-osioon:
Tietoturva, Opsec Oy

Ethän epähuomiossa suututa asiakkaitasi – informoinnin käyttäjäkeskeisyys on nykypäivää

Kerrostettu tiedottaminen (granuloiva informointi) on käyttäjille näkyvimpiä osia tietosuojan ja tietoturvan toteuttamisessa. Lainsääntökehikon mukaan käyttäjän tulee olla tietoinen koko prosessin ajan eri vaiheissa tapahtuvasta käsittelystä. Autokauppavertauksella yksinkertaistaen: ostajaa ei pakoteta ostamaan autoa pelkkien kuvien ja teknisten tietojen perusteella, vaan ostajan annetaan nähdä konepellin alle, tutkia huoltokirja, potkia renkaita ja käydä koeajolla.

Käyttäjäsuunnittelun tutkimuksen datan pohjalta tietousojan toteutumista ja tietojärjestelmien navigointia suunnittelevat ammattilaiset tietävät, millaisia valikoita, painikkeita ja tekstikappaleita käyttäjät ymmärtävät. Tuomalla yhteen tekniset suunnittelijat ja tietosuojaihmiset, saadaan aikaan viestintää, joka ei ole vain lainmukaista, vaan myös helppokäyttöistä, ymmärrettävää ja tehokasta. Käyttäjälle kerrostettu tiedottaminen on tietosuojatyön tehokkuutta ja vaikuttavuutta lisäävä poikkitieteellinen ratkaisu, jossa noudatetaan juridiikassa merkittäväksi nousseen oikeudellisen muotoilun (legal design) periaatteita.

Käytännössä kerrostettua tiedottamista toteutetaan käsittelyprosessien pilkkomisella käsittelyvaiheiksi. Tämä nopeuttaa myös muuta tietosuojatyötä ja auttaa organisaation tietohallintoa hahmottamaan ja päivittämään tietoarkkitehtuurin tilanteen selkeästi.

Tietosuoja-asetuksen kolmesta pääperiaatteesta kerrostuu tiedottaminen toteuttaa kaikkia – se tukee lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä lainsäädännön henkeä noudattaen. Yksiselitteisyys on ehdoton vaatimus, jolloin kaikenlaisista ympäripyöreyksistä tulee luopua. Yksinkertaisimmillaan muotoilussa olisi hyvä pitää lause- ja kappalerakenteet lyhyinä ja selkeinä. Suoria vaatimuksia asetetaan myös muussa lainsäädännössä, kuten kuluttajapuolella direktiivissä 93/13/ETY kuluttajasopimusten kohtuuttomista ehdoista.

Merkittävässä osassa tietosuojasopimuksia sitoudutaan noudattamaan myös virallisia suosituksia tarkoittaen oman viranomaisemme lisäksi Euroopan tietosuojaneuvoston suosituksia. Pelkkä juridisten vaatimusten muodollinen noudattaminen harvoin riittää. Tarkoituksella epäselviä selosteita ja sopimuksia käyttävät tahot laiminlyövät ns. sidosryhmäajattelun.

Jokainen tietosuoja- ja tietoturvakohu muuttaa maailmaa ja niiden ajankohtaa ei voi ennustaa. Median edustajat, sosiaalisen median vaikuttajat ja muut sidosryhmät oppivat jokaisesta kohusta. Maailma menee eteenpäin. Tietosuojan ja tietoturvan kohdalla näitä asioita ei valtaosassa organisaatioita välttämättä kehitetä edes vuosittain, minkä vuoksi organisaatio saattaa puolivahingossa alkaa vaikuttaa dinosaurukselta – pahimmillaan kansainvälisten digijättien kaltaiselta hirmuliskolta.

Joku voisi sanoa, että nämä haasteet eivät koske vähemmän tunnettuja organisaatiota. On kuitenkin nähtävissä tietosuoja- ja tietoturva-asioiden korostumista kotimaan uutisissa yhä tiheämmin ja yhä pienempiä organisaatioita koskien. Uutisilla on organisaatioiden johdon harmiksi tapana päätyä hakukonehakujen etusivulle, mikä murentaa organisaation (ja uutisessa todennäköisesti esiintyvän johtajan) luotettavuutta.