Oletusarvoinen tietosuoja datahub-projektissa

Pinja Kimari

Aloitin Datahub organisaatiossa elokuun 2018 puolivälissä tietosuoja asiantuntijana. Ennestään itselleni vieras toimiala sekä juuri käynnistyvä toteutusprojekti sekä vielä valmisteilla olevan laki antoivat mielenkiintoiset lähtökohdat tietosuojatyölle. Ensimmäinen kuukausi tarkoitti perehtymistä sähkön vähittäismarkkinaprosesseihin sekä toimitusprojektille asetettuihin vaatimuksiin. Hiljalleen tietoisuuteen nousi myös toimialan kanssa tehtävä vahva yhteistyö ja sitä kautta käyttöönottosuunnitteluun ja ohjeistukseen osallistuminen.

Jotta voidaan ohjata sekä datahub-projektin, että toimittajan toimintaa tietosuojan henkeä noudattaen, on datahubille muotoiltu Tietosuoja-asetuksen mukaiset periaatteet. Lisäksi uusi sähkömarkkinalaki sanelee datahubin velvollisuudet ja oikeusperusteet tietojen käsittelyä varten. Näistä syntyy pohja, jonka päälle projektin tietosuojaa on lähdetty rakentamaan.

Kuten tiedetään, tietosuoja rakentuu teknisistä ja organisatorisista suojakeinoista. Projektissa tekninen on hyvin pitkälti yhtä kuin tuote, jossa datahub tulee pyörimään. Organisatoriset asiat taas ovat sähkön vähittäismarkkinaprosessit. Prosesseja on suunniteltu yhdessä toimialan kanssa ja nyt niitä käydään läpi yhdessä toimittajan kanssa. Läpikäynneissä pysähdytään myös pohtimaan, miten tietosuojavaatimukset toteutuvat suunnitelluissa prosesseissa ja tätä kautta onkin tunnistettu tarpeita tarkennuksille ja lisäselvityksille. Koska datahub tulee kokoamaan yhteen sähkön vähittäismarkkinoiden toimijoiden asiakastietoja ja tiedonvaihtoa ohjataan datahubin kautta, on luonnollista, että prosessien kautta toteutetaan suurin osa tietosuojaan liittyvistä vaatimuksista. Näin ollen toimijoilla itsellään tulee olemaan merkittävä rooli datahubin tietosuojan toteutumisessa.

Meillä on sillä lailla etulyöntiasema tietosuojan oletusarvoisessa huomioimisessa, että toimittaja rakentaa parhaillaan tuota tuotetta, jonka päällä datahub tulee toimimaan. Tietoturvaan ja tietosuojaan liittyvät vaatimukset datahubin ja lainsäädännön puolesta saadaan siis huomioitua jo tuotteen kehitysvaiheessa, ja siten esim. monesti vaikeasti toteutettava vaatimus tietojen poistamisesta tulee tuotteessa valmiiksi tuettuna. Toimittaja on myös työskentelytavoissaan tuotekehityksessä ja tuessa huomioinut pääsyn rajaukset tietoon. Lähtökohtaisesti heillä ei tule missään tilanteessa olemaan pääsyä oikeaan henkilötietoon, missään vaiheessa tiedon taikka tuotteen elinkaarta.

Kävimme tammikuun lopulla Hollannissa tapaamassa tuotetiimiä saaden esittelyt tuotteen eri komponenttien toiminnasta. Omalta osaltani vakuutuin käyttäjien tunnistamisesta ja oikeuksien varmentamisesta eri prosessien käynnistämiseen ja tietojen katseluun. Täytyy toki muistaa, että vaikka tuote itsessään tarjoaa hyvät työkalut, hallita pääsyä tietoihin, tulee myös markkinaosapuolilla olemaan iso rooli käyttöoikeuksien hallinnassa. Hyvältä näyttää.

Näiden kahden melko ilmeisen asian lisäksi käydään projektissa keskustelua testauksesta, konversiosta ja käyttöönotosta. Projektitiimiä muistutellaan säännöllisesti tietosuojan tärkeydestä sekä kasvotusten työpajoissa, että viestilapuin kohtaamispaikoilla. Taustalla on meneillään myös täysin datahubin sisäisiä tietosuojaan liittyviä tehtäviä, kuten riskien ja vaikutusten arviointia sekä varautumissuunnittelua. Oma lukunsa on myös tietosuojaloukkausprosessien sekä rekisteröidyn oikeuksien prosessien suunnittelu, mutta jätetään nämä teemat omaan blogiinsa. Vaikka vanhan sanonnan mukaan useampi kokki ei saa aikaan hyvää soppaa, niin tietosuojaa on hyvä pohtia yhdessä ja monelta kantilta, muutoin saattaa jokin oleellinen asia jäädä huomaamatta. Olkaa siis yhteydessä jos voin osallistua pohdintaan tietosuojaan liittyen.