Kuka pelkää DPIAa?

Stanislav Jerzy Lec kirjoitti (vapaasti mukaellen), että pykälän merkki muistuttaa teloitusvälinettä.

Monelle meistä englanninkieliset lyhenteet synnyttävät saman mielikuvan. Yksi tällainen värisyttävä on DPIA (Data Protection Impact Assessment) eli vaikutustenarviointi. Värinä on tarpeetonta: DPIA on taipuisa työkalu, joka oikein käytettynä säästää päivätolkulla työaikaa monessa järjestelmäprojektissa ja toisaalla luo varmuutta uusien prosessien käyttöönottoon.

DPIA on oma miniprosessinsa. Työskentelyn pohjaksi valitaan yleensä joko organisaation oma tai netistä kalastettu excel-dokumentti, jossa on lista aika peruskysymyksiä työn alla olevasta järjestelmän kehittämisestä, sen käyttöönotosta loppuasiakkaalla tai uuden prosessin käyttöönotosta omassa organisaatiossa.

Ja siitä se ralli alkaa: parhaassa tapauksessa yhteinen pohdinta siitä, mitä henkilötietoja tähän järjestelmään kertyy ja ennen kaikkea: tarvitaanko niitä? Millä perusteella niitä kerätään? Mitä niillä tehdään ja miten niistä pidetään huolta.

Henkilötietojen suojan osalta voidaan kylmästi todeta, että näiden kysymysten kera ollaan perimmäisten asioiden äärellä. Vastausten pohdinnan jälkeen alkaa varsinainen sauna, kun aletaan miettiä mitä riskejä uudistus tuo mukanaan.

Se VOI olla epämiellyttävä sauna, mikäli mahtavasti visioidun järjestelmän tai kaiken uudistavan – jopa virtaviivaistavan! – prosessin alta paljastuu ominaisuuksia, jotka eivät kestä DPIA:n myllyttäessä tarkkoja kysymyksiään. Parhaimmassa tapauksessa muutos tai kehitystyö pitää pohtia uudestaan, ja etsiä vaihtoehtoisia, riskittömiä tapoja toteuttaa tavoitteet.

Tämä, jos mikä, on tehokasta. Järjestelmäprojekteissa se säästää työaikaa ja toteuttamisaikaa. Ja mikäli loppuasiakas tyrmää järjestelmän hyödyntämisen omassa DPIA:ssaan, huolellisesti laadittu DPIA pelastaa asiakkuuden ja maineen.

Tietosuojavaltuutetun toimiston verkkosivuilla (tietosuoja.fi) sanotaan näin: ”Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.”

Somasti sanottu. Ja vieläpä totta.

Jaanaliisa Kuoppa

Konsultti