Mikä pitää tietosuojavastaavan hereillä öisin – eli mitä puhuttiin IAPP:n konferenssissa?

IMG_0979 IAPP peitettyMikä voisi olla ajankohtaisempi asia kuin eurooppalainen tietosuojakonferenssi? Ei ehkä mikään – ellei sitten lontoolainen tietosuojakonferenssi, jossa osallistujien huolenaiheena myös Brexit. Kansainvälisen tietosuoja-asiantuntijoiden järjestön IAPP:n konferenssi Lontoossa myytiin loppuun jo kauan sitten.

Mitä konferenssissa oli pinnalla? Mikä eurooppalaisia tietosuoja-asiantuntijoita valvottaa öisin (niin kuin yhden seminaarin teema oli)?

Päällimmäisenä mielessä tietenkin tietosuoja-asetukseen valmistautuminen, johon kaikki kaipaavat käytännön vinkkejä: miten käytännössä kartoittaa datan käyttö ja käyttö ja tietojärjestelmät? Milloin ja miten tehdä vaikutusten arviointi? Ketkä organisaatiossa hoitavat compliance-projekteja? Miten toimia tietojenkäsittelijöiden suhteen? Selkeitä vastauksia on vähän, mutta paljon erilaisia omaksuttuja käytäntöjä ja linjauksia.

Oppi näistä käytännöistä ja linjauksista onkin varmasti arvokkainta hiljaista tietoa mitä konferenssista jäi käteen. Tätä tietoa ei löydy vielä kirjoista eikä edes ajankohtaisjulkaisuista.

Kaikki odottavat tietosuoja-asetusta koskevaa viranomaisohjeistusta. Viranomaiset ovat kuitenkin varovaisia sitä antamaan, kun pyrkivät varmistamaan yhteiseurooppalaisen linjan. Siksi kehottavat odottamaan Article 29 tietosuojaryhmän linjauksia.

Tietojenkäsittelijöiden ja erityisesti pilvipalveluiden suhteen moni on ihmeissään. Mitä organisaation tulee tehdä täyttääkseen tietosuoja-asetuksen vaatimukset? Voiko Googlea pyytää täyttämään tietosuojaa koskeva kyselylomake? Miten arvioida pilvipalveluiden tietosuojaa? Google itse vakuutti, että heidän toimintatapansa ja ehtonsa tulevat olemaan GDPR:n kestävät, mutta vielä ei ole valmista.

Tietojenkäsittelijöiden vastuu tietosuojaan liittyvistä vahingoista ja kuluista aiheutti paljon keskustelua. Markkinakäytäntöön ei ole muodostunut toimivaa linjaa. Asiakkaat haluavat, että tietosuojaa koskevat vahingot korvataan ilman vastuurajaa, ja tietojenkäsittelijät eivät halua tätä hyväksyä. Lopputuloksena on usein epämääräinen kompromissi. Käytännössä tietojenkäsittelijä ei yleensä ole sopimuksellisesti vastuussa kaikista rekisterinpitäjälle aiheutuvista tietosuojaa koskevista vahingoista. Tämä on merkityksellistä erityisesti silloin kun on kyse henkilötietojen tietoturvaloukkauksista.

Tämä johtaa luontevasti cyberturvavakuutuksiin: jos vastuuta ei voi sopimuksellisesti kattaa, on syytä harkita vakuutusta. Moni tätä selvästi harkitsee. Nähtäväksi jää, onko cyberturvavakuutukset  hetkellinen muoti-ilmiö, vai pysyvämpi ilmiö. Oma veikkaukseni on, että cyberturvavakuutukset ovat tulleet jäädäkseen ja tulevat yleistymään. Mitään merkkejä ei ole siitä, että tietoturvaloukkaukset olisivat tulevaisuudessa paremmin hallittavissa – päinvastoin. Odotettavissa on, että tietoturvaan liittyvät riskit tulevat jatkossa olemaan yksi merkittävimmistä liiketoimintaan kohdistuvista riskeistä. Ja riskejä hallitaan vakuutuksilla.

Konferenssissa näytti vallitsevan yleinen konsensus siitä, että tietosuoja-asetus ei tule johtamaan täydelliseen harmonisaatioon EU:ssa, vaan kansallisia eroja tullaan näkemään. Ei välttämättä isoissa periaatteellisissa kysymyksissä, vaan käytännön soveltamisessa.

Mielenkiintoista oli myös todeta Iso-Britannian toimijoiden erityisen epävarma tilanne: ensi vuoden alusta astuu voimaan tietosuoja-asetus. Ja nurkan takana on Brexit, jonka vaikutuksia on mahdotonta ennakoida. Britanniassa on iso huoli siitä, että datan liikkeet tulevat osaksi kauppapolitiikkaa ja EU kiristää Brexit-neuvotteluissa Britanniaa sulkemisella datan vapaan liikkuvuuden ulkopuolelle. Se olisi Iso-Britannialle todella vaikea paikka. Kuka olisi vielä muutama vuosi sitten uskonut, että tietosuoja voisi olla näin isosti kauppapoliittisella agendalla? En ainakaan minä.