30.9.2022
Pertti Hyvärinen, Kehitysjohtaja, Cinia Oy | Antti Nyqvist, Poolisihteeri, Digipooli | Olli Pitkänen, Asiantuntija, 1001 Lakes Oy | Annimari Lehtomäki, FT, johtava asiantuntija, JAMK
Sääntökirja luo yhteiset pelisäännöt data-avaruuteen. Se auttaa lisäämään luottamusta ja helpottaa datan jakamista erilaisten organisaatioiden välillä. Sitran julkaisema Reilun datatalouden sääntökirjamalli on saavuttanut runsaasti kansainvälistä huomiota ja siitä on tulossa eurooppalainen de-facto -standardi sille, miten data-avaruuden pelisäännöissä otetaan huomioon niin liiketoiminnalliset, oikeudelliset, tekniset kuin eettisetkin näkökulmat.
Sitran sääntökirjamallista on nyt julkaistu versio 2.0. Paitsi, että sen luettavuutta ja lähestyttävyyttä on parannettu, siinä on merkittävänä uutuutena tietoturvaosio, jonka tarkoituksena on auttaa data-avaruuden toimijoita sopimaan datan jakamisen tietoturvaprosessista. Dataverkostojen toiminnan voi nähdä olevan tulevaisuudessa myös osa huoltovarmuuttamme ja siksi niiden toiminnan tietoturvallisuudesta on syytä pitää huolta. (https://www.sitra.fi/uutiset/sitran-saantokirja-tarjoaa-raamit-yrityksille-datan-nykyista-helpompaan-ja-turvallisempaan-jakamiseen/)
Sääntökirjamallin tietoturvaosiossa esitetään periaatteet, joiden mukaisesti dataverkosto pitää huolta datan turvallisesta käsittelystä. Tietoturvatarpeet voivat vaihdella huomattavasti eri verkostoissa, joten on tärkeää muokata toimintamallia verkostokohtaisesti ja myös päivittää sitä riittävän usein. Mitä arvokkaampaa dataa jaetaan tai mitä suurempaa vahinkoa tietoturvaloukkaukset voivat aiheuttaa, sitä enemmän verkoston on panostettava korkeatasoiseen tietoturvaan.
Datan jakamisen verkostoissa luottamus osapuolten välillä on keskeinen onnistumisen edellytys. Luottamuksen rakentamisessa riittävä tietoturvan taso on keskeinen elementti. Verkoston pelisäännöt täytyy laatia siten, että ne tukevat riittävää luottamusta.
On myös hyvä huomata, että eri osapuolilla voi olla erilainen kyky ja halu kantaa riskejä. Tämän vuoksi on tärkeää, että tietoturvatoimintamalli perustuu yhdessä sovituille käsityksille siitä, millaiset riskien tasot tai riskien torjunnan jälkeiset jäännösriskit ovat hyväksyttäviä ja miten ne jaetaan.
Tietoturva on otettava huomioon alusta asti jo toimintaa suunniteltaessa, ja se on ymmärrettävä jatkuvaksi toiminnaksi koko datan jakamisen elinkaaren ajan. Samoin kuin henkilötietojen tietosuojan edellytetään olevan sisäänrakennettua ja oletusarvoista (GDPR 25 artikla), myös tietoturvan liimaaminen päälle jälkikäteen voi olla mahdotonta tai ainakin hyvin kallista.
Dataverkoston tietoturvatoimintamallin ohje on luotu Huoltovarmuusorganisaation Digipoolin (Teknologiateollisuus ry) aloitteesta ja Huoltovarmuuskeskuksen tuella osaksi Sitran Reilun datatalouden sääntökirjaa. Ohjetta ovat olleet tekemässä 1001 Lakes Oy:n asiantuntijat Olli Pitkänen, Sami Jokela ja Marko Turpeinen sekä Digipoolin poolisihteeri Antti Nyqvist. Ohjeen kehittämiseksi järjestettyyn työpajaan osallistui Digipoolin jäseniä, yrityksiä monilta eri toimialoilta sekä yliopistojen ja järjestöjen edustajia.
Tietoturvaosion kehittäminen jatkuu ja sitä päivitetään seuraaviin sääntökirjamallin versioihin. Työryhmää vetää kehitysjohtaja Pertti Hyvärinen Cinia Oy:stä. Kaikki data-avaruuksien tietoturvan kehittämisestä kiinnostuneet ovat tervetulleita työryhmän toimintaan. Mukaan voi ilmoittautua lähettämällä viestin Pertille (pertti.hyvarinen@cinia.fi) tai Ollille (olli.pitkanen@1001lakes.com).