Henkilötietoja käsittelevien organisaatioiden alkuvuosi kului toimeliaasti uutta lainsäädäntöä soveltaessa. Eurooppalainen tietosuoja-asetus (GDPR) laittoi monet miettimään, mistä vanhoista käytännöistä pitää luopua. Etenkin pienemmissä organisaatioissa saatettiin hävittää hyödyllisiäkin rekistereitä, kun voimavarat eivät riittäneet sen selvittämiseen, miten tarvittavat suostumukset ja prosessit luotaisiin. Ammattimaisemmilla käsittelijöillä prosessien muuttaminen oli helpompi tehtävä. Pohdinta kääntyi enemmän siihen, miten asetus voisi mahdollistaa jotain uutta. Uuden liiketoiminnan synnyttäminen on asetuksen toinen tärkeä tavoite rekisteröityjen henkilöiden oikeuksien vahvistamisen rinnalla.
Datalla uutta bisnestä?
Jokin aika sitten luin Arent van’t Spijkerin ajatuksia herättävä kirjan The New Oil, jossa kuvataan, miten dataa hyödyntämällä voidaan luoda liiketoimintaa eli Uutta Öljyä. Kirjan esimerkit kuvaavat hyvin, että yksilön oikeuksien ja datan tehokkaan hyödyntämisen pitää aina kulkea käsi kädessä. Päinvastaiset tilanteet johtavat ongelmiin.
Vuonna 2009 Netflix julisti kilpailun, jossa tutkijaryhmät pääsivät kehittämään elokuvien suosittelualgoritmia. Jokaiselle ryhmälle annettiin yrityksen tietokannoista 100 miljoonaa suositusta ilman muita henkilötietoja kuin käyttäjän juokseva ID-numero. Tarjolla oli miljoonan dollarin palkinto parhaalle parannukselle.
Täysin anonyymin datan luovuttamisen voisi ajatella vaarattomaksi, mutta yksittäisen rekisterin ylläpitäjä ei voi tietää, mihin dataa voidaan yhdistää. Varsin moni amerikkalainen Netflix-käyttäjä käyttää myös IMDB-elokuvasivustoa, jolla annetut suositukset eivät ole anonyymejä. Yhdistämällä Netflix- ja IMDB-dataa yksi tutkijaryhmistä onnistui tunnistamaan suuren määrän Netflix-käyttäjiä heidän antamiensa suositusten perusteella. Elokuvamieltymysten perusteella puolestaan voidaan päätellä arkaluontoisia henkilötietoja, kuten poliittisia kantoja ja seksuaalisia mieltymyksiä. Netflix haastettiinkin oikeuteen kilpailun johdosta, ja he joutuivat luopumaan sen jatkamisesta.
Selkeät pelisäännöt
Jälkeenpäin ajatellen ongelmana ei ollut niinkään tietojen jakaminen vaan sääntöjen puuttuminen niiden käytölle. Jos dataa ei voi siirtää ollenkaan, kaikki kehittäminen estyy. Pitää kuitenkin ymmärtää, ettei anonyymikään data käytännössä pysy anonyyminä. Esimerkiksi ikä, sukupuoli ja postinumero riittävät isojen kaupunkien ulkopuolella monien henkilöiden yksiselitteiseen tunnistamiseen.
Tämän tietäen olemme tehneet tämän vuoden aikana satojen sivujen edestä tietojenkäsittelysopimuksia asiakkaittemme ja yhteistyökumppaniemme kanssa. Kun pelisäännöt ovat selvät, päästään miettimään, miten dataa voidaan hyödyntää. Parhaimmillaan olemme pystyneet muun muassa seuraamaan rekrytointipäätösten onnistuneisuutta ja tunnistamaan, millä profiililla valitut liiketoimintajohtajat saavat aikaan eniten liikevaihdon kasvua. Hyvien sopimusten pohjalta datasta voi kenenkään oikeuksia loukkaamatta todella tulla uutta öljyä.