Kun Iso-Britannia otti käyttöön Tietojen käyttöä ja saatavuutta koskeva laki (DUAA), suuri osa alkuaikojen kommenteista keskittyi sen mukanaan tuomaan eroavaisuuteen. Oliko kyseessä Yhdistyneen kuningaskunnan tietosuojajärjestelmän pehmentäminen? Tarkoituksellinen poikkeama Brysselistä? Kasvua edistävä uudelleenkalibrointi? Mutta kaikki tämä rajaaminen jättää huomiotta merkityksellisemmän muutoksen. 

DUAA ei vesitä vastuuta. Se jakaa sitä uudelleen muuttamalla ohjailevan tulkinnan selkeästi osoitettavaksi hallinnoksi. Tarkentamalla tunnustettuja oikeutettuja etuja, kalibroimalla uudelleen rekisteröidyn tiedonsaantioikeuksia, mukauttamalla automatisoitua päätöksentekoa koskevia säännöksiä ja vahvistamalla PECR:n mukaista täytäntöönpanoa laki vähentää jäykkyyttä tietyillä aloilla ja samalla lisää odotusta siitä, että organisaatiot pystyvät perustelemaan harkintavaltansa käytön. 

Yksi asia, joka on täysin selvä, on se, että sääntelytaakka ei ole kadonnut. Itse asiassa siitä on tullut rakenteellisempi. Organisaatiot, jotka selviävät DUAA:sta menestyksekkäästi, eivät ole niitä, jotka päivittävät käytäntöjä nopeimmin. Ne, jotka pystyvät osoittamaan, miten päätöksiä tehdään, tarkistetaan ja parannetaan ajan myötä, ja tekevät sen johdonmukaisesti. 

Suhteellisuus DUAA:n mukaan ei ole lieventämistä, vaan kurinpitoa 

Yksi DUAA:n keskeisistä teemoista on suhteellisuus. Se tarkoittaa, että tunnustettuihin oikeutettuihin etuihin voidaan vedota ilman täydellistä tasapainotestiä määritellyissä tilanteissa. Rekisteröidyn tiedonsaantipyynnöt voidaan evätä tai niitä voidaan käsitellä, jos ne ovat "haittatarkoituksellisia tai liiallisia". Ja automaattisen päätöksenteon sääntöjä on tarkennettu. 

Mutta oikeasuhteisuus ei tarkoita riman madaltamista. Esimerkiksi jos organisaatio vetoaa tunnustettuihin oikeutettuihin etuihin, sääntelyviranomainen odottaa silti näkevänsä: 

  • Käsittelytarkoituksen selkeä tunnistaminen 
  • Riskianalyysi, joka heijastaa yksilöihin kohdistuvia vaikutuksia 
  • Suojatoimien huomioon ottaminen 
  • Päätöksenteon dokumentointi 
  • Todisteet johdonmukaisesta soveltamisesta 

Vastaavasti rekisteröidyn tiedonsaantipyyntöjen (DSAR) käsittelyä koskevat uudistukset eivät luo harkintavaltaa yksinään. Ne edellyttävät jäsenneltyjä kriteerejä liiallisuuden arvioimiseksi, määriteltyjä eskalointireittejä ja dokumentoituja perusteluja. Käytännössä tämä siirtää vaatimustenmukaisuuden taakan pois kaavamaisista testeistä kohti osoitettavissa olevaa hallinnollista kypsyyttä. 

Mielestäni on myös syytä mainita, että ICO:n viimeaikainen valvontakehitys on jo heijastanut tätä muutosta. Tutkimuksissa tarkastellaan yhä useammin systeemisiä valvontapuutteita, riittämätöntä valvontaa ja riittämätöntä dokumentaatiota sen sijaan, että pelkästään sitä, onko tiettyä lauseketta teknisesti rikottu. Tässä mielessä DUAA kiihdyttää tätä painopisteen muutosta. 

Laki paljastaa pirstaloitunutta hallintoa 

Perustasolla DUAA kattaa tietoturvan, yksityisyydensuojatoiminnot, markkinoinnin vaatimustenmukaisuuden, tekoälyn hallinnan ja kansainvälisen tiedonsiirron toiminnot. 

Monissa organisaatioissa nämä osa-alueet pysyvät rakenteellisesti erillään. 

Tietoturva voi toimia teknisen riskikehyksen alaisuudessa. Tietosuoja voi olla käytäntövetoista ja lakikeskeistä. Markkinointi voi olla kaupallisesti ohjattua. Tekoälyn käyttöönotto voi tapahtua innovaatio- tai tuotetiimeissä. Toimittajien hallinto voi olla hankintavetoista. DUAA ei kunnioita näitä sisäisiä rajoja. 

Esimerkiksi Yhdysvalloissa sijaitsevan prosessorin kautta käyttöön otettu tekoälypohjainen markkinointityökalu voi samanaikaisesti käyttää seuraavia toimintoja: 

  • Käsittelyvelvoitteiden turvallisuus 
  • Oikeudelliset perusteet arvioinneille 
  • Automatisoidun päätöksenteon suojatoimet 
  • PECR-markkinointisäännöt 
  • Kansainvälisten siirtojen riskienhallinta 

Jos kutakin elementtiä hallinnoidaan eri tavoin ja dokumentointi on epäjohdonmukaista, organisaation kyky puolustaa päätöksentekoa heikkenee. On syytä selventää, että laki ei nimenomaisesti määrää integraatiota. Mutta sen käytännön vaikutus tekee pirstaloitunutta hallintoa vaikeammaksi ylläpitää. Siksi useimmille on selvää, että tässä ympäristössä johtamisjärjestelmillä on merkitystä. 

Miksi kansainvälisistä standardeista tulee strategisia kotimaisissa uudistuksissa 

Vaikka DUAA muuttaa pelkästään Yhdistyneen kuningaskunnan GDPR:ää ja PECR:ää, Yhdistyneen kuningaskunnan yritykset ovat edelleen alttiita EU:n GDPR:lle, alakohtaiselle sääntelylle ja uudelle tekoälylainsäädännölle käydessään kansainvälistä kauppaa. 

Tässä yhteydessä kansainvälisillä standardeilla on kaksi kriittistä tehtävää: 

  1. Ne luovat yhteisen hallintokielen laki-, teknisten ja johtoryhmien välille. 
  1. Ne tarjoavat auditoitavan vastineen strukturoidulle riskienhallinnalle, kun lakisääteisiä yksityiskohtia ei ole määrätty. 

Joten on varmasti järkevää, että vaikka integroitu soveltaminen ISO 27001, ISO 27701 ja ISO 42001 ei korvaa sääntelyn noudattamista, vaan se toteuttaa sen käytännössä. 

Siinä missä DUAA edellyttää oikeasuhteista riskinarviointia, nämä standardit määrittelevät, miten riski tunnistetaan, arvioidaan, käsitellään ja tarkistetaan. Kun laki vahvistaa täytäntöönpanoa, ne sisältävät tarkastettavuuden ja korjaavat toimenpiteet. Yhdessä ne siirtävät hallintoa reaktiivisesta tulkinnasta strukturoituun, ennakoivaan valvontaan. 

ISO 27001: Vastuullisuuden muuttaminen konkreettiseksi 

Tietoturvastandardi ISO 27001 tarjoaa viitekehyksen selkeyden saavuttamiseksi. Se edellyttää organisaatioilta tietoturvallisuuden hallintajärjestelmän rakentamista seuraavien periaatteiden ympärille: 

  • Kontekstin ymmärtäminen ja soveltamisalan asianmukainen määrittely 
  • Muodollinen, puolustettava riskinarviointimenetelmä 
  • Selkeä riskienhallinnan suunnittelu 
  • Dokumentoidut valvontapäätökset 
  • Sisäinen tarkastus ja johdon arviointi 
  • Jatkuva parantaminen 

Paperilla se kuulostaa prosessuaaliselta. Käytännössä se vastaa paljon epämukavampaan kysymykseen: kuka kantaa riskin ja mistä tiedämme sen? 

Ja DUAA:n aikana tämä kysymys terävöityy. 

Käsittelyn turvallisuus 

Vaatimus "asianmukaisten teknisten ja organisatoristen toimenpiteiden" toteuttamisesta ei ole kadonnut. Mutta "asianmukainen" ei voi tarkoittaa "sitä, mikä tuntui kohtuulliselta tuolloin". 

ISO 27001 -standardi edellyttää organisaatioilta, että ne määrittelevät, mikä on heidän liiketoiminnalleen sopivaa, dokumentoidun riskianalyysin perusteella, ei subjektiivisen arvioinnin tai aiempien tapojen perusteella. 

Tapahtumiin reagointi ja tietomurtojen hallinta 

Sääntelyviranomaiset eivät enää keskity pelkästään siihen, tapahtuiko tietomurto. He tarkastelevat, kuinka hyvin organisaatio oli valmistautunut. 

  • Testattiinko vastausta? 
  • Oliko se dokumentoitu? 
  • Ymmärsikö johto oman roolinsa? 

Strukturoitu ja harjoiteltu tapauskohtainen prosessi osoittaa hallintaa. Improvisoitu prosessi osoittaa altistumista. 

Valvonta ja tarkastettavuus 

Vahvempien PECR-valvontavaltuuksien ja kehittyvän valvonnan myötä hallinnon on oltava näkyvää. Säännölliset sisäiset tarkastukset ja johdon arvioinnit osoittavat, että vaatimustenmukaisuus ei ole staattista. Sitä seurataan ja kyseenalaistetaan aktiivisesti. Tällä on merkitystä, kun sääntelyviranomaiset päättävät, heijastaako ongelma huonoa onnea vai heikkoa valvontaa. 

Ja tässä ISO 27001 menee toiminnallisen hygienian ulkopuolelle. 

Se sisältää johtajuuden vastuullisuuden. DUAA:n mukaan hallinnon puutteita ei käsitellä teknisinä laiminlyönteinä, vaan niitä pidetään organisatorisina puutteina. 

ISO 27701: Tietosuojauudistuksen toteuttaminen 

Jos ISO 27001 luo rakenteellista vastuuvelvollisuutta, ISO 27701 siirtää yksityisyyden jokapäiväiseen käytäntöön. Se laajentaa tietoturvallisuuden hallintajärjestelmän yksityisyyden tiedonhallintajärjestelmäksi, yhdenmukaistaen yksityisyyden suojaa koskevat velvoitteet saman riski-, dokumentointi- ja valvontarakenteen kanssa. Tämä yhdenmukaisuus on ratkaisevan tärkeää DUAA-uudistuksen yhteydessä. 

Tunnustetut oikeutetut edut 

Vaikka virallista tasapainotestiä ei vaadittaisikaan, organisaatioiden on silti osoitettava, että ne ovat harkinneet huolellisesti tarkoitusta, oikeasuhteisuutta ja suojatoimia. 

ISO 27701 -standardi virallistaa laillisten perusteiden tunnistamisen, kirjaamisen ja tarkistamisen. Se poistaa epäselvyyksiä päätöksistä, jotka muuten voitaisiin tehdä epävirallisesti. 

DSAR-uudistus 

Tietopyyntöjen moderointi tai hylkääminen vaatii harkintaa, ja harkintakyky vaatii suojakaiteita. 

ISO 27701 -standardi määrittelee menettelytavat, eskalointipolut ja dokumentointivaatimukset. Tämä muuttaa harkintavallan puolustettavaksi prosessiksi. 

Kansainväliset siirrot 

Siirtoriskien arvioinnit, käsittelijän valvonta ja sopimustekniset suojatoimet eivät riitä pelkästään oikeudelliseen puoleen. 

ISO 27701 -standardi integroi ne toimittajien hallintoon ja operatiivisiin työnkulkuihin, mikä vähentää laki-, hankinta- ja turvallisuustiimien välistä pirstaloitumista. 

Avoimuus ja vastuullisuus 

Tietosuojailmoitukset ja käsittelyselosteet eivät ole kertaluonteisia päivityksiä. Niistä tulee osa elinkeinoelämän hallintajärjestelmää. 

Käytännössä ISO 27701 -standardi sisältää kurinalaisuuden, jota tarvitaan DUAA-joustavuuden vastuulliseen käyttöön ajautumatta epäjohdonmukaisuuteen. 

ISO 42001: Tekoälyn hallinta käsittelemättä sitä kokeiluna 

Kuten aiemmin lyhyesti mainitsin, DUAA päivittää myös automatisoitua päätöksentekoa koskevia sääntöjä. Joissakin yhteyksissä se lisää joustavuutta. Mutta joustavuus ilman valvontaa harvoin päättyy hyvin. ISO 42001 esittelee tekoälynhallintajärjestelmän, joka perustuu: 

  • Tekoälykohtaiset riskinarvioinnit integroituna yritysriskiin 
  • Määritelty ihmisen valvonta 
  • Järjestelmän tarkoituksen, datasyötteiden ja päätöksentekologiikan selkeä dokumentointi 
  • Läpinäkyvyyden hallinta 
  • Jatkuva seuranta ja parantaminen 

Tekoälyn laajentuessa eri sektoreille sääntelyviranomaiset eivät kysy vain, toimivatko järjestelmät teknisesti. He kysyvät, pystyvätkö organisaatiot osoittamaan merkityksellistä valvontaa. ISO 42001 vastaa tähän kysymykseen upottamalla tekoälyn hallinnan olemassa oleviin tietoturva- ja yksityisyysjärjestelmiin sen sijaan, että sitä käsiteltäisiin innovaatiosivuprojektina. 

Integroitu etu: Yksi riskimalli, yksi näyttöpohja 

Silmukan strateginen voima piilee integraatiossa. Yhdessä ISO 27001, 27701 ja 42001 luovat: 

  • Yhtenäinen riskinarviointimenetelmä tietoturvan, yksityisyyden ja tekoälyn aloilla 
  • Yhdenmukaiset dokumentointistandardit 
  • Jaettu johtajuusvalvonta 
  • Yhdistetty sisäisen tarkastuksen sykli 
  • Yhtenäinen korjaavien toimenpiteiden kehys 

Tällä on merkitystä, koska DUAA ei tuo esiin erillisiä velvoitteita. Se tuo harkintavaltaa näillä toisiinsa liittyvillä aloilla. 

Integroitu johtamisjärjestelmä vähentää päällekkäisyyksiä, estää epäjohdonmukaista päätöksentekoa ja varmistaa, että suhteellisuutta sovelletaan strukturoidun analyysin avulla epävirallisen harkinnan sijaan. Organisaatioille se tarkoittaa sitä, että kun sääntelyviranomaiset pyytävät todisteita, ja ne yhä useammin tekevät niin, tätä kiertoa käyttävät yritykset voivat tarjota hyvin dokumentoituja riskinarviointeja, käsittelypäätöksiä, valvontatietoja ja tarkastelujen tuloksia johdonmukaisessa muodossa. Ja se on usein ero valvonnan ja seuraamusten välillä. 

Vaatimustenmukaisuudesta organisaation selviytymiskykyyn 

DUAA ei ole viimeinen uudistus Yhdistyneen kuningaskunnan tietosuojalainsäädännössä. Ohjeistus kehittyy. Valvonnan käytäntö kypsyy. Tekoälyn valvonta tehostuu. Rajat ylittävät monimutkaisuudet jatkuvat. Organisaatiot, jotka käsittelevät jokaista kehitystä erillisenä oikeudellisena muutoksena, kärsivät jatkossakin toistuvista toiminnallisista häiriöistä. 

Integroituja johtamisjärjestelmiä käyttävät omaksuvat muutokset vähitellen. Riskirekistereitä päivitetään. Kontrollit tarkastetaan. Valvonta kalibroidaan uudelleen. Todisteet säilytetään. Ero on rakenteellinen. 

DUAA viestii sääntely-ympäristöstä, jota määrittelevät vähemmän määräykset ja enemmän kurinalaiseen harkintaan liittyvät odotukset. Tällaisessa ympäristössä hallinnon kypsyydestä tulee kilpailuetu. ISO 27001-, 27701- ja 42001 -standardien mukaiset järjestelmät eivät yksinkertaista sääntelyä. Ne tekevät siitä hallittavan. 

Laajenna tietosi

Blogi: Why Regulators and Investors Expect Companies to Address a Triple Risk

Blogi: Lakien noudattamisen aikakausi: Miten sääntely, teknologia ja riskit kirjoittavat uudelleen liiketoiminnan normeja

Webseminaari: ISO 27001 & ISO 27701 in Practice: Inside our Surveillance Audit