3/2017

EU tietosuoja-asetus vaikuttaa AMKien  innovaatiotoimintaan

Kirjoittaja: Jaakko Riihimaa.

EU:n alueella on toukokuussa 2018 astumassa voimaan tietosuoja-asetus, joka korostaa ihmisten oikeutta yksityisyyteensä ja omien tietojensa omistamiseen. Asetuksen tavoitteita ovat yksilön oikeuksien vahvistaminen, tietosuojan globaali ulottuvuus sekä parempi valvonta. Asetus ja täydentävä kansallinen lainsäädäntö edistää EU:n digitaalista sisämarkkinoiden kehitystä, eli tiedon siirtymistä turvallisemmin ja vapaammin EU:n alueella. (EU GDPR 2016.)

Tietosuojalainsäädännöllä on vaikutuksia ammattikorkeakoulujenkin TKI-toimintaan. Tässä artikkelissa pyritään nostamaan esiin erityisesti I:tä, eli innovaatiotoimintaa koskevia näkökohtia.

Innovaatioiden uudenlainen kokonaiskuva

Kaikkinainen avoimuuden käsite ja avoimuuden vaatimus mm. rahoittajilta on noussut merkittäväksi tekijäksi tieteessä ja ammattikorkeakoulujen TKI-toiminnassa. Sitä pidetään keinona edistää toimien vaikuttavuutta. (Avoin tiede 2017.)

Avoin innovaatio, erään määritelmän mukaisesti, on sisäisten ja ulkoisten ideoiden ja kaupallistamistapojen yhdistämistä. Tarkoituksena on edistää uusien teknologioiden kehitystä. Innovaation syntyä tuon määritelmän mukaan edeltävät T ja K, eli tutkimus- ja kehitystoiminta. (Avoin innovaatio 2017; Chesbrough 2013.)

Avoimesta innovaatiosta puhuttaessa korostetaan uusien ideoiden ja teknologioiden mahdollistamia asioita. Innovaation käsite on laaja ja sitä käytetään monissa eri merkityksissä (esim. Riihimaa 2004). Ympäristö, missä innovaatio syntyy, vaikuttaa tarkasteluun. Isoille yrityksille jo tuttu ja tavanomainen asia voi pk-yrityksen soveltaessa olla sille innovatiivinen.

Digitaalisaatio on siirtänyt innovaatioiden tuottamisessa niihin sisältyvän datan keskiöön. Uusien ideoiden ja teknologioiden yhdistelmissä yhä useammin erottamattomana osana ja kilpailutekijänä on (mahdollisimman avoin) data, sen keruu ja hyödyntäminen.

Kokonaiskuvaa täydentävä trendi on asiakkaan, myös yksittäisen henkilön, nostaminen esille palvelutuotannossa ja niiden kohteena. Ammattikorkeakoulujen kontekstissa tämä on tärkeä, jopa strateginen lähtökohta: Onko innovaatiotoiminnan asiakas opiskelija, TKI-hankkeeseen osallistuva yritys vaiko koko yhteiskunta ja sitä kautta alueellinen kehittämistyö.

Data on uusi valuutta

Datasta on jo muodostunut uusi valuutta ja erityisesti tämä koskee henkilöön liitettävissä olevaa tietoa. Innovaatioihin tulee sisältymään yhä enemmän henkilödataa. Ihmiset vaihtavat tänä päivänä tietojaan ja niiden käyttöoikeuksia näennäisesti ilmaisiin Internet-palveluihin. Digitaalisia jalanjälkiä jää meistä puheluiden, nettiselailun, asiakaskorttien käytön, videovalvonnan ja ties minkä aktiviteettien myötä. Kaikki tuo tieto on liitettävissä henkilöömme ja on käytettävissä mitä moninaisimmissa sovelluksissa ja palveluissa.

Avoimuus, digitalisaation eteneminen ja henkilödatan iso merkitys luovat innovaatiokenttään uusia jännitteitä. Niitä aiheuttaa digitalisaation mahdollistama palveluiden personointi, esimerkiksi yksilöllinen markkinointi. Tällainen ns. massaräätälöinti on käsitteenä tuttu jo monien vuosien ajalta teollisemmassa tuotannossa (Ruohonen, Riihimaa & Mäkipää 2006), mutta data-aineistojen käsittelykapasiteetin noustessa ja yhä yksityiskohtaisempien tietojen koostamisen mahdollistuessa asia siirtyy uudenlaiseen kehykseen.

Innovaatiotoiminta ja yksilön tietosuoja törmäävät, kun vaikkapa inkrementaalinen toimintaprosessin uudistus tarvitsee henkilötietokomponentin. Tietosuoja-asetuksen kannalta miltei kaikki voi olla henkilödataa ja sitä voidaan kerätä miltei mistä tahansa. Esimerkiksi erilaiset sensorit voivat tuottaa sitä (ns. IoT, teollinen Internet), kuvankäsittelyteknologiat pystyvät jo hämmästyttäviin suorituksiin ja kuten edellä mainittiin, digitaalisia jälkiä jää liki kaikesta verkon käytöstä.

Jos jälki on välillisestikin yhdistettävissä henkilöön, ollaan tietosuojakysymysten keskellä. Voi ajatella, että nykyauto osaa tunnistaa kuljettajan ajotyylin ja jatkuvasti kerää ja lähettää tietoa kaikesta mahdollisesta; sijainnista, nopeuksista, käyttöajoista jne. Älypuhelin on vielä arkisempi esimerkki. Datalla voidaan tuottaa muuhun aineistoon yhdistettynä pitkälle meneviä päätelmiä, eli henkilö voidaan profiloida. Ja tämä on väärin hoidettuna tietosuoja-asetuksen vastaista.

Tunnettuja ovat myös monet digitalisaation myötä syntyneet ns. disruptiiviset innovaatiot. Vanhat prosessit ja toimintatavat murtuvat, kun tietotekniikan mahdollisuuksia hyödynnetään uudella tavalla. Tätä on tapahtunut esimerkiksi niin pankkitoiminnassa, matkailussa kuin liikenteenkin alueella. Näissä data ja mahdollisimman henkilökohtainen palvelu on ollut keskeinen näkökohta.

Tietosuoja-asetuksen noudattaminen

Tietosuoja-asetuksen noudattaminen tulee edellyttämään innovaatiokentän toimijoilta tarkkuutta. Keskeistä on ottaa huomioon yksilön oikeus omiin tietoihinsa. Jokaisella on periaatteessa oikeus tarkastaa, mitä tietoa hänestä on kerätty ja myös määrätä, mihin sitä voi luovuttaa eteenpäin. Tiedon käyttötarkoitus on määriteltävä etukäteen. Tietojen sisältöjen ja virtausten dokumentointi nousee tärkeäksi.

Suositeltu lähtökohta tietosuoja-asetuksen vaatimusten toteuttamiseen on riskianalyysi, riskienhallinnollinen ennakkoarviointi siitä, millaisia riskejä henkilötietodatan käsittelyyn voisi liittyä. Tällaisessa arvioinnissa tarvitaan yleensä jonkinlaista toiminnallista systematiikkaa. Arvoon tulevatkin ammattikorkeakouluissa nousemaan uudesta näkökulmasta niin laatujärjestelmien, kokonaisarkkitehtuurityön, riskienhallinnan kuin muiden vastaavien hyvän hallintotavan mukaisten menettelytapojen noudattaminen. Työkaluja ovat esimerkiksi datahallintopolitiikat, aineistonhallinnan ohjeistukset tai tietotilinpäätökset. Työkaluista soveltuvimmat on TKI-asiantuntijoiden poimittava innovaatiotoiminnan hyödyksi.

Tietosuoja-asioiden merkityksen tunnistaminen ja seurannaisvaikutusten arviointi ovat tärkeitä paitsi ammattikorkeakoulujen oman organisaation ja velvollisuuksien näkökulmasta, myös niiden asiakkaiden ja kumppaneiden kannalta. TKI-toiminnassa on niin tutkimusta, kehittämistoimia kuin innovaatioita luotaessa pystyttävä luotettavasti opastamaan opiskelijoita, opettajia ja yhteistyössä olevia yrityksiä niiden oikeuksista ja velvoitteista suhteessa kerättävään ja hyödynnettävään henkilötietoon.

Sidosryhmien merkitys kasvaa tietosuoja-asetuksen myötä muutoinkin. Lainsäätäjän näkökulma sekä hankkeen rahoittajien, asiakasyritysten ja datankeruun kohteena olevan yksityishenkilön intressit tietosuojan suhteen tulevat eroamaan. Tietosuoja-asetus velvoittaa organisaatiot nimeämään ns. tietosuojavastaavan, joiden tekemillä linjauksilla ja arvioinneilla datan käsittelyn laillisuudesta tulee olemaan suuri painoarvo. Keskeisten sidosryhmien tunnistaminen etukäteen ja intressien dokumentointi auttavat havainnollistamaan sitä, mitä halutaan pitää tärkeänä ja minkä sidosryhmän tavoitteet tukevat ammattikorkeakoulun strategiaa. Strategiatasolla olisi hyvä todeta keskeisimmät tietosuojaan liittyvät periaatteet ja samalla ottaa tarkasteluun avoimuuden vaatimukset ja reunaehdot.

Tietosuoja-asetuksen haasteita

Käsitteisiin liittyvä työ lisääntyy. Ainakin tietoarkkitehtuurin osalta olisi keskeiset käsitteet tunnistettava ja niiden käytön olisi oltava yhdenmukaista. Tehtävä voi olla haastava, sillä jo tiedon avoimuuden määrittely ei ole mitenkään triviaalia. Yksi merkittävä yläkäsite on ”tieteellinen tutkimus” ja se, miten pitkälle sen voidaan katsoa kattavan ammattikorkeakoulujen TKI-toiminnan. Tietosuoja-asetuksessa on tutkimustiedolla vahva (joskin vielä epäselvä) erityisrooli. Se oikeuttaa moniin poikkeustapauksiin. Tätä oikeutta korostetaan puhumalla tieteellisestä (tai yliopistollisesta) tutkimuksesta, mutta samat tai ainakin useimmat sen tunnuspiirteet sisältyvät kyllä myös ammattikorkeakoulujen TKI-toimintaan. Ja mitä arkaluonteisempaa tietoa kerätään ja käsitellään, sen tärkeämpää ja vaativampaa on tietosuojan rajojen ennakoiva määrittely. Tällainen voi tulla ammattikorkeakouluissa helposti kyseeseen esimerkiksi sosiaali- ja terveysalan (prosessi-)innovaatioiden toteuttamisen yhteydessä.

Haaste on sekin, ettei tietosuojaan liittyvästä lainsäädännön tulkinnasta ole etukäteen tarkkoja ohjeita tai linjauksia. Ne tulevat aikanaan oikeustapausten kautta. Tietosuojavastaavien yhteistyö ja linjaukset ovat tämänkin takia tärkeitä.

Useat merkittävät viime vuosien digitaaliset innovaatiot ovat rikkoneet voimassa olevia lakeja ja sopimuksia. Ne uhkaavat vakiintuneita rakenteita ja niiden läpivieminen voi aiheuttaa ankaraakin vastustusta. Tässäkin mielessä ammattikorkeakoulujen ja TKI-toimijoiden asema voi olla ongelmallinen – suojellaanko verovaroilla rahoitetulla toiminnalla vanhoja toimintamuotoja tarkasti säädöksiä noudattaen vai uskaltaudutaanko rohkeiden ja uudistavien kokeilujen tielle. Korkeakoulujen autonomia antaa tiettyjä mahdollisuuksia, mutta moniko korkeakoulu voisi (uskaltaisi) kirjata strategisiin linjauksiinsa tai TKI-toimintansa tavoitteisiin rakenteiden uudistamisen disruptiivisten innovaatioiden keinoin?

Kirjoittaja

Jaakko Riihimaa, FT, IT-pääsihteeri, AAPA – Ammattikorkeakoulujen tietohallintojohtajat, jaakko.riihimaa(at)haaga-helia.fi

Chesbrough, H. 2003. Open Innovation: The New Imperative for Creating and Profiting from Technology, Harvard Business School Press. EU GDPR. 2016. Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, Euroopan unionin virallinen lehti 4.5.2016. http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32016R0679&from=FI Viitattu 9.9.2017.

Riihimaa, J. 2004. Taxonomy of information and communication technology system innovations adopted by small and medium sized enterprises, Academic Dissertation, Department of Computer Sciences, University of Tampere, Report A-2004-6, Tampere 2004.

Ruohonen, M., Riihimaa, J. & Mäkipää, M. 2006. Knowledge based mass customization strategies – cases from Finnish metal and electronics industries, International Journal of Mass Customisation, Vol. 1, Nos. 2/3, 2006.

Avoin Innovaatio – Avoimen Innovaation virallinen sivusto Suomessa. http://www.openinnovation.fi/fi/avoininnovaatio viitattu 9.9.2017.

Avoin tiede ja tutkimus. www.avointiede.fi Viitattu 9.9.2017.

Edellinen artikkeliSeuraava artikkeli

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *