GDPR-työkalu 2.0 vaikutustenarviointiin sovellusten käyttöönotossa
Rantanen, Henna (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024121234969
https://urn.fi/URN:NBN:fi:amk-2024121234969
Tiivistelmä
Tämän opinnäytetyön tarkoituksena oli tuottaa terveydenhuoltoalan yritykselle tietosuojan vaikutustenarvioinnin työkalu, joka on riittävän selkeä ja helppokäyttöinen, jotta sitä voidaan käyttää mahdollisimman pitkälle ilman tietosuojan ja tietoturvan erityisasiantuntemusta vapauttaen näin resurssia vaativampien arviointien ja kehitystyön pariin. Työkalun tarkoituksena on lisäksi toimia tietosuojalainsäädännön vaatimusten mukaisena dokumentointityökaluna, jotta tietosuoja-asetuksen vaatima osoittamisvelvollisuus täyttyy.
Työkalu toteutettiin tutkimuksellisena kehitystehtävänä teorian ja käytännön vuorovaikutuksessa markkinoilla olevaan valmiiseen lomakepohjaan, johon luotiin sisältöä lainsäädännön ja liiketoiminta-alan erityispiirteet huomioiden.
Projektissa edettiin palvelumuotoilun ja oikeusmuotoilun menetelmiä hyödyntäen ja lainoppia hyväksi käyttäen. Projektissa käytettiin ns. tuplatimanttimallia, joka on yksi tunnetuimmista palvelumuotoilun prosessimalleista. Ensimmäisessä vaiheessa päätettiin aikataulu ja työkalun tekninen toteutus sekä koostettiin sisältöä. Toisessa vaiheessa muotoiltiin prosessi ja sisällön kokonaisuus, vaiheistettiin työkalu kahteen osaan sekä rakennettiin riskiarviointimatriisi uudelleen.
Lopputuloksena julkistettiin suunnitellussa aikataulussa GDPR työkalu 2.0, joka vastaa konsernin tarpeeseen riittävän selkeästä ja yksinkertaisesta työkalusta tietosuojan mukaisten vaikutustenarviointien tekemisessä.
Keskeisin oppi työssä oli havainto siitä, että oikeusmuotoilun keinoin voidaan saavuttaa harkitun riskinoton teoriaa tukeva lopputulos, jossa erittäin laajasti sensitiivistä henkilötietojen käsittelyä sisältävällä toimialalla voidaan ilman erityisasiantuntemusta tuottaa riittävä dokumentaatio osoittamisvelvoitteen täyttämiseksi hyvinkin tiukkaan säädellyn erityiskysymyksen osalta.
Kehittämisen aihioiksi jäivät vielä riskimatriisin edelleen kehittäminen positiivisten vaikutusten suuntaan ja hyväksikäyttöön tietosuojan osoittamisvelvoitteen osalta sekä työkalun toisen vaiheen sisällön nyanssien jatkojalostaminen.
Työkalu toteutettiin tutkimuksellisena kehitystehtävänä teorian ja käytännön vuorovaikutuksessa markkinoilla olevaan valmiiseen lomakepohjaan, johon luotiin sisältöä lainsäädännön ja liiketoiminta-alan erityispiirteet huomioiden.
Projektissa edettiin palvelumuotoilun ja oikeusmuotoilun menetelmiä hyödyntäen ja lainoppia hyväksi käyttäen. Projektissa käytettiin ns. tuplatimanttimallia, joka on yksi tunnetuimmista palvelumuotoilun prosessimalleista. Ensimmäisessä vaiheessa päätettiin aikataulu ja työkalun tekninen toteutus sekä koostettiin sisältöä. Toisessa vaiheessa muotoiltiin prosessi ja sisällön kokonaisuus, vaiheistettiin työkalu kahteen osaan sekä rakennettiin riskiarviointimatriisi uudelleen.
Lopputuloksena julkistettiin suunnitellussa aikataulussa GDPR työkalu 2.0, joka vastaa konsernin tarpeeseen riittävän selkeästä ja yksinkertaisesta työkalusta tietosuojan mukaisten vaikutustenarviointien tekemisessä.
Keskeisin oppi työssä oli havainto siitä, että oikeusmuotoilun keinoin voidaan saavuttaa harkitun riskinoton teoriaa tukeva lopputulos, jossa erittäin laajasti sensitiivistä henkilötietojen käsittelyä sisältävällä toimialalla voidaan ilman erityisasiantuntemusta tuottaa riittävä dokumentaatio osoittamisvelvoitteen täyttämiseksi hyvinkin tiukkaan säädellyn erityiskysymyksen osalta.
Kehittämisen aihioiksi jäivät vielä riskimatriisin edelleen kehittäminen positiivisten vaikutusten suuntaan ja hyväksikäyttöön tietosuojan osoittamisvelvoitteen osalta sekä työkalun toisen vaiheen sisällön nyanssien jatkojalostaminen.