Nordic Privacy Arena (NPA) on Pohjoismaiden merkittävin tietosuojaan ja yksityisyyteen keskittyvä konferenssi. Se järjestetään vuosittain Tukholmassa ja verkossa, ja se kokoaa yhteen tietosuojavastaavat, viranomaiset, juristit, aktivistit ja yksityisyyden asiantuntijat keskustelemaan alan ajankohtaisista teemoista.
Vuoden 2025 konferenssi järjestettiin 29.–30. syyskuuta Münchenbryggerietissä. Teemana oli “Kymmenen vuotta edistystä, tulevaisuuden vastuu”, joka juhlisti tapahtuman kymmenvuotista taivalta ja suuntasi katseen yksityisyyden muuttuvaan maisemaan – tekoälyn hallinnasta digitaaliseen suvereniteettiin.
GDPR Tech oli mukana tapahtumassa kolmatta kertaa ja tällä kertaa myös sponsorina. Juha Sallinen ja Jaanaliisa Kuoppa osallistuivat konferenssiin paikan päällä, ja tässä artikkelissa he avaavat tapahtuman keskeisiä nostoja ja omia havaintojaan.
Ruotsin uusi tietosuojavaltuutettu Eric Lejonram piti tapahtuman painavimman puheenvuoron. Hän korosti erityisesti tekoälyn riskiperusteista hallintaa ja sitä, että suurten riskien rinnalle on rakennettava suuremmat turvatoimet.
Jaanaliisa Kuoppa tiivisti näkemyksensä näin:
“Suomalaisittain oli huomionarvoista, että Lejonram nosti esiin sandboxit ja valvontamekanismit. Ruotsissa nämä on rakennettu jo vuosia sitten – meillä Suomessa työ on edelleen kesken.”
Suomen AI-sandboxien tilanne onkin toistaiseksi avoin. Traficomin mukaan (14.10.2025) “Suomessa työ on käynnissä ja kansallinen toteutusmuoto vielä avoin.” Haaga-Helia on mukana EU:n EUSAir-sandbox-hankkeessa, mikä voi nopeuttaa käytännön etenemistä.
Juha Sallinen kommentoi tilannetta suoraan:
“Suomen AI-hiekkalaatikot ovat edelleen heikolla tasolla. Ruotsiin verrattuna olemme selvästi jäljessä.”
Konferenssissa nähtiin myös yksi alan tunnetuimmista kasvoista, Max Schrems, joka nosti esiin tärkeän ja huolestuttavan havainnon: vaikka Euroopassa on määrätty merkittäviä GDPR-sanktioita, vain murto-osa niistä on tosiasiallisesti peritty.
Max Schrems
Schrems myös huomautti, että oikeusasteiden halukkuus ottaa tietosuojatapauksia käsittelyyn on edelleen alhaisella tasolla. Tekninen monimutkaisuus on ymmärrettävä syy, mutta samalla se heikentää GDPR:n uskottavuutta ja toimeenpanoa.
Yksi puhutuimmista teemoista oli digitaalinen suvereniteetti: miten Eurooppa voi ylläpitää riippumattomuutta ja kyvykkyyttä teknologiassa, kun Yhdysvallat dominoi tekoälyn ja pilvipalveluiden kenttää.
Paneelikeskustelussa siteerattiin Bill Clintonia: “Pessimism is an excuse for not trying.”
Juha Sallinen nosti esiin oman näkökulmansa:
“Euroopassa on vaihtoehtoja. Suomestakin löytyy osaavia ohjelmistotoimittajia ja konesaleja. Eurooppalaisista OVHcloud on hyvä esimerkki siitä, että infraa ja SaaS-ympäristöjä kyllä löytyy. Mutta realismi on tärkeää – esimerkiksi Officen korvaaminen LibreOfficella heikentäisi tehokkuutta monessa organisaatiossa.”
Ruotsalainen Daniel Melin kiteytti eurooppalaisen tilanteen osuvasti: “We have outsourced our core to other states.”
Jaanaliisa Kuopan mielestä Melinin ehdotus oli konferenssin käytännöllisin:
“Hänen ratkaisunsa oli yksinkertainen – julkisen sektorin pitäisi ostaa enemmän eurooppalaisia järjestelmiä. Se tarkoittaa hankintalainsäädännön muuttamista eurooppalaisia vaihtoehtoja suosivaksi.”
Konferenssissa puhuttiin myös Draghi-raportista ja sen pohjalta valmistelluista GDPR:n kevennyksistä, kuten työntekijärajan nostamisesta 250:stä 750:een.
Jaanaliisa Kuoppa kommentoi ehdotusta suorasanaisesti:
“Suomalaisittain tuo nosto on rapsakka. 250 työntekijän raja on perusteltu – jo 200 hengen yritys käsittelee valtavan määrän henkilöstö- ja asiakastietoa.”
Juha Sallinen näki muutoksessa kosmeettisia piirteitä:
“Jos isommilla yrityksillä on järkeä, ne vaativat alihankkijoiltaan tietosuojan perustason joka tapauksessa. Muutos ei poista vastuuta.”
Paneeleissa pohdittiin laajemminkin, tukahduttaako Eurooppa itseään regulaatiolla vai syntyykö siitä “Bryssel-efekti”, joka pakottaa globaalit toimijat noudattamaan EU:n standardeja. Tämä kehitys on jo nähtävissä esimerkiksi Intiassa, jonka tietosuojalaki pohjautuu pitkälti GDPR:ään.
Anna Berlee nosti esiin esimerkkejä teknologioista, joissa yksityisyys oli sivuseikka:
Nämä tapaukset muistuttavat, miksi yksityisyys on tärkeää jo teknologian suunnitteluvaiheessa.
Juha Sallinen osallistui paneelikeskusteluun, jossa käsiteltiin ruotsalaista Sport Admin -tietovuotoa. Kyseessä oli nuorten ja huoltajien tietojen käsittely – ja esimerkki siitä, mitä tapahtuu, kun tietosuojaa ja tietoturvaa ei pidetä riittävällä tasolla.
Salliselta on tulossa aiheesta erillinen blogikirjoitus myöhemmin.
Suomalaisia osallistujia oli tänäkin vuonna melko vähän. Silti osallistumista voi suositella lämpimästi.
Jaanaliisa Kuoppa kiteytti syyn:
“Kyllä kannattaa! GDPR ei ole kantasuomalainen. Eurooppalaisten asiantuntijoiden tapaaminen kasvotusten oli todella avartavaa. Ja meidän suomalaisten pitäisi ehkä alkaa käsittää, että tuo Ruotsi tuossa on oikeasti hyvä naapuri.”
Tapahtuma osoitti jälleen kerran, kuinka nopeasti yksityisyyden ja tietosuojan kenttä muuttuu – ja miksi Pohjoismainen yhteistyö on tällä alueella tärkeämpää kuin koskaan.
Ota meihin yhteyttä – jatketaan keskustelua ja sparrataan yhdessä, miten organisaatiosi voi kehittää tietosuojaa ja tietoturvaa laadukkaasti ja käytännönläheisesti.
Blogista löydät ajankohtaista tietoa, kiinnostavia artikkeleita sekä paljon yksityiskohtaista infoa liittyen tietosuojaan.
Haastattelimme noin 50 hengen asiantuntijaorganisaation tietohallinnosta vastaavaa johtajaa, joka jakoi kokemuksiaan henkilöstön tietosuoja- ja tietoturvakoulutuksista sekä niiden vaikutuksista arkeen. Tietosuojan
Tietosuoja ei ole pelkkää juridiikkaa. Kun organisaatiot digitalisoituvat ja henkilötietojen käsittely siirtyy yhä monimutkaisempiin järjestelmiin ja järjestelmäkokonaisuuksiin, teknisen osaamisen merkitys
Tietosuojatutkimuksen taustatiedot 2021 – 2024 Tietosuojaan liittyvä kyselytutkimus on toteutettu vuodesta 2021 lähtien. Vastauksia kyselyyn on pyydetty sähköpostin sekä sosiaalisen
