Organisaation tietosuojadokumentaation ylläpito on käytännössä jatkuvaa tiedonkeruuta. Joku pitää haastatella. Jotain pitää muistuttaa. Joku asia pitää kysyä uudelleen, koska vastaus oli liian epämääräinen tai järjestelmä on muuttunut viime päivityksen jälkeen. Seloste käsittelytoimista vanhenee. DPIA:t odottavat käynnistystä. Uudet järjestelmät otetaan käyttöön ilman, että kukaan on ehtinyt arvioida niitä kunnolla. Ei siksi, että organisaatiossa ei välitettäisi, vaan siksi, että pohjatyö on hidasta, ja tietosuojavastaavien aika ei riitä kaikkeen.

Kaio on rakennettu juuri tähän kohtaan.

Tekoäly haastattelee. Tietosuojavastaava arvioi.

Kaion ideana on, että tekoäly voi ottaa hoitaakseen sen osan tietosuojatyöstä, joka vaatii teknistä osaamista, mutta ei normatiivista harkintaa. Henkilötietojen käsittelytoimet monimutkaistuvat digitaalisten ratkaisujen, pilvipalveluiden ja tekoälyn myötä, jolloin käsittelytoimien dokumentointi ja oikeiden kysymysten esittäminen vie suhteettoman suuren osan ajasta. Kaio haastattelee organisaation henkilöstöä strukturoidusti. Se kysyy oikeita kysymyksiä, seuraa vastauksia, tunnistaa, kun jokin jää epäselväksi, ja pyytää tarkennuksia.

Kerätyn tiedon pohjalta Kaio voi tuottaa jäsenneltyä dokumentaatiota, kuten selosteet käsittelytoimista, tietovirtakaaviot, käsittelyperusteet, riskiarviot. Tietosuojavastaavan ei aloita tyhjältä pöydältä. Hän aloittaa jäsennetystä materiaalista, jonka hän voi tarkistaa, korjata ja hyväksyä tai haastaa.

Tämä ei ole pieni muutos. Se tarkoittaa, että dokumentaatio voidaan pitää ajan tasalla jatkuvasti ilman, että se vaatii jatkuvasti ihmistyötä sen ylläpitämiseen.

"45 minuuttia sen sijaan, että olisi kulunut kokonainen työpäivä"

Kaioa testataan tällä hetkellä yksittäisten tietosuojan vaikutustenarviointien tuottamisessa. Saatu palaute on ollut poikkeuksellisen vahvaa. Eräs asiakas kertoi tuottaneensa DPIA:n 45 minuutissa. Sama arvio olisi kuulemma normaalisti vienyt vähintään yhden työpäivän.

Tämä on organisaation tietosuojan kannalta merkittävää. Tietosuojavastaavien ja asiantuntijoiden aika on rajallista, ja liian suuri osa siitä kuluu tällä hetkellä sellaiseen työhön, joka ei vaadi heidän osaamistaan: tietojen keräämiseen, lomakkeiden täyttämiseen, muistutteluihin ja dokumentaatiorakenteiden kasaamiseen. Kun tämä osuus automatisoituu, sama asiantuntemus voidaan kohdistaa sinne, missä sillä on oikeasti merkitystä, kuten riskien arviointiin, oikeusperusteiden harkintaan ja organisaation ohjaamiseen kestävämpiin valintoihin. Tietosuojan taso ei parane pelkästään siksi, että dokumentaatiota syntyy nopeammin, vaan siksi, että parempi työ kohdistuu oikeisiin asioihin.

Hyötyä ja arvoa laadukkaista arvioinneista

Tietosuojatyö on aina sisältänyt myös työvaiheita, jotka eivät näy tittelissä eikä toimenkuvassa: jatkuvan tiedonkeruun, muistuttelun, dokumenttien kokoamisen ja rakenteen ylläpidon. Tähän työhön kuluu kohtuuttoman paljon aikaa suhteessa sen vaatimaan osaamiseen.

Kiireessä tuotettu DPIA on harvoin muuta kuin lippulappu. Se täyttää muodollisen vaatimuksen, mutta ei tuota organisaatiolle oikeaa hyötyä, eikä se yleensä johda mihinkään konkreettiseen. Laadukas arviointi sen sijaan paljastaa oikeat riskit, ohjaa parempia ratkaisuvalintoja ja parhaimmillaan vaikuttaa siihen, miten järjestelmä tai prosessi ylipäänsä suunnitellaan. Se on privacy by designia käytännössä: ei tarkistuslista käyttöönoton jälkeen, vaan tapa rakentaa paremmin alusta lähtien.

Kaio on parhaillaan pilottivaiheessa. Jos haluat olla mukana kehittämässä sitä eteenpäin tai kokeilla, miltä oma DPIA-prosessisi näyttäisi Kaion kanssa, ota yhteyttä.