Juha kirjoitti Marraskuun blogissaan suunnittelun ja valvonnan merkityksestä tietosuojan tason takaajina – tärkeitä asioita molemmat. Hyvin suunniteltu tarkoittaa, että palveluita ja järjestelmiä on myös helppo käyttää. Ylivoimaisesti suurin osa yritysten ja yhteisöjen työntekijöistä ei GDPR:stä juurikaan tiedä tai välitä: tämä on ihan normaalia eikö fanaattisinkaan tietoturvapiällikkö tai tietosuojavastaava voi enempää toivoa.
Juuri siksi suunnitteluvaiheessa on tärkeätä pohtia, miten GDPR:n vaatimukset organisaation sisäisesti kommunikoidaan, koulutetaan ja toteutetaan.
Kommunikointi olisi hyvä aloittaa jo hankkeen siinä vaiheessa, jossa tiedetään mitä ja minkälaista dataa säilötään ja käytetään, eli juuri kun datan tila ja tarve on kartoitettu. Valitettavan usein viestintä jää pariin sähköpostiin, joissa voivotellaan kiusaa, jonka lainsäätäjä on meille yksipuolisella ilmoituksella antanut ja jota nyt vaan on pakko noudattaa. Ohjeistuksessa kerrotaan sitten muutamalla ranskalaisella viivalla vain se mitä ei saa tehdä.
Mielestäni tässä vaiheessa on riski tehdä ensimmäinen virhe, ja aika kallis sellainen. Pakko on huono motivaattori: jos henkilökunnalle edes pääpiirteittäin selitetään, mistä on kyse ja miten väärinkäytökset voivat vaikuttaa liiketoimintaan, ihmismielen on vaivattomampaa omaksua asia ja motivoitua tietosuojatyöhön. GDPR on hankalasti tulkittavaa lakitekstiä ilman suoranaisia ohjeita siitä, miten asiat pitää hoitaa. Silti siitä voidaan tunnistaa tarpeellisia käytännön toimia, jotka voidaan organisaatiossa myös suunnitella käytettävyydeltään vaivattomiksi.
Henkilökunnalle suunnattu koulutus pitäisi aina muokata asiakkaan tarpeita ja tilannetta vastaavaksi eikä oikoa mutkia ja kopioida suoraan mitä on aikaisemmin tehty. Tällöin otetaan huomioon perustelut tietosuojatyölle, jolloin henkilökunnan on helpompi ymmärtää ja hyväksyä sille asetetut vaatimukset. Tietosuoja on toki yrityksen vastuulla, mutta töppäily omassa työssä yleensä tekee hallaa urakehitykselle tai voi jopa olla sen loppu. Tietämättömyys ei ole enää käyttökelpoinen peruste.
Käytettävyys valitettavan usein jää kauniiden esitysten ja kaavioiden tasolle, joita laadittaessa henkilökunnan kokemuksia ja osaamista ei kuunnella. Kuka tietää paremmin kuin henkilökunta miten yrityksessä hoidetaan asiat? Palvelumuotoilun oma perisynti taas on testauksen puute jo suunnitteluvaiheessa; käytännössä prosessit usein kopioidaan eivätkä välttämättä sovi kyseisiin tarpeisiin.
Summa summarum: yhteistyössä asiantuntijan kanssa suunniteltu ja toteutettu GDPR- tai tiedonkartoitusprojekti onnistuu aina paremmin kuin googlettamalla kasattu lista toimenpiteistä, joiden tulkitseminen ja toteuttaminen loppukädessä jää suurelta osin henkilökunnan tehtäväksi. Pahimmassa tapauksessa, jäävät osittain tekemättä.
Meillä GDPR Tech:ssä on osaajia myös kommunikaation, koulutuksen ja palveluiden käytettävyyden suunnittelussa. Kohtuullinen lisäpanostus muutoksen jalkauttamiseen maksaa kyllä itsensä takaisin, kun projektin tuloksia arvioidaan jälkeenpäin.
Pelkkä päiväkäsky toimia niin tai näin jää todennäköisesti otsikkotason suoritukseksi eikä turvallista henkilötietojen käsittelyä saada osaksi yrityksen tai yhteisön toimintakulttuuria.
Kirjoittaja on yritystietoturvan moniottelija joka viimeaikoina on hurahtanut palvelumuotoilun koukeroihin ja kokenut valaistumisen käytettävyydestä olennaisena osana kokonaisuutta.