Miten valmistautua EU:n uuden tietosuoja-asetuksen vaatimuksiin?

Miten uusi eurooppalainen tietosuoja-asetus vaikuttaa yrityksemme toimintaan? Mihin kaikkeen meidän täytyy valmistautua ja miten?

Näitä kysymyksiä on varmasti useampikin yritys jo ehtinyt miettiä sen jälkeen, kun poliittinen yhteisymmärrys EU:n uuden tietosuoja-asetuksen sisällöstä saavutettiin joulun alla.

Uusi asetus kannattaa ottaa vakavasti: se antaa kansalliselle valvontaviranomaiselle vallan määrätä jopa kymmenien miljoonien eurojen sakkoja asetuksen vaatimusten noudattamatta jättämisestä. Listaamme tässä blogikirjoituksessa asioita, jotka jokaisen yrityksen tulee ottaa huomioon ennen kuin uusi asetus astuu voimaan.

Yksilön oikeudet vahvistuvat

TietosuojaLähes jokainen yritys käsittelee henkilötietoja. Erilaisia rekistereitä on paljon: on asiakasrekistereitä, erilaisia markkinointirekistereitä sekä tietysti rekistereitä työntekijöihin liittyvistä tiedoista. Henkilöä, jonka henkilötiedot on talletettu rekisteriin, kutsutaan rekisteröidyksi.

Rekisteröidyllä on jo nykyisen henkilötietolain mukaan oikeus muun muassa tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Asetus säilyttää nämä vanhat rekisteröidyn oikeudet mutta tarjoaa rekisteröidylle entistä vahvemman kontrollin omiin tietoihinsa. Jatkossa yritysten tulee esimerkiksi antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi.

Asetus tuo tullessaan myös uusia oikeuksia, kuten oikeuden tietojen siirrettävyyteen sekä oikeuden kieltäytyä profiloinnista. Oikeus tietojen siirrettävyyteen mahdollistaa tietojen siirtämisen ilman välikäsiä rekisterinpitäjien välillä. Oikeus, tietyissä tilanteissa, kieltäytyä profiloinnista puolestaan tarkoittaa sitä, että rekisteröidyllä on oikeus kieltäytyä olemasta sellaisten päätösten kohteena, jotka perustuvat ainoastaan automaattisella tietojenkäsittelyllä – eli ilman ihmisen puuttumista – tapahtuvaan tiettyjen henkilökohtaisten ominaisuuksien arviointiin. Esimerkkinä profiloinnista voisi olla mm. online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käyttö ilman ihmisen osallistumista.

Arvioi henkilötietojen käsittelyn nykytila ja siihen liittyvät riskit

DPIA (Data protection impact assessment) -selvityksessä eli vaikutustenarvioinnissa arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä sekä sitä, miten riskejä voidaan minimoida ja miten niihin voidaan puuttua. Vaikka PIA ei ole kaikille yrityksille pakollinen, kannattaa yritysten toteuttaa tietosuoja-asetuksen velvoitteita silmällä pitäen jonkinasteinen nykytilan arviointi. Selvittää kannattaa ainakin,

  1. mitä henkilötietoja käsittelemme
  2. onko käsittely nykyisen henkilötietolain mukaista
  3. miten tiedotamme rekisteröidyille heidän tietojensa käsittelystä
  4. mitä toimintatapoja, prosesseja ja dokumentteja meidän tulisi asetuksen myötä muuttaa tai luoda.

Nimitä yrityksellesi tietosuojavastaava

Uusi tietosuoja-asetus velvoittaa tietyt toimijat nimittämään tietosuojavastaavan. Velvollisuus koskee muun muassa julkista sektoria ja sellaisia yrityksiä, joiden keskeiset tehtävät koostuvat rekisteröityjen laajamittaisesta ja järjestelmällisestä seurannasta tai laajamittaisesta arkaluonteisten tietojen käsittelystä. Vaikka tietosuojavastaavan nimittäminen ei ole kaikille yrityksille pakollista, on suositeltavaa vastuuttaa tietosuoja-asioista huolehtiminen ja vaatimusten noudattamisen seuranta yhdelle taholle. Yrityksen sisäisistä käytännöistä riippuen sopivia tahoja voivat olla lakiasiat, tietohallinto, henkilöstöhallinto tai sisäinen tarkastus.

Tietosuojavastaavalta vaaditaan asiantuntemusta niin tietosuojalainsäädännöstä kuin sen käytännön soveltamisesta yrityksen toimintaan. Tietosuojavastaavan rooli yrityksessä on itsenäinen, ja hänen tulee raportoida suoraan yrityksen korkeimmalle johdolle. Lisäksi tietosuojavastaavan tehtäviin kuuluu henkilöstön ohjeistus ja kouluttaminen, asetuksen vaatimusten noudattamisen varmistaminen päivittäisessä toiminnassa sekä yhteyshenkilönä toimiminen niin viranomaisiin kuin rekisteröityihinkin päin. Parhaimmassa tapauksessa tietosuojavastaava toimii liiketoiminnan mahdollistajana ja sen edelleen kehittäjänä.

Tietoturvaloukkauksista ilmoitettava

Tietoturvaloukkaukset ovat todellinen haaste ja asiakkaiden luottamuksen säilyttäminen on yrityksille entistä tärkeämpää digitalisoituvassa maailmassa. Uuden asetuksen myötä jokainen yritys on velvollinen ilmoittamaan henkilötietoihin kohdistuvista tietoturvaloukkauksista niin valvontaviranomaiselle kuin rekisteröidyillekin. Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72 tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta viivytystä. Yrityksillä on näin ollen oltava valmiudet mahdollisten tietoturvaloukkausten havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimointiin.

Tarkista ulkoisten tietojenkäsittelijöiden sopimukset

Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, kannattaa näiden sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.

Toimi jo nyt!

Tietosuoja-asetus tulee voimaan, kun Euroopan parlamentti on sen hyväksynyt ja asetus on julkaistu EU:n virallisessa lehdessä. Tästä alkaa kahden vuoden siirtymäaika, jonka jälkeen yritysten on noudatettava asetuksen vaatimuksia. Asetuksen oletettu voimaantuloaika on vuoden 2018 keväällä. Koska tietosuoja-asetus luo yrityksille useita velvoitteita, niiden noudattamisen suunnittelu olisi hyvä aloittaa mahdollisimman pian. Nykytilan lainmukaisuuden arviointi on hyvä lähtökohta.

 

Lue lisää EU:n tietosuoja-asetuksesta ja sen tuomista keskeisimmistä muutoksista uutisestamme (uutinen englanniksi).

Eija Warma
Anette Luomala

Kun kaukaloissa kipinöi, oikeusturvalautakunta ratkoo jälkipelit

Useasti juuri urheilun kurinpitoon tai arvokisavalintoihin liittyvät oikeusturvalautakunnan päätökset saavat mediassa huomiota, mutta mikä on urheilun oikeusturvalautakunta ja miksi urheiluliitännäiset asiat päätyvät sinne ratkaistaviksi?

Marraskuussa pelattiin Ilveksen ja Tapparan välinen SM-liigan ottelu, jossa erään pelaajan kyynärpäätaklaus osui toista pelaajaa päähän. Osuman seurauksena taklattu pelaaja loukkaantui.

Taklaaja sai jääkiekon SM-liigan kurinpitoryhmältä yhdeksän ottelun pelikiellon. Lisäksi kurinpitoryhmä totesi, että taklaajalta vähennetään sakkona 15 prosenttia hänen kausipalkastaan SM-liigan ja Pelaajayhdistyksen sopimuksen mukaisesti.

Kurinpitopäätös päätyi urheilun oikeusturvalautakunnan puitavaksi, kuten olemme mediasta saaneet lukea. Rangaistuksen saanut pelaaja vaati, että pelikieltoa alennettaisiin ja että määrätty sakkorangaistus poistettaisiin tai sitä ainakin kohtuullistettaisiin.

Useasti juuri urheilun kurinpitoon tai arvokisavalintoihin liittyvät oikeusturvalautakunnan päätökset saavat mediassa huomiota, mutta mikä on urheilun oikeusturvalautakunta ja miksi urheiluliitännäiset asiat päätyvät sinne ratkaistaviksi?

Lautakunnasta ratkaisuja päätöksiin tyytymättömille

JääkiekkotilanneUrheilun oikeusturvalautakunta on urheilujärjestöjen perustama mutta niistä riippumaton urheiluasioiden muutoksenhakuelin. Se on toiminut vuodesta 1991. Valtakunnallisen liikunta- ja urheiluorganisaatio ry:n Valon jäseninä lajiliitot ovat sitoutuneet urheilun oikeusturvalautakunnalle annettuun toimivaltaan ja noudattamaan sen päätöksiä.

Valittajana voi olla urheilija, muu henkilö tai yhteisö, jonka etuun tai oikeuteen asia vaikuttaa.

Oikeusturvalautakuntaan voi valittaa yhdistyksen päätöksestä, joka koskee

  • erottamista yhdistyksen jäsenyydestä
  • jäsenoikeuksien rajoittamista tai kurinpitotoimia
  • päätöksen sääntöjenvastaisuutta.

Oikeusturvalautakunta voi käsitellä myös

  • liigojen määräämiä kurinpitotoimia, jos liiga on antanut siihen suostumuksensa
  • valituksia, jotka koskevat urheilijan jättämistä valitsematta arvokilpailuihin, jos selkeitä valintakriteereitä ei ole noudatettu tai jos päätös on syrjivä ilman hyväksyttävää syytä
  • Suomen Antidopingtoimikunnan antidopingsäännöstön perusteella tekemiä päätöksiä.

Urheilun oikeusturvalautakuntaan voi siis tuoda myös sellaisia asioita, joita ei voi viedä yleisten tuomioistuinten ratkaistaviksi. Oikeusturvalautakunta ei tosin voi ottaa asiaa käsiteltäväkseen, jos juttu on yleisessä tuomioistuimessa vireillä.

Oikeusturvalautakunnan rooli ei kuitenkaan ole ottaa kantaa urheilulajin sääntöihin. Se ei voi arvioida tuomareiden ratkaisuja, eikä se näin ollen esimerkiksi käsittelisi erotuomarin mainitussa jääkiekko-ottelussa määräämää jäähyä.

Toimivallalla selkeät rajat

Valittajat ovat usein vedonneet kilpailuoikeuteen tai muihin oikeudenaloihin. Lautakunta on kuitenkin pitäytynyt sääntöjensä sille asettamassa toimivallassa. Keskeiset oikeusperiaatteet se kuitenkin aina huomioi ratkaisuissaan: esimerkiksi kurinpitopäätöksissä esiin nousee usein kuulemisen periaate.

Esimerkkitapauksessamme lautakunta ei sääntöjensä puitteissa voinut ottaa kantaa pelaajan työsopimuksen ehtojen pätevyyteen. SM-liiga myös totesi, ettei palkanpidätys ollut osa kurinpitopäätöstä eikä se siksi kuulunut oikeusturvalautakunnan toimivallan piiriin.

Miten sitten esimerkkitapauksessamme kävi?

Oikeusturvalautakunta arvioi, olivatko pelikiellon määräämisen perusteet ja sen pituus kohtuullisia verrattuna aiempaan rangaistuskäytäntöön. Vaikka palkan pidättämiseen ei voitukaan ottaa kantaa, lautakunta arvioi, kuinka paljon sille sekä tapauksen saamalle runsaalle julkisuudelle pitäisi antaa painoarvoa pelikiellon kohtuullisuuden arvioinnissa.

Pelaajan valitus ei tällä kertaa mennyt läpi. Oikeusturvalautakunta katsoi, että rangaistukselle oli liigan kurinpitosääntöjen ja jääkiekon sääntöjen mukaiset perusteet. Myöskään pelikiellosta mahdollisesti aiheutuneet työsopimukseen perustuvat seuraukset tai asian saama julkisuus eivät olleet sellaisia tekijöitä, joiden johdosta pelikielto olisi ollut kohtuuton. Aihetta rangaistuksen lieventämiseen ei siis ollut, ja SM-liigan kurinpitopäätös pysytettiin ennallaan.

Ei vain ammattilaisille vaan kaikille meille

Useasti ajatellaan, että urheilun ammattimaistuminen ja kaupallistuminen ovat tuoneet urheilijan oikeusturvakysymykset uuteen valoon. Näin onkin, ja esimerkiksi arvokisavalinnat tai liigalisenssikysymykset ovat usein niitä ratkaisuja, jotka päätyvät lehtien sivuille.

Myös esimerkkitapauksemme liittyy ammattiurheilijaan. Iso osa oikeusturvalautakunnan käsittelemistä jutuista koskettaa kuitenkin lasten ja nuorten sekä ihan tavallisten urheiluharrastajien, kuten sinun ja minun, oikeuksia. Urheilun oikeusturvalautakunta on osoittautunut tärkeäksi ja toimivaksi foorumiksi urheilun toimijoiden oikeudenmukaisen kohtelun valvojana.

Pia Ek

Pia Ek toimii Urheilun oikeusturvalautakunnan jäsenenä. Tammikuun 2016 alussa alkava neljävuotinen kausi on Pian kolmas perättäinen kausi lautakunnassa.

 

Fintech and the Finnish Market — Are They Ready for Each Other?

The technological revolution has disrupted and altered many industries in recent years. The most intense hype surrounding certain new technologies, like big data or the internet of things, may be settling, but not even traditionally static business can afford to rest on their laurels as Silicon Valley is constantly creating new innovations.

The next big thing on both sides of the Atlantic is financial technology, more commonly known as fintech. As the Guardian noted in an  article last spring, startups focusing on specialised financial services are making use of cheap cloud computing, big data, mobile devices and social media applications to compete with banks and other conventional providers of financial services.

From personal finance planning apps to crowdfunding, fintech companies leverage user-friendly interfaces and the flexibility of their services to take market share in products and services[1] that used to be the exclusive domain of larger players.

Complex Regulation Makes Dangerous Waters for Fintech Startups

As fintech companies enter the Finnish market, their biggest challenges may well be understanding and navigating complex regulation. Even simple fintech services, such as providing mobile payment solutions or trading applications, may require licenses to provide payment or investment services.

When it comes to peer2peer lending, operators should keep in mind that micro-lending is also regulated by consumer protection rules, and prospective service providers may need to register with regional authorities.

Obtaining licenses for all this and complying with statutory obligations can be both cumbersome and costly, which is far from an ideal fit for the generally lean and agile startup business model. Therefore, creating a proactive policy to address and mitigate regulatory concerns are vital initial measures for a startup looking to enter the fintech market.

Personal Data a Potential Land Mine

The use of personal data is strictly regulated in the EU under the Data Protection Directive (95/46/EC). Further data protection regulation is expected to come into effect during the upcoming years in the form of the new European Data Protection Regulation. At the same time as regulation is increasing, new technologies are looking for broader opportunities to permissibly utilise personal data.

Certain personal data has long been used for risk analysis in the financial industry. However, many traditional concepts associated with data processing are facing a revolution in the form of developments such as dual purpose social media applications, such as peer2peer lending platforms.

As tempting as the significant opportunities to use personal data available through various social media platforms may be to fintech startups, they have to watch their step and make sure their operations comply with constantly developing  data protection rules.

What to Look Out for In Fintech Investments

When looking to invest in fintech startups, venture capital investors should keep in mind the regulatory landscape described above. Most importantly, investors need to take into account the possibility of increased compliance and risk management costs as well as liability risks when conducting due diligence relating to start-up targets. This is especially demanding in the current environment of swelling regulation that remains inherently ambiguous with respect to new and disruptive technologies.

At worst, a fintech startup’s business could involve significant liability risks if it
has neglected regulatory obligations. It is vital that investors identify such situations and engage the expertise to appropriately assess the risks involved when making investment decisions.

As fintech companies gain more ground in the financial sector, venture capital and private equity investors have two possible ways to react: adapt shutterstock_260690993-1000pxor invest. If the financial sector  is reluctant to adapt by embracing new technologies, we may see a repeat of the kind of changes that occurred in the music industry since the launch of mp3 and P2P networks, albeit restricted by the industry’s regulated nature.

The mobile pay applications that have been launched by large banks and welcomed by customers are a good example of using investment to integrate fintech in existing businesses.

Fintech clearly holds potential that intrigues investors. This is evident in BlackRock’s recent of acquisition of FutureAdvisor, a previously Sequoia-backed start-up offering automated algorithm based financial planning services to consumers.

While interest among investors grows, fintech start-ups in the US are already expanding into insurance, yet another highly regulated financial services business. Despite the limitations set by regulation, the advance of fintech into the Finnish market seems inevitable. After all, this is a country that is already accustomed to widespread and well-functioning digital financial services, such as long-established internet banking portals.

Jaakko Lindgren
Thomas Landell

[1] A World Economic Forum graphic of the fintech scene

Disruptive Internet Services Face to Face With Finnish Law

New innovative internet services, like Uber and Airbnb, have triumphed in many countries and are now also finding their way into Finland. Although these services and the new business opportunities they bring have been given a warm welcome by many, the Finnish authorities and the more traditional industry players have been more reserved.

On the other hand, the renowned Bengt Holmström, Professor of Economics at Massachusetts Institute of Technology (MIT), has said that ‘the Internet, robots and the digitalisation of business are like laws of nature. Their development cannot be prevented. The more we deny new business models, the more we will fall behind’ [1]. Instead of being given the opportunity to flourish, these new services are sometimes seen as troublemakers, and seem to have hit a tightly knit web of laws and regulations hindering them in this country.

In this post we discuss two of these ‘new kids on the block’ and the legal hurdles they have found themselves facing in Finland.

Uber

Uber provides a service that connects customers in need of a ride with available drivers via a smartphone app. In Finland, this great innovation has faced strong opposition as the authorities have found it hard to fit Uber into the classic and heavily regulated taxi service model.

shutterstock_154538258As in some other countries, operating a taxi in Finland requires a license. Only a restricted number of taxi licenses are available, and room for newcomers is very limited. The problem with Uber appears to be that the Finnish authorities have a hard time establishing whether the service Uber provides is to be classified as operating a taxi and, therefore, requiring a license.

According to Uber itself, it is not a taxi service, but only provides a platform for ride sharing. Regardless of the ambiguity regarding the nature of Uber’s service, the Finnish Taxi Association has stated that drivers with a valid license have been urged to report Uber drivers to the authorities.

Lately even the Finnish police asked the public to report Uber drivers to the police. This is due to an ongoing investigation in which the authorities are trying to establish whether or not Uber is in breach of Finnish taxi legislation and driver safety requirements. Instead of actively rethinking the passenger transport business and considering the benefits of more flexible services, the authorities seem to be more willing to deny Uber’s business entirely.

Airbnb

Uber is not alone in its struggle with the tight web of Finnish laws and regulations. Airbnb, which provides an online platform for people to rent out properties to others in need of short-term accommodation, has also come under the all-seeing eye of the Finnish authorities, who see Airbnb’s operating model as some shade of grey in legal terms.

At the moment, the authorities are trying to decide whether it is a temporary rental to help offset vacation costs, whether it subletting or whether it is an accommodation business – all three possible interpretations are firmly regulated.

The Finnish Hospitality Association, MaRa, has demanded that the same tax liabilities and the numerous regulations that apply to other service providers in the accommodation business, such as hotels, should also apply to Airbnb. According to MaRa’s argument, Airbnb has an unfair competitive advantage otherwise.

In addition, residential buildings – generally organised in Finland as a special type of limited liability company that residents own shares in – are considering whether they could and should prohibit short-term rentals in their articles of association because of the possible disturbances travellers might cause.

These Services are Here to Stay

Digitalisation is not a new topic in Finland. Even the new government’s platform underlines the importance of digitalisation. However, new and innovative services are often not welcomed with open arms in practice.

Finns want these new services and the benefits they bring in terms of new business opportunities, cheaper consumer prices and more options to choose from. Keeping in mind the relative small size of the Finnish market, none of these benefits are self-evident and new business models enabling them should be encouraged rather than weeded out.

Indeed, instead of building legal barriers to their development, we should be breaking down old barriers and looking ahead. Fortunately Bengt Holmström sees that there is hope in Finland. As encouraging examples Holmström mentions software companies, the video game industry, Slush and the whole Finnish startup scene.

The best way to face the challenges of digitalisation is to actively take part in it and find new ways to support it instead of fighting against it.

Jaakko Lindgren
Laura Silander

 

[1] http://www.hs.fi/talous/a1439870365925

 

Discussion in the Finnish Media

Uber:

Helsingin Sanomat: Poliisi kehottaa tekemään Uber-kuskeista ilmoituksen – “Akuutissa tilanteessa soitto hätäkeskukseen”

Iltalehti: Näinkö kohuyhtiö Uber ratkaisee kiistansa myös Suomessa? Haluaa eroon kuskeista

Nyt.fi: Call 911 if you see an Uber, Finnish police says

Edilex: Uber-kyytien välitys laillista, mutta ajaminen vaatii taksiluvan

Yle: Taxi Association demands Uber intervention

Yle: Taxi industry deregulation only a matter of time, says expert – even in Finland

Mtv3: Ministeriö: Uber-taksipalvelu ei voisi tulla Suomeen ainakaan heti

Airbnb:

Helsingin Sanomat: Vuokralaiset välittivät luvatta helsinkiläismiehen asuntoa kuukausia Airbnb-turisteille

Yle: Finland learning to live with Airbnb

Yle: Tuesday’s papers: Centre, Finns parties reach consensus, Airbnb headaches, online cellphone deal turns into knifepoint robbery

Iltasanomat: Airbnb:n toiminta Suomessa raivostuttaa: ”Täysin kestämätöntä”

MaRa: MaRa tekee yksityisiä majoituspalveluja koskevan lainsäädäntöaloitteen

Helsingin Sanomat: Alivuokrausta ei voi kieltää

Miehittämättömiä ilma-aluksia koskeva sääntely selkiytyy

Miehittämättömiin ilma-aluksiin liittyvä sääntelysumu on hieman hälventynyt sitten edellisen blogikirjoitukseni 10.12.2014. Liikenteen turvallisuusvirasto Trafin miehittämättömiä ilma-aluksia ja lennokkeja koskeva uusin määräysluonnos (5.5.2015) on askel alalla toimivien toivomaan liberaalimman sääntelyn suuntaan.

Trafin mukaan uusimman määräysluonnoksen luonnostelussa on kiinnitetty huomiota erityisesti siihen, että miehittämättömien ilma-alusten kaupallinen hyödyntäminen olisi aidosti mahdollista ilman tarpeettoman raskasta byrokratiaa. Sääntelyn tavoitteena tuleekin olla toiminnan edistäminen, jotta miehittämättömään toimintaan liittyvä innovaatiopotentiaali saadaan hyödynnettyä.

Lupakirjaa ei tarvita, ilmoitus riittää

Toiminnan aloittamiskynnys on laskettu muuta lentotyötä alemmas, kun miehittämättömän ilma-aluksen käyttämiseen ei Trafin määräysluonnoksen mukaan vaadita lupakirjaa vaan ilmoitus Trafiin riittää. Sähköisellä lomakkeella tehtävä ilmoitus on annettava, ennen kuin miehittämätöntä ilma-alusta käytetään ensimmäisen kerran.

Määräysluonnoksen perustelumuistion mukaan sääntelyn lähtökohtana on toimijoiden oma turvallisuuden hallinta ja itsesääntely. Toimijan on
hallittava laitteensa kaikissa toiminnan olosuhteissa ja ympäristöissä aiheuttamatta vaaraa ulkopuolisille ihmisille ja heidän omaisuudelleen.

shutterstock_186927365Toiminnalle on asetettu erilaisia rajoituksia. Toiminnan tulee muun muassa perustua näköyhteyteen ja lennossa tulee ottaa huomioon vallitsevat sää- ja valaistusolosuhteet, niin että muu ilmaliikenne voidaan havaita ja väistämisen tarve arvioida. Lisäksi lennättämiselle on erityisiä rajoituksia, jos lennättäminen tapahtuu ulkosalle kokoontuneen väkijoukon tai asutuskeskuksen tiheästi asutun osan yläpuolella. Tällöin miehittämättömän ilma-aluksen käyttäjän tulee laatia muun muassa kirjallinen turvallisuusarviointi sekä toimintaohjeistus. Ilma-aluksen kokonaismassa saa näissä tapauksissa olla lentoon lähdettäessä enintään 7 kg.

Myös lennokit sääntelyn piiriin

Määräysluonnos sisältää myös harrastekäyttöön tarkoitettuja lennokkeja koskevaa sääntelyä. Harrastus- tai urheilukäyttöä koskevat osittain samat säännöt kuin ammattimaisesti käytettäviä miehittämättömiä ilma-aluksia. Sen paremmin lennokki kuin miehittämätön ilma-aluskaan ei saa haitata viranomaistoimintaa, eikä kumpaakaan saa lennättää yli 500 metrin etäisyydellä lennättäjästä. Myös maksimilentokorkeus on molemmille 150 metriä.

Määräysluonnoksen mukaan lennokeilla on lisäksi joitakin erityisiä rajoituksia, kuten ehdoton kielto lennättää lennokkia väkijoukon yläpuolella. Sekä miehittämättömien ilma-alusten että lennokkien lennättäjät ovat luonnollisesti vastuussa aiheuttamistaan vahingoista.

Sääntelyn vaikutukset jäävät nähtäviksi

Luonnoksen mukaan yöllä tapahtuva miehittämättömän ilma-aluksen lennättäminen ei ole sallittua kuin viranomaistoiminnassa tai erityisellä poikkeusluvalla. Tämän määräyksen tarpeellisuutta voidaan pohtia, kun kyseessä on kuitenkin robotti, jonka toimintakyky ei olennaisesti riipu vuorokauden ajasta tai valoisuudesta.

Kaiken kaikkiaan Trafin määräysluonnos lisää alan sääntelyä olennaisesti. Jää nähtäväksi, kokevatko alan toimijat sääntelyn pikemminkin toimintaa haittaavaksi kuin mahdollistavaksi.

Jaakko Lindgren

 

EU-Wide Data Protection Regulation Moves Forward – Nine Things You Should Know

We are going to have an interesting autumn when it comes to data protection regulation.  On 15 June 2015, the Ministers in the Justice Council finally reached a political agreement on the new data protection rules, confirming the approach taken in the Commission’s proposal back in 2012. Trilogue negotiations between the Commission, the European Parliament and the Council of the EU will start already on 24 June next week, and the intention is that the reform will be finalised by the end of 2015.

I have gathered nine highlights of the new data protection rules that you should know.

One continent, one law: the Regulation will establish a single, pan-European data protection law replacing the current inconsistent patchwork of national laws. In the future, your company will only have to deal with one law, not 28.

Strengthened individual rights: companies will have to inform individuals in a clear and understandable way about the processing of their personal data. When there are no longer legitimate grounds for retaining data, an individual will be able to ask for the data to be deleted (right to be forgotten).  A right to data portability will help people transfer personal data between service providers.

Right to know if hacked: your company will have to notify the national data protection authority as soon as possible (not later than 72 hours) about data breaches and will also have to notify affected data subjects without undue delay.

Data protection impact assessment: an assessment will be required when processing is likely to result in a high risk for the individuals, such as discrimination, identity theft or fraud, financial loss, damage to reputation, unauthorised reversal of pseudonymisation or significant economic or social disadvantage.

Data protection officer: it will no longer be obligatory to appoint a data protection officer unless mandatory under national law.

Codes of conduct: the regulation will encourage codes of conduct to be drawn up for specific sectors and for specific needs of SMEs (small and medium-sized companies).

European rules on European soil: if your company is based outside the EU, it will have to apply the same rules and guarantee the same level of protection for personal data when offering services in the European market.

More powers for independent national data protection authorities: in order to effectively enforce the rules, national data protection authorities will be empowered to fine companies that violate EU data protection rules. The fine may be up to €1 million or 2% of the global annual turnover of the offending company.

One-stop shop: companies will only have to deal with a single supervisory authority, which will make it easier and cheaper for companies to do business across the EU. Similarly, individuals will only have to deal with their national data protection authority—in their own language—even if their personal data is processed outside their home country.

I am optimistic that the new regulation will strengthen and harmonise data protection rules in the EU. We will be closely monitoring the progress of the new general data protection regulation and keep you up-to-date on any developments.

Eija Warma

 

See our previous news items on the topic:

EU Data Protection Reform Approved by the Parliament

European Commission Proposal For New Personal Data Rules

EU Parliament’s LIBE Committee Voted on Data Protection

Ohjelmistokäyttäjä lisenssiauditoinnin panttivankina

Ohjelmistojen käyttäminen liiketoiminnassa ei merkitse aina pelkästään liiketoiminnan kehittämistä. Siihen voi kuulua myös epämiellyttäviä tilanteita, jotka saavat ohjelmiston käyttäjän tuntemaan olonsa panttivangiksi. Miten pankkivanki pääsee vapaaksi? Miten näiltä tilanteilta vältytään?

Lisenssiauditoinnissa ohjelmistoyhtiö etsii lisäkorvauksen mahdollisuuksia

Ohjelmistojen lisenssikauppa on siis jäämässä katoavaksi kansanperinteeksi. Kun lisenssikauppa ehtyy, ohjelmistoyhtiöt voivat hankkia tuloja vanhoilta asiakkailtaan lisenssiauditoinnilla. Lisenssiauditoinnissa selvitetään, kuinka asiakas käyttää ohjelmistoa.

Auditointi koskee tyypillisesti systeemi-integraattorien konesaleihin tai työntekijöiden tietokoneille asennettuja ohjelmistoja, jotka on usein hankittu vuosia sitten ja joihin on liiketoiminnan kasvaessa hankittu lisäosia monenlaisilla sopimuksilla ja hinnoittelumalleilla. Lisenssit, ohjelmistoversiot ja käyttäjämäärät saattavat olla iloisesti sekaisin, tai sitten kenelläkään ei ole niistä selkeää käsitystä.

shutterstock_98129009Lisenssiauditoinnissa ohjelmistoyhtiö voi löytää asiakkaaltaan esimerkiksi liikaa asennettuja lisenssejä (käyttäjämäärä on ylitetty) tai lisenssiehtojen vastaisesti asennettuja ohjelmistoja (ohjelmisto on asennettu erilaiseen tekniseen ympäristöön kuin se alun perin lisensioitiin). Ohjelmistoyhtiö saattaa havaita myös muuta mielestään lisenssiehtojen vastaista käyttöä, kuten esimerkiksi ohjelmiston epäsuoraa käyttöä. Silloin se laskee ohjelmiston käyttäjiksi kaikki mahdolliset tahot, mikäli ne ovat jotenkin yhteydessä ohjelmistoon.

Epäsuoran käytön ongelma liittyy erityisesti toiminnanohjausjärjestelmien lisensseihin. Lähes kaikki yrityksen tietojärjestelmät ovat yhteydessä toiminnanohjausjärjestelmään. Ohjelmistoyhtiö saattaa sen vuoksi väittää, että toiminnanohjausjärjestelmän lisenssin tarvitsee myös jokainen yhtiön järjestelmiä käyttävä työntekijä, konsultti ja yhteistyökumppani. Saattaa jopa sattua, että ohjelmistoyhtiö vetoaa auditointihavaintojen perusteella tekijänoikeusloukkaukseen tai muuttuneisiin sopimusehtoihin, joiden se väittää korvanneen ohjelmistohankinnan alkuperäiset sopimusehdot.

Auditointi johtaa usein sovintoneuvotteluihin

Auditoinnin ”löydökset” saattavat olla hyvin tarkoitushakuisia tai perusteiltaan epäselviä. Valitettavan usein auditoija vaatii korvausta vaikeaselkoisen laskentalogiikan perusteella ilman yhteyttä todelliseen vahinkoon.

Auditointiin perustuvat vaatimukset saattavat olla huikeita mutta lopulliset sovintokorvaukset silti maltillisia. On asiakkaan onni, että Suomessa vahingonkorvaus ei voi perustua keinotekoiseen laskentasääntöön, vaan väitetyt vahingot tulee näyttää toteen. Auditoinnista päädytäänkin usein sovintoneuvotteluihin, koska ohjelmiston toimittaja ja käyttäjä ovat vahvasti eri mieltä auditoinnin seurauksista.

Sovintoneuvotteluissa on syytä pitää pää kylmänä. Ohjelmistoyhtiö ei välttämättä edes tavoittele alun perin vaatimaansa täyttä korvausta, vaan ylipäätään jonkinlaista korvausta. Neuvotteleminen kannattaa lähes aina, sillä neuvotteluissa saavutettu lopputulos on yleensä parempi kuin alkuperäiseen vaatimukseen suostuminen.

On myös mahdollista, että toimittaja luopuu kaikista vaatimuksistaan, mikäli käyttäjä suostuu vaihtamaan perinteisen lisenssinsä ohjelmistoyhtiön uuteen liiketoimintamalliin, esimerkiksi pilvipalveluun. Tämä vaihtoehto voi tuntua käyttäjälle houkuttelevalta. On kuitenkin hyvä harkita huolellisesti, miten tarjottu ratkaisu soveltuu yhtiön liiketoimintaan. Vaikkei yhtiö haluaisi tai voisi siirtyä uuteen toimitusmalliin, se voi yleensä päästä yhteisymmärrykseen lisenssikorvauksista myyjän kanssa maksamatta täyttä vaatimuksen mukaista hintaa.

Varaudu auditointiin jo lisenssikauppaa harkitessasi

Asiakkaan on hyvä ymmärtää, että ohjelmistoyhtiölle lisenssiauditointi on muutakin kuin ohjelmiston käytön valvontaa: auditointi on osa ohjelmistoalan liiketoimintaa ja tapa tehdä puhdasta voittoa. Siksi auditointiin on hyvä varautua ennakolta, jo ohjelmiston lisensointia harkittaessa.

Viimeistään nyt olisi aika luopua ajatuksesta, että valmisohjelmistot on ostettava niillä ehdoilla, joita ohjelmistotoimittaja ensimmäisenä ehdottaa. Valmisohjelmistoa ei kannata ostaa kuin sikaa säkissä. Terävä ostaja arvioi neuvotteluasemansa ja neuvottelee sopimuksesta mahdollisuuksiensa mukaan.

Auditointien näkökulmasta asiakkaan kannattaisi sopimusneuvotteluissa vaatia järkeviä auditointiehtoja, jottei toimittaja voi myöhemmin pitää asiakasta ”panttivankinaan” ja vaatia kovia korvauksia lisenssinvastaisesta käytöstä. Kun jo sopimusneuvotteluissa varautuu tulevaisuuteen, ohjelmiston elinkaaren aikana säästyy vaivaa ja kuluja ja lisenssiauditointien lopputuloksia on helpompaa ennakoida.

Jaakko Lindgren
Maiju Klemola

Teollinen internet – kuka omistaa tiedon?

Suomen teollinen kehitys on aina liikkunut eteenpäin yhteiskunnallisten murrosten seurauksena. Raskas teollisuus syntyi tarpeesta maksaa sotakorvaukset. Suhdanteiden kääntyessä syntyi huoltopalveluiden kaltaisia elinkaaripalveluita, kun koneet ja laitteet yksinään eivät enää riittäneet kauppatavaraksi suhdannevaihteluissa.

Nyt Suomessa eletään taas uuden teollisen murroksen aikaa, teollisen internetin vallankumousta, joka mullistaa parhaillaan myös perinteisen raskaan teollisuuden liiketoimintamalleja.

Uusi teollinen vallankumous

Teollisen internetin perusajatus toisiinsa verkon kautta yhteydessä olevista ja keskenään keskustelevista esineistä ei ole uusi. Jo nyt monilla teollisuudenaloilla on käytössä järjestelmiä, joiden avulla koneita voidaan valvoa ja kontrolloida etävalvomoista käsin niihin kiinnitettyjen sensoreiden avulla. Yritysten väliseen teolliseen internetiin liittyvät tiedon hallintaa koskevat juridiset kysymykset voidaan ratkaista nykyisenlaisilla palvelu- ja toimeksiantosopimuksilla, kunhan toiminnan tarpeet ja erityispiirteet otetaan huomioon.

shutterstock_260642705Jo olemassa olevien teollisen internetin tiedonvälitysratkaisujen ennustetaan laajenevan kokonaisvaltaiseksi yhteiskuntia mullistavaksi laiteverkostoksi, esineiden internetiksi (Internet of Things). Siinä kodit, älyteknologialla varustetut vaatteet, itseohjautuvat autot ja kaupungin infrastruktuuri ovat kaikki yhteydessä tietoverkkoon ja sen kautta toisiinsa. Esineet vaihtaisivat siis jatkuvasti tietoja keskenään, mikä tehostaisi tuotantoketjuja ja loisi uusia toimialoja ja kaupallisia sovelluksia. Raskaan teollisuuden yritys voisi saada lisää tuloja teollisen internetin palveluista kun koneiden tarkemmasta optimoinnista tai huoltotoiminnan tehostumisesta.

Nyt käynnissä olevaa teollista murrosta voidaankin verrata Suomen talouden aiempiin suuriin murroskausiin. Etlan, Aalto-yliopiston ja VTT:n laatimassa selvityksessä Suomi – Teollisen internetin Piilaakso esitetäänkin, että jos maamme onnistuu sijoittautumaan esineiden internetin ensimmäiseen aaltoon, se on Suomelle miljardiluokan mahdollisuus.

Lisäarvona tieto, haasteena sen hallinta

Teollisen internetin tuottama lisäarvo perustuu siis pitkälti sen avulla kerättyyn ja tuotettuun tietoon. Tieto on kuitenkin kaupallisena hyödykkeenä ongelmallinen, sillä sitä ei lähtökohtaisesti voi omistaa, vaan sen käytön reunaehdot on määriteltävä hallintaoikeuksien kautta. Lähtökohtaisesti tieto kuuluu sille taholle, joka on valmistanut laitteen ja sen ohjelmiston sekä kerännyt tiedon niiden avulla. Teollisen internetin sovellusten kannalta esimerkiksi etähallittavan koneen keräämä tieto kuuluu koneen valmistajalle eikä koneen omistavalle ja sitä käyttävälle yhtiölle. Tällöin kuitenkin koneen tai laitteen omistaja ja käyttäjä tulee vahvasti sidotuksi sen valmistajaan. Tämä ei ole ehkä toivottavaa koneen omistajan näkökulmasta?

Sopimusvapauden perusteella laitteen ja tiedon hallintakytkös voidaan kuitenkin purkaa ja järjestää uudestaan. Tietojen käyttöön ja luotettavuuteen liittyvät sopimukset tulevatkin olemaan keskeinen elementti teollisen internetin kehityksessä.

Riskienhallintaa juridisilla ratkaisuilla

Teollisen internetin kehittyminen edellyttää ennen kaikkea luottamusta eri yritysten välillä, sillä keskenään keskustelevat älylaitteet herättävät pelkoa esimerkiksi liikesalaisuuksien vaarantumisesta.

Avainasemaan nousevat yritysten väliset pelisäännöt ja hyvin laaditut sopimukset, joilla varmistetaan kustannusten ja hyötyjen oikeudenmukainen jakautuminen. Lisäksi esineiden keskinäinen keskustelu edellyttää, että niille luodaan yhtenäinen kieli tai ainakin rajapinnat, jotka ymmärtävät erilaisten laitteiden kieltä. Maailmalla onkin vireillä useita kansainvälisiä standardointihankkeita teollisen internetin verkkojen ja tietovirtojen keskinäisen kommunikaation varmistamiseksi.

Teknisten ongelmien lisäksi tiedonsiirtoon liittyy kuitenkin myös lainsäädännöllisiä ongelmia, jotka koskevat erityisesti tilanteita, joissa yritykset ja kuluttajat kommunikoivat älylaitteilla. Tietosuojalainsäädäntö sekä Suomen että EU:n tasolla puuttuu henkilötietojen käsittelyyn, keräämiseen ja siirtoon tavalla, joka rajoittaa niiden kaupallista hyödyntämistä. Esineiden internet edellyttäneekin laajempaa lainsäädäntökeskustelua erityisesti siitä, miten tietoja voidaan käyttää kaupallisesti, vaikka myös yksityisyydensuojaan ja tiedolliseen itsemääräämisoikeuteen liittyvät kysymykset on otettava vakavasti.

Ei uhka vaan mahdollisuus

Esineiden internetin tuottamat haasteet vaativat siis uudenlaista juridista ajattelua ja uudenlaisia sopimuksia. Uuden järjestelmän tuottama lisäarvo syntyy nimenomaan esineiden välisessä keskustelussa, joten on äärimmäisen tärkeää määritellä liikkuvan tiedon omistajuuskysymykset sekä se, miten siitä saatavat hyödyt ja tulot jaetaan.

Teollisen internetin vallankumoukseen tulisikin suhtautua kuten aikanaan sotakorvauksiin: yhteisenä kansallisena haasteena, josta selviäminen lisää Suomen taloudellista vaurautta, kilpailukykyä ja hyvinvointia.

Jaakko Lindgren

Personal Data is the New Oil

All the superpower states, such as China, the US and Russia, have recently understood that in the internet era, personal data is the new oil, the defining natural resource that makes our lifestyle rise and fall. Consequently, these states have increased their interest in the personal data of their citizens and in the use of that data in business and commerce.

The US is by far the leader in the competition to collect, use and control the use of personal data, mainly thanks to large American internet and social media companies and legislation that grants extensive information rights to the state. However, China is not far behind.

Recently Russia has also taken some major steps in the field by enacting new legislative amendments restricting companies’ use of Russian citizens’ data.

Restrictions to Processing Data of Russian Citizens Abroad

In Russia, a set of new legislative amendments will come into force on 1 September 2015. The amendments are primarily aimed at restricting the processing of Russian citizens’ personal data on servers located outside of Russia. They also develop state supervision procedures and empower the Russian Data Protection Authority (Roscomnadzor), under certain conditions, to block access to websites where personal data violations take place.shutterstock_180756800_700px

From the perspective of data operators, it will be illegal to collect personal data of Russian citizens and directly send it to servers located outside of Russia without processing the data ‘with the use of’ a database installed on a Russia-based server or computer.

However, the amendments contain several exceptions. One of them could be interpreted as being applicable to Russian employees of international companies. The obligation to process data in Russian databases may not be applicable if personal data is processed either for purposes stipulated by an international agreement of the Russian Federation, for purposes set out in law or for exercising the powers or performing the functions and obligations of data operators under Russian law. The purposes for which employers process the data of their employees are in fact defined by law and, thus, may fall into the second category.

Websites Containing Illegally Processed Personal Data May Be Shut Down

Under the amendments, Roscomnadzor will be given powers to block access to websites containing illegally processed personal data in Russian territory. For this purpose, Roscomnadzor will enter the banned domain names, network addresses and other details in a special state register.

A website can be blocked only on the grounds of a court act. The website owner will be informed of the violation of personal data laws and asked to rectify the violation voluntarily prior to the website being blocked. If the violation is not rectified, the website will be blocked not later than in three days.

The website owner will have the right to apply for the removal of its website from the state register after all personal data violations have been rectified or if a court reverses the act blocking of the website. These rules can be construed as being applicable only to websites containing illegally processed personal data, including social networks, public databases, address books and blogs. On the other hand, Roscomnadzor may interpret the new rules broadly and try to apply them to all websites used in any way that violates any of the Russian legal requirements concerning personal data.

Practical Solutions to Legal Challenges

How, then, should one react to these new regulations and prevent localisation politics for affecting business? From a formal point of view, it will be necessary to relocate databases containing information about Russian clients, partners and, arguably, employees to Russia. If a company ignores data privacy requirements, it may be subject to several fines for various violations.

However, the legislative changes do not apply to cross-border data transfers. This fact provides certain loopholes for reorganisation of global ICT systems used by international companies. There will be no need to completely disconnect Russian offices or websites from the corporate networks. Keeping in mind that the amendments enter into legal force in less than five months, it is a good time to start assessing possible ways of modifying the ICT systems.

The strategic importance of oil has not prevented it from being an important commodity in international trade. Similarly, increased state interest in personal data is in no way an obstacle to continuing business. The importance of personal data for commercial actors is, indeed, one of the main factors that also make it interesting for any state.

In order to not let variable legislation affect your business in Russia, it’s better to consider possible options for complying with the new amendments and start preparations now.

Stanislav Rumyantsev

Jaakko Lindgren

Digitaalinen dystopia vuosimallia 2015

Digitaalisuudesta on tullut aikamme dystopia. Dystopia on utopian vastakohta, tulevaisuuden epätoivottava yhteiskunta. Miksi digitaalisuudesta on sitten tullut dystopia? Yhteiskunnastamme on tullut täysin riippuvainen digitaalisista järjestelmistä ja palveluista. Ilman niitä yritysten liiketoiminta pysähtyy. Yhteiskunnan perustoiminnot vaarantuvat ja kansalaisten luottamus koko järjestelmää kohtaan saavat järkkymään jo lyhyiden palvelukatkojen seurauksena.

Digitaalinen kehitys on edennyt yhteiskunnassa kiihtyvällä tahdilla, jopa niin nopeasti, ettei IT-järjestelmien ja niihin liittyvien sopimusten hallinta ei ole täysin seurannut perässä. IT-lakimies näkee tämän arjessaan valitettavan usein. Tässä muutama esimerkki.

Sopimuksesta pitää käydä ilmi myös järjestelmän ominaisuudet

Kun yrityksen IT-järjestelmien ylläpito ja kehitys halutaan kilpailuttaa uudelleen, lakimiehen tehtäväksi jää sopimusten laadinta.  Sopimusten laadintaa hankaloittaa tyypillisesti se, että IT-järjestelmiä ei tunneta tai ei tiedetä, miten ne toimivat. Toki tiedetään, että kun ne pyörivät niin kaikki sujuu hyvin, mutta toiminnan kuvaaminen kirjalliseen muotoon on hankalaa. Järjestelmät on luotu, mutta dokumentoitu hyvin puutteellisesti.

Mitkä ovat ominaisuuksia ja mitkä virheitä? Mitä palveluita tarvitaan? Mikä kuuluu palvelun hintaan ja mikä ei? Sopimuksesta tulee hampaaton, ellei siinä ole kuvattu järjestelmän ominaisuuksia. Siksi sopimuksissa tulisi pelkkien sopimusvelvoitteiden lisäksi kuvata toimitettavat järjestelmät ja palvelut kirjallisesti. Tällöin järjestelmien kilpailuttaminen on helpompaa ja toisaalta ongelmatilanteissa voidaan löytää syyllinen.

Työntekijöiden käyttämät pilvipalvelut ovat tietoturvariski

shutterstock_248636263 (1)Pilvipalvelut ja big data ovat paljon hoettuja mantroja. Monen organisaation toiminnassa IT-kehityksen suunta ei ole hallinnassa. Yksittäiset työntekijät ottavat pilvipalveluita työkäyttöön: tiedostoja saatetaan esimerkiksi tallentaa Dropboxiin, ja työntekijän vaihtaessa yhtiötä tiedot jäävät hänen Dropbox-tililleen. Miten yhtiö voi toteuttaa salassapitovelvoitteensa, jos se ei tiedä, missä yhtiön tiedot ovat? Kuinka yhtiössä voidaan ottaa käyttöön big dataan perustuvia analyysijärjestelmiä, jos tiedot eivät ole yhdessä paikassa, vaan ne on levitelty näppäriin pilvipalveluihin ympäri tietoverkkoa?

Käsityksemme mukaan ojia ei kaiveta niillä lapioilla, jotka ovat halvimpia tai joista työntekijät eniten pitävät, vaan niillä, jotka yhtiön rationaalisen päätöksen perusteella siihen parhaiten soveltuvat. IT-järjestelmien osalta kuulee puhuttavan, että työntekijät ovat yhtiön IT-osasto ja työssä pitää saada käyttää mukavia työvälineitä. Rationaalista kehitystä, eikö totta?

Yritykset ERP-järjestelmien panttivankeina

Toisena esimerkkinä ovat ERP-järjestelmät, joilla ohjataan monien yhtiöiden ja julkisten organisaatioiden toimintaa. Niistä on tullut osa yhtiön selkärankaa, ja jos ne eivät toimi, liiketoiminta pysähtyy. Toisaalta ERP-järjestelmät ovat merkittävä kuluerä, ja niiden vaihtaminen on äärimmäisen kallista. Lakimiehenä tätä on hankala uskoa, kun lukee, millaisia EPR-järjestelmien hankintasopimuksia organisaatioissa allekirjoitetaan.

ERP-toimittaja voi sanella sopimusten perusteella hyvin tiukkoja ehtoja toiminnalleen. Tyypillisesti toimittajan vastuut järjestelmän ongelmista ovat vähäiset, järjestelmän vaihtamiseen saatava apu on kallista ja toimittajalla on vapaa oikeus muuttaa hinnoitteluaan. Miksi halutaan tietoisesti joutua panttivangiksi? Lienee osa IT-alan Tukholma-syndroomaa.

IT-järjestelmä voi koitua liiketoiminnan kohtaloksi

Digitaalisesta utopiasta tulee digitaalinen dystopia, ellei IT-järjestelmien hankintaan ja hallintoon kiinnitetä enemmän huomiota. Hankintapäätökset tehdään ruusuisin kuvitelmin, mutta samalla unohdetaan se valitettava tosiasia, että jokaisessa IT-järjestelmässä on virheitä, useimmat IT-projektit epäonnistuvat, kaikki järjestelmät kaatuvat joskus ja tietomurtojen määrä on jatkuvasti kasvanut. Sopimukset tulisi siis laatia hallitsemaan näitä riskejä

IT-järjestelmät eivät ole enää vain kulujen säästämistä tai tulojen ansaitsemista tukevia järjestelmiä, vaan yrityksen koko toiminta elää – tai kuolee – niiden varassa. Olemme luoneet digitaalisen yhteiskunnan, mutta emme osaa vielä hallita sen riskejä. Opettelemme sitä vieläkin vuonna 2015. Emme saa luoda IT-järjestelmistä dystopiaa itsellemme. Haluaisimme uskoa mieluummin utopioihin myös vuonna 2015.

Jaakko Lindgren
Maiju Klemola