uusi tiedonlukutaiton liittyvä artikkelimme käsittelee tiedon hyödyntämiseen liittyviä vastuukysymyksiä. Seuraavassa artikkelissa jatkamme aiheesta syventämällä eettisiä periaatteita.
Tiedonlukutaidon pätevyyspassikoulutuksen lanseeraamisen myötä viimeaikaisten artikkeliemme aiheena on ollut tiedonlukutaito. Tiedonlukutaitoon sisältyy myös sen tiedostaminen, että tiedon keräämiseen, käsittelyyn, analysointiin ja esittämiseen liittyy valtaa ja sitä kautta vastuuta. Vaikka tiedon keräämiseen ja hyödyntämiseen liittyy innostavia uusia mahdollisuuksia, niitä ei sovi rynnätä tutkimaan riskit ja vastuukysymykset unohtaen, puhumattakaan lyhytnäköisestä hyödyn tavoittelusta tahallaan tietoa vääristelemällä tai yksityisyydensuojaa polkemalla.
Paljon perustuu luottamukseen
Datan ohella organisaatiolle arvokasta pääomaa on luottamus, jota kasvatetaan läpinäkyvyydellä ja selkeällä viestinnällä siitä, mitä tietoa kerätään ja miten sitä hyödynnetään ja miten vastuukysymykset huomioidaan kaikessa tässä. Luottamusta kannattaa kasvattaa ja vaalia organisaation sisällä tiedon hyödyntämiseen liittyvien henkilöiden välillä sekä suhteissa organisaation ulkopuolisiin sidosryhmiin kuten asiakkaisiin, viranomaisiin ja yhteistyökumppaneihin.
Tiedon hyödyntämisen eettiset periaatteet ja lainsäädäntö
Tärkeitä vastuullisuuteen liittyviä periaatteita tiedon keräämisessä ja hyödyntämisessä ovat
• tiedon oikeellisuuden ja tarpeellisen kattavuuden varmistaminen
• yksityisyydensuojan ja liikesalaisuuksien turvaaminen
• datan esittäminen selkeästi ja läpinäkyvästi kontekstissaan ja sen mahdolliset puutteet ja vääristymät esille nostaen
• tiedon keräämiseen ja hyödyntämiseen liittyvien riskien tunnistaminen ja hallinta
Tiedon hyödyntämisen vastuullisuutta on pyritty varmistamaan ja erityisesti yksityisyyttä suojaamaan erilaisella lainsäädännöllä. Merkittävimpiä näistä on Euroopan Unionin alueella tapahtuvaa tai EU:n kansalaisten henkilötietoja koskevaa henkilötiedon käsittelyä säätelevä EU:n yleinen tietosuoja-asetus GDPR.
Henkilötietoina pidetään tietoja, joista luonnollinen henkilö on suoraan tai epäsuorasti tunnistettavissa. GDPR:n mukaan henkilötietojen käsittelyyn tulee aina olla peruste. Se voi perustua joko rekisteröidyn suostumukseen, rekisteröidyn tekemän sopimuksen toimeenpanemiseen, lakisääteiseen velvollisuuteen, elintärkeiden etujen suojaamiseen, yhteiseen etuun ja julkiseen valtaan tai rekisterinpitäjän oikeutettuun etuun.
Henkilötietojen käsittelystä tulee kertoa rekisteröidylle tietosuojaselosteella, hänellä tulee olla mahdollisuus saada itseään koskevat tiedot, perua suostumuksensa tai pyytää itseään koskevien tietojen poistamista.
Henkilötietoja laajamittaisesti käsittelevien organisaatioiden on GDPR:n mukaan nimettävä tietosuojavastaava tarjoamaan asiantuntija-apua rekisterin pitämisessä ja lainsäädännöllisten velvoitteiden täyttämisessä.
Vastuunjako tietojenkäsittelyssä
Tietojen suojaamisessa auttavat parhaat käytännöt ja tietoturvakumppanin auditoinnit. Vastuuta omien tietojen turvaamisesta ei voi kuitenkaan täysin ulkoistaa organisaation ulkopuolelle. Organisaatiossa onkin tärkeä olla selvillä siitä, kuka tietojen suojaamisesta vastaa ja mitkä ovat eri tiedon hyödyntämisen vaiheisiin ja rooleihin liittyvät vastuut.
Jokaisen tietojen kanssa työskentelevän on hyvä pohtia, millaista tietojen saatavuuteen ja esittämiseen liittyvää valtaa omassa roolissaan käyttää ja millaisia vastuita omaan rooliin liittyy. Mikäli pientäkin huolta tietojen vastuullisesta säilytyksestä ja käytöstä herää, se on paras nostaa esiin eikä olettaa, että joku muu huolehtii ja ottaa vastuun.
Tietojen suojaamisen tekniset ratkaisut
Uusia tiedon hyödyntämiseen tarkoitettuja työkaluja tulee markkinoille jatkuvasti, eivätkä kaikki niistä sovellu arkaluontoisten tietojen käsittelyyn. Uutta työkalua harkittaessa, pitää ottaa huomioon myös tietosuojanäkökulma.
Laajamittaisen arkaluontoisen tiedon käsittelyn on syytä tapahtua organisaation sisäverkossa palomuurien takana. Lisäksi tietoturvaa voidaan parantaa säilyttämällä tiedot mahdollisimman pitkälti kryptattuna ja käsittelemällä niitä vain organisaation hallinnassa olevilla työasemilla, joiden virustorjunta ja kryptaus on kunnossa ja joista tiedot voidaan tarvittaessa tuhota.
Käyttäjähallintaan kannattaa myös kiinnittää huomiota. Tarpeettomat ja vanhentuneet käyttäjät tulee poistaa viipymättä. Kannattaa mahdollisimman pitkälle välttää tilannetta, missä useat käyttäjät käyttävät samoja kirjautumistunnuksia. Salasanojen on oltava tarpeeksi vahvoja, ne tulee vaihtaa aika ajoin ja tunnistautumiseen on hyvä olla monivaiheinen, eli tunnistautuminen vahvistetaan esimerkiksi puhelimeen tulevan koodin avulla.
Hyvä erilaisten käyttäjäroolien suunnittelu auttaa rajaamaan pääsyä tietoihin vain niille, jotka juuri kyseistä tietoa tarvitsevat ja vain siksi ajaksi, kun he tietoa tarvitsevat.
Tietoja, joista luonnollinen henkilö on suoraan tai epäsuorasti tunnistettavissa, on hyvä – ja GDPR:n myötä oikeastaan pakko – käsitellä eri tavalla verrattuna muuhun tietoon. Näiden tietojen tunnistaminen on ensimmäinen vaihe, jotta erilainen käsittely mahdollistuu. Tämän jälkeen voidaan rakentaa prosessit, joilla pääsyä henkilötietoihin hallinnoidaan, tiedot voidaan tarvittaessa poistaa ilman merkittävää haittaa toiminnassa tärkeille raporteille ja analyyseille ja pyynnöstä luovuttaa rekisteröidylle nähtäväksi. Erilaisten lokituksien avulla voidaan myös seurata, kuka tietoja on katsellut tai käyttänyt ja milloin.
Kaikille käyttäjille ei tarvitse antaa pääsyä henkilötason tietoon, vaan tarjoilemalla pääsyn ylemmälle tasolle summattuihin tietoihin tai analyysin lopputuloksiin, voi varmistaa, että yksittäinen henkilö ei ole tiedoista enää tunnistettavissa. Anonymisoinnin avulla tiedon rivitaso ja yhteydet eri tietojen välillä voidaan säilyttää entisellään, mutta arkaluontoiset tiedot muuttaa tunnistamattomiksi.
Tieto on luottamusta
Kun tieto käsitellään vastuullisesti ja eettisesti, se avaa ovia uusiin mahdollisuuksiin ja vahvistaa luottamusta sekä organisaation sisällä että sen ulkopuolella. Oikein hallittuna tieto ei ole vain valtaa, vaan avain kestävään menestykseen ja tulevaisuuden innovaatioihin.
Esimerkiksi tieto tiedon hyödyntämisen eettisistä periaatteista ja tietojen suojaamisen teknisistä mahdollisuuksista kasvattaa ihmisten rohkeutta hyödyntää tietoa ja luottamusta siihen, että kykenee kantamaan myös siihen liittyvän vastuun.
Mirjamaria Petäjäniemi
Lead Consultant, Trainer
