvelvollisuuden täyttämisestä. Eli siitä, miten organisaatio voi osoittaa noudattavansa lakia. Sen sijaan sanktioista emme vaihtaneet sanaakaan. Ja hyvä niin. Ne kun eivät, päinvastoin kuin kaikki muu aiemmin mainittu, liity mitenkään tietotilinpäätökseen, dokumentointimalliin, jota tietosuojavaltuutetun toimisto ehdottaa tavaksi täyttää osoitusvelvollisuus. Siitä puhuimmekin sitten lähes tunnin.

Ja sen aikana asiakkaalle selvisi ensimmäisen kerran, mitä organisaation tulee tehdä asetuksen vaateet täyttääkseen.

Palataanpa hetkeksi Belsassarin linnaan ja Danielin suorittamaan tulkkaukseen. Lopputulos oli suurin piirtein tämä: Belsassarin kuninkuuden päivät oli laskettu ja niistä olisi tuleva loppu. Belsassar oli myös ”punnittu ja kevyeksi havaittu”. Ja lopuksi kovin isku. Myös valtakunta tultaisiin jakamaan kahtia.

Entäpä tarinan kytkös tietosuoja-asetukseen? Itse näen asian siten, että sanktioilla uhkailijoiden kuninkuuden päivät ovat ohi. Jos niitä nyt koskaan on ollutkaan. Vaikka uhkailu on ollut osana myyjien arsenaalia ammoisista ajoista asti, on sen avulla saavutettavat tulokset loppujen lopuksi varsin köykäisiä.

Uskon myös markkinoiden jakautuvan. Toiselle puolelle asettuvat ne, jotka uskovat osaoptimoinnin tuomiin etuihin. Ja toiselle puolelle taasen ne, jotka luottavat kokonaisvaltaisempaan lähestymistapaan.

Kummalle puolelle tahansa sijoittuukin, on hyvä muistaa, että voittaminen ei GDPR -kisoissa ole olennaisinta. Pääasia on, että ei tule punnituksi ja kevyeksi havaituksi. Oli sitten toimittaja tahi asiakas.

Matti Timonen Fordione

Matti Timonen Fordione

Matti Timonen on tehnyt pitkän uran IT- alalla. Hän on toiminut mm. tietohallintojohtajana logistiikka- ja IT -yrityksissä ja vetänyt myös liiketoimintayksikköä. Tällä hetkellä hän toimii hallinnolliseen tietoturvaan keskittyneessä Fordione Oy:ssä konsulttina ja hallituksen puheenjohtajana. Hän on myös yksi yrityksen perustajista.


- INNOVATE | IMPLEMENT -