Siirry suoraan sisältöön

Sitra. Kuva: Miikka Pirinen / SITRA

Julkaistu 23.05.2018

Reaaliaikainen datatalous odottaa vielä toteuttajaansa

Vielä pari päivää ja sitten GDPR astuu voimaan. Tietosuojauudistusta on luonnehdittu internetin historian tärkeimmäksi uudistukseksi. Se viekin kehitystä oikeaan suuntaan, mutta paljon on vielä tehtävänä, jotta reaaliaikainen datatalous olisi aidosti olemassa.
Kirjoittaja
Johtava asiantuntija, IHAN- Ihmislähtöinen datatalous, Sitra

Oma sähköpostilaatikkoni on viime päivinä täyttynyt eri yritysten ja organisaatioiden ilmoituksesta, että heidän(kin) tietosuojakäytäntönsä on päivitetty. Omien laskujeni mukaan näitä ilmoituksia on nyt koossa melkein sata – joukossa sellaisiakin tahoja joiden kanssa minulla ei vuosiin ole ollut minkäänlaista kanssakäymistä. Suurin osa näistä yhteydenotoista on ollut tarpeettomia ja osa ehkäpä jopa laittomia. Aloin miettimään, pitäisikö minun ottaa näihin vanhempiin tuttavuuksiin yksitellen yhteyttä ja pyytää heitä GDPR regulaation Artiklan 17 mukaisesti unohtamaan minut ihan kokonaan. Vaivaa tästä minulle tulisi niin paljon, että tuskin tähän touhuun ryhdyn.

GDPR tuo myös mukanaan meille kaikille erittäin mielenkiintoisen uuden oikeuden, eli Artiklan 20 mukaisen oikeuden siirtää tiedot järjestelmäistä toiseen. Miten hyvin yritykset ja organisaatiot tähän ovat valmistautuneet ja luoneet itselleen teknisiä valmiuksia lähettää ja ottaa vastaan tietoja ”jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa”?

Saahan nähdä kuinka hyvin tiedot organisaatioiden välillä liikkuvat ensi perjantain jälkeen – miten hyvin vaikka kattiloita ja pannuja myyvä verkkokauppa osaa ottaa pankin lähettämät ”rekisteröityä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle” vastaan.

Itse asiassa, mitä tuo äskeinen lause edes tarkoittaa?  Saanko pankiltani vuonna 1999 verkkolomakkeella tekemäni asuntolainahakemuksen tiedot tai musiikkipalvelultani viime helmikuussa soittamani kappaleet? Ja miten ihmeessä pankki, verkkokauppa tai puhelinyhtiö osaa ottaa vastaan nämä tiedot ja käyttää niitä?

Regulaation tarkoitus on ollut hyvä, mutta toteutus on kyllä jäänyt vähän puolitiehen.

Prosessissa on nimittäin sellainen pikkuriikkinen aukko, että siinä missä muodossa tiedot toimitetaan ja mikä on tietojen toimitustapa, ei ole määritelty riittävän tarkalla tavalla. Artiklan 20 teksti, vaikka sitä on Article 29 Working Partyn toimesta tarkennettu, on edelleen niin salliva, että pahimmassa tapauksessa saan paperitulosteen tiedoistani – voihan senkin OCR:llä koneellisesti lukea. Parhaassakin tapauksessa saan jonkin muotoisen tiedoston jonkinnäköisessä rakenteellisessa muodossa toimitettuna minulle sähköisesti – ehkäpä sähköpostilla, kun omaa henkilökohtaista tiedonsiirto-APIa en työkiireiltäni ole vielä ehtinyt koodata.

Regulaation tarkoitus on ollut hyvä, mutta toteutus on kyllä jäänyt vähän puolitiehen. Tietoyhteiskunnassa kun tieto liikkuu vain, jos tiedon sisältö on tarkasti kuvattu ja tiedonsiirtotapa on täsmällisesti kerrottu. Edesmennyttä Presidentti Koivistoa lainatakseni tälle ”tarttis tehrä jotain”.

Me täällä Sitralle olemme ryhtyneet tuumasta toimeen. Käynnistimme tämän vuoden alussa IHAN® ihmislähtöinen datatalous -projektin, jonka tarkoituksena on luoda nämä puuttuvat tekniset standardit ja rakentaa uuden ekosysteemin tarvitsemat järjestelmät, joiden avulla data tuodaan ihmisten hallintaan reilun tiedonvaihdannan periaatteilla. Aloitamme ensin EU:sta ja kokoamme parhaillaan joukkojamme – talkoisiin mahtuu aina ahkeria työtä pelkäämättömiä osaajia ja tekijöitä mukaan.

Ps. Ammattihuolehtijalta vielä viimeinen ajatus/huoli: Kun GDPRn sanktiot ovat niin kovat, niin syntyyköhän sen myötä meille Eurooppaan ”Ambulance chaser” – lakimiestoimintaa, siis sellaista jossa toimijat rakentavat liiketoimintamallinsa sanktioista hyötymiselle. Toivottavasti ei.

Mistä on kyse?