Data ja vastuullisuus ovat aiheita, jotka ovat kasvaneet yhä merkityksellisemmiksi organisaatioiden toiminnassa. Data nähdään nykyään organisaation itseymmärryksen voimavaraksi sekä toisaalta mahdollisuudeksi tarjota asiakkaille ja kansalaisille parempia ja yksilöllisempiä palveluita. Vastuullisuus on ollut organisaatioiden toiminnan tavoitteena jo pitkään. Vuodesta 2024 alkaen sovellettava EU:n Corporate Sustainability Reportive Directive (CSRD) konkretisoi aihetta jälleen uudella tavalla.
Dataa ja vastuullisuutta kannattaa pohtia paitsi erikseen myös yhdessä. Datan hyödyntämiseen liittyy mahdollisuuksia aivan uudenlaiseen arvonluontiin, mutta myös automaattisen ja nopean käsittelyn myötä kertautuviin riskeihin.
Datavastuullisuutta voi alkaa edistää viiden vaiheen kautta, joita tässä tekstissä käydään läpi. Vaiheet noudattavat pääpiirteissään Open Data Instituten Data Ethics Canvaksen rakennetta.
Autamme sinut alkuun datavastuullisuuden matkallasi myös valmennuksen muodossa, jota järjestämme seuraavan kerran syksyllä 2024. Valmennuksen tavoitteena on auttaa sinua tunnistamaan oman organisaatiosi datavastuullisuuden haasteita ja painopisteitä sekä hankkia ymmärrystä ja työkaluja datavastuullisuuden kehittämiseen.
1. Ymmärrä dataasi ja siihen liittyvää lainsäädäntöä
Aivan ensin kannattaa selvittää, minkälaista dataa organisaatiolla on käytössään. Vaihe voi tuntua itsestään selvältä, mutta omia datalähteitä ja järjestelmiä läpikäymällä saattaa myös yllättyä. Datan kerääminen esimerkiksi verkkosivujen tai sosiaalisen median analytiikan kautta on nykyään halpaa tai jopa ilmaista, minkä vuoksi dataa voi lojua nurkissa turhaan.
Mikäli datalle ei ole järkevää käyttötarkoitusta, kannattaa pohtia, onko sen kerääminen tai käsittely lainkaan tarpeellista. Käsittely vie resursseja, minkä lisäksi tiedon säilyttäminen sisältää aina myös riskejä sen vuotamisesta ja väärinkäytöstä. Datakäytäntöjen virtaviivaistaminen palvelee vastuullisuutta, mutta myös tiedolla johtamista, palveluiden kehittämistä ja mahdollista liiketoimintaa.
Tietoinventaarioksi sanotaan prosessia, jossa datalähteitä käydään läpi ja dokumentoidaan järjestelmällisesti. Inventaariossa kannattaa määritellä, mistä data on peräisin, ja minkälaisia lupia tai käyttöoikeuksia siihen liittyy. Samalla tunnistetaan datan muoto ja merkitys: onko kyse esimerkiksi taulukkoon tallennetuista myynnin tunnusluvuista vai Word-tiedostoon tehdyistä asiakashaastatteluiden muistiinpanoista? Onko kyse henkilötiedoista, joita tietosuojalainsäädäntö koskee?
Dataan liittyvän lainsäädännön noudattamista voidaan pitää vastuullisuuden kivijalkana. Tietoinventaarion aikana tunnistetaan myös organisaation omat henkilötietojen käsittelyprosessit, mikä on välttämätöntä tietosuojalainsäädännön noudattamisen näkökulmasta.
Dataan sovellettavaan lainsäädäntöön vaikuttaa datan tyypin lisäksi mm. se, minkälaisella sektorilla tai toimialalla toimitaan. EU-alueella kehitetään GDPR:n jatkoksi paljon uuttakin lainsäädäntöä. Myös pk-yrityksiin vaikuttavaan digipalvelusäädökseen (DSA) sekä uusia mahdollisuuksia avaavaan digimarkkinasäädökseen (DMA) voit tutustua Sitran ja eOppivan avoimella Datatalouden ABC -verkkokurssilla.
2. Määrittele datan hyödyntämisen tavoitteet sekä tuotettava lisäarvo
Omiin datalähteisiin tutustuminen herättää todennäköisesti ajatuksia siitä, miten dataa voisi hyödyntää aiempaa fiksummin. Osa datasta saatetaan todeta tarpeettomaksi, ja osa toisaalta nostaa keskiöön oman organisaation tavoitteiden ja palveluiden näkökulmasta. Kaikella datan hyödyntämisellä tulisi olla tavoite, joka on linjassa lainsäädännön kanssa, tuottaa jonkinlaista arvoa organisaatiolle ja asiakkaille sekä kestää eettistä tarkastelua monesta näkökulmasta.
Esimerkiksi verkkomediaa ylläpitävä yritys saattaa pohtia, miten se voisi algoritmien avulla suositella asiakkaille heitä kiinnostavaa sisältöä. Datan hyödyntämisen tavoitteen voisi tällöin purkaa kahteen osaan: haluamme tarjota asiakkaille aiempaa tehokkaammin aiempaa parempia suosituksia.
Digi- ja datapalveluiden tavoite liittyy yleensä ainakin osittain jonkin prosessin automatisointiin ja tehostamiseen. Suosittelualgoritmin tapauksessa tehokkuuden toteutuminen voi olla helppoa todeta: botti voi suositella sisältöä laajemmin ja nopeammin kuin esimerkiksi chatin kautta palveleva asiakaspalvelu.
Tavoitteen toinen osa siitä, että suositukset olisivat aiempaa parempia, on kuitenkin tehokkuutta monitulkintaisempi asia. Ensinnäkin algoritmin paremmuutta voi arvioida erikseen verkkolehden ja käyttäjän näkökulmasta. Verkkolehti saattaa mitata onnistumista esimerkiksi klikkausten määrällä, ja tämä mittari saattaa vaikuttaa myös mainostajilta saataviin tuloihin. Mutta mitä paremmat suositukset tarkoittavat asiakkaalle? Riittääkö todisteeksi klikkaus vai mitataanko tyytyväisyyttä erikseen esimerkiksi kyselyllä?
Jos henkilö saadaan viettämään aikaa mediassa mahdollisimman pitkään, voidaan algoritmia pitää lehden kannalta onnistuneena. Toisaalta tämä voi kertoa kiinnostavan sisällön lisäksi myös riippuvuutta aiheuttavasta sisällöstä, jonka kuluttaminen ei välttämättä pitkällä tähtäimellä lisää käyttäjien hyvinvointia tai palvelun arvoa asiakkaiden silmissä.
Tavoitteiden tarkastelu monesta näkökulmasta auttaa pohtimaan niiden eettisyyttä. Kyse ei ole valinnasta oikean ja väärän välillä, vaan harkinnasta ja oman toiminnan läpinäkyväksi tekemisestä myös itselle. Data mahdollistaa uudenlaisia palveluita ja toimintamalleja. Datavastuullisen organisaation tulisi käyttää dataa aidosti asiakkaita palvelevien palveluiden tarjoamiseen ja myös varmistaa tavoitteiden toteutumista monipuolisilla mittareilla.
3. Ennakoi mahdollisia riskejä yksilöille ja ihmisryhmille
Datan hyödyntäminen avaa ovia uusiin mahdollisuuksiin, mutta voi sisältää myös erityisiä riskejä. Joskus riskit voivat johtua yksinkertaisesti siitä, että dataa käsitellään liian laajasti, sitä julkaistaan harkitsemattomasti tai sitä vuotaa esimerkiksi tietomurron tai inhimillisen virheen vuoksi. Vastaamon tietomurto on havahduttanut suomalaisia pohtimaan, miten sensitiivistä tietoa yksilöistä liikkuu esimerkiksi etäyhteyksien varassa.
Vastuullisuusriskit eivät kuitenkaan liity pelkästään henkilötietojen käsittelyyn. Esimerkiksi kartta- ja paikkatietojen julkaisua arvioidaan myös kansallisen turvallisuuden näkökulmasta. Data voi olla organisaation tai yhteiskunnan kannalta sensitiivistä tai salaista, vaikka se ei olisikaan henkilötietoa.
Hieman huomaamattomammat datan hyödyntämisen riskit voivat olla seurausta siitä, että päätöksiä tehdään virheelliseen tai puutteelliseen lähdedataan tukeutuen. Ensinnäkin päätösten taustalla olevan datan tulisi olla totuudenmukaista ja tarkkaa. Jos esimerkiksi yrityksen laitehankintojen ympäristövaikutuksia on mitattu väärin, eivät tehdyt päätöksien seuraukset ole eettisiä toivotulla tavalla.
Vaikka päätöksien taustalla oleva data olisi oikeellista, se saattaa olla vinoutunutta tai yksipuolista. Jos esimerkiksi yritys haluaa tehostaa rekrytointiaan tekoälyllä ja käyttää nykyisten työntekijöidensä joukkoa tekoälyn kouluttamiseen, muodostuu helposti malli, jossa nykyisten työntekijöiden valikoituneet ominaisuudet ja mielipiteet heijastuvat myös tekoälyn suosituksiin. Tekoäly saattaa päätellä lähdeaineiston pohjalta, että koska nykyiset työntekijät ovat suurilta osin miehiä, niin toivottu työntekijä on todennäköisemmin mies. Päätöksistä voi näin tulla syrjiviä.
Tilastollisten menetelmien, algoritmien ja tekoälyn hyödyntäminen voivat tehdä datan käsittelyprosesseista niin monimutkaisia, että riskejä voi olla vaikeaa eritellä tai huomata. Kun päätöksenteossa on ihmisten lisäksi mukana koneet, on entistä tärkeämpää käydä kaikki päätöksenteon vaiheet huolella läpi ja pohtia, minkälaisia seurauksia vaiheilla on eri ihmisryhmille. Esimerkiksi yhdenvertaisuusvaltuutettu teki 2018 ratkaisun, jossa se katsoi yhtiön evänneen henkilöltä luottoa syrjivällä tilastollisella pisteytysjärjestelmällä, joka hyödynsi dataa henkilön asuinpaikasta, sukupuolesta, iästä ja äidinkielestä. Ratkaisun mukaan tietojen kysyminen ei sinänsä ollut ongelma, mutta tietoja hyödynnettiin arvioinnissa syrjivällä tavalla.
4. Viesti datasta läpinäkyvästi ja ymmärrettävästi
Kun datan hyödyntämisen tavoitteita ja riskejä on käyty läpi, tarkastellaan, miten prosesseista kerrotaan läpinäkyvästi. Läpinäkyvyyttä on hyvä kehittää niin asiakkaiden ja käyttäjien kuin muidenkin sidosryhmien suuntaan. Jos organisaatio ei ole selventänyt datan käsittelyä itselleen (vaihe 1), ei se voi viestiä siitä läpinäkyvästi myöskään muille.
Asiakkaille läpinäkyvyydellä mahdollistetaan se, että he voivat arvioida dataa hyödyntävien palveluiden vastuullisuutta. Yleensä palvelun käyttäjille viestitään nimenomaan henkilötietojen käsittelystä erillisen informoinnin avulla. Jos palvelun tietosuojaselosteessa on epäilyttäviä elementtejä, voi asiakas valita muita palveluita. Sitran 2021 kartoituksessa 37% kuluttajista totesi, että luottamuksen puute estää heitä käyttämästä digipalveluita.
Nykytilanteessa haasteita henkilötietojen käsittelyn läpinäkyvyydelle asettaa tietosuojaselosteiden pituus ja monimutkaisuus. Palvelun käyttöönoton yhteydessä annettu hyväksyntä ei välttämättä kerro siitä, että datan käsittelyprosesseihin olisi tutustuttu tai varsinkaan siitä, että niitä olisi ymmärretty. Informoinnin ymmärrettävyyttä voi lisätä pilkkomalla sitä osiin ja käyttämällä erilaisia visuaalisia elementtejä. Esimerkiksi suomalaisten yliopistojen DataLit -hankkeessa kehitetään kuvakkeita, joilla voisi kertoa henkilötietojen käsittelystä aiempaa ymmärrettävämmin.
Yksisuuntaisesta informoinnista kannattaa pyrkiä vuorovaikutukseen asiakkaiden kanssa. Keskustelemalla heidän kanssaan esimerkiksi verkkosivun chatin kautta oppii lisää siitä, mikä asiakkaita oikeasti datan käsittelyssä kiinnostaa ja mietityttää. Datan käsittelystä puhumista saattaa leimata tekninen tai juridinen kieli silloinkin, kun se ei ole välttämätöntä. Jos asiakkaan kanssa pääsee keskustelemaan hänelle ominaisilla ilmaisuilla, saattaa saada arvokasta tietoa läpinäkyvyyden ja palveluiden asiakaslähtöiseen kehittämiseen.
Läpinäkyvyyttä kannattaa rakentaa myös sidosryhmien ja muun yhteiskunnan suuntaan esimerkiksi vastuullisuusraportoinnin kautta. Suomalaisetkin organisaatiot ovat tuoneet datan osaksi vastuullisuusraportointiaan mm. kuvaamalla, miten tietosuojan ja tietoturvan toteutumista seurataan ja mitataan. Monet suomalaiset organisaatiot ovat julkaisseet myös tietotilinpäätöksiä, jotka keskittyvät puhtaasti tiedon ja datan arvoon organisaatiossa.
5. Huolehdi prosesseista, joilla vastuullisuus toteutuu organisaatiossa
Datavastuullisuutta edistetään datalähteitä ja lainsäädäntöä tunnistamalla, tavoitteita määrittelemällä, riskejä ennakoimalla sekä läpinäkyvyyttä rakentamalla. Vastuullisuus ei kuitenkaan toteudu, jos ei määritellä toimenpiteitä ja vastuita, joilla asiat etenevät organisaation arjessa.
Vastuullisuus ei ole yksittäisen työntekijän harjoitus vaan yhdessä tekemistä. Datavastuullisuuteen liittyvät keskustelut koskevat ainakin johtoa, tuotekehitystä, tietohallintoa, tiedon käsittelijöitä sekä tietosuoja- ja tietoturva-asiantuntijoita. Jos eri rooleissa olevat henkilöt löytävät datasta keskusteluun yhteisen kielen ja määrittelevät yhdessä tärkeimmät kysymykset, otetaan iso askel kohti vastuunjakoa ja tehtävälistaa.
Vastuullisuustyö on aina myös työntekijöiden osaamisen kehittämistä. Kun vastuullisuusosaaminen kytkeytyy osaksi uusien työntekijöiden perehdytystä, rakennetaan tietoista toimintakulttuuria datan hyödyntämisen mahdollisuuksista ja riskeistä. Näin varmistetaan, että eettiset periaatteet eivät jää vain pdf-tiedostoksi verkkolevyllä, vaan toteutuvat organisaation arjessa.
Tässä artikkelissa käytiin läpi datavastuullisuuden edistämistä viiden päävaiheen kautta. Aiheeseen voi tutustua lisää mm. Open Data Instituten ja Sitran materiaalien kautta. Digi- ja väestötietovirasto on julkaissut oppaan tekoälyn vastuullisesta hyödyntämisestä.
Varmista organisaatiosi valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen – ilmoittaudu syksyn valmennukseen
TIEKE tarjoaa datavastuullisuuden valmennusta ammattilaisille. Valmennuksen tavoitteena on oppia tunnistamaan oman organisaation datavastuullisuuden haasteita ja painopisteitä sekä hankkia ymmärrystä ja työkaluja datavastuullisuuden kehittämiseen. Valmennuksen jälkeen osallistujalla on valmiuksia edistää datavastuullisuutta omassa organisaatiossaan tunnistettujen painopisteiden pohjalta.
Seuraava TIEKEn datavastuullisuuden valmennus alkaa tiistaina 10.9.2024.
Valmennus on suunnattu kaikille, jotka työskentelevät datan, tekoälyn, vastuullisuuden tai tietohallinnon parissa, ja haluaisivat kehittää datavastuullisuutta omassa organisaatiossa. Olet tervetullut mukaan, vaikka datavastuullisuus ei olisikaan organisaatiossasi ajankohtainen kehityskohde juuri tällä hetkellä.
- Lisälukemistoa
Vastuullisuus ja teknologian hyödyntäminen
Aloita kestävyys mielessä
Mitä kestävän kehityksen mukainen toiminta oikeastaan tarkoittaa? Onko siihen olemassa yksinkertaisia tapoja? Vastaus on oikeastaan kyllä ja ei. Kestävän kehityksen periaatteet ovat yksinkertaisia, mutta kuten tiedämme, yksinkertaiset asiat eivät välttämättä ole helppoja. Tässä artikkelissa käymme läpi neljä kestävän kehityksen periaatetta ja avaamme esimerkkien kautta, miten niitä voidaan käyttää jokapäiväisessä toiminnassa tieto- ja viestintäteknologian kanssa.
https://tieke.fi/aloita-kestavyys-mielessa/
Mitä kestävyys tarkoittaa sinulle?
Kestävä kehitys nousi puheenaiheeksi 2010-luvun alussa, kun YK julkaisi vuosituhattavoitteiden jatkoksi kestävän kehityksen tavoitteet. Vaikka monia kestävän kehityksen malleja on esitetty ja sen eteen tehdään paljon työtä institutionaalisella tasolla, harvemmin katsotaan asiaa yksilön näkökulmasta. Jos asia on mietityttänyt sinua, lue lisää tästä artikkelista.
https://tieke.fi/mita-kestavyys-tarkoittaa-sinulle/
Kymmenen yksinkertaista keinoa toimia tietotekniikassa kestävämmin
Kestävä kehitys on tekoja, jotka alkavat kestävyys mielessä. Tarkoitus ei ole päästä täydellisyyteen kestävyydessä. Tietotekniikassa se ei vielä ole oikeastaan mahdollistakaan, vaan tarkoitus on tehdä asioita kestävämmin. Kerromme 10 yksinkertaista tapaa toimia kestävämmin.
https://tieke.fi/kymmenen-yksinkertaista-keinoa-toimia-tietotekniikassa-kestavammin/
Tietosuojaan ja datavastuullisuuteen liittyen
GDPR4CHLDRN-hankkeen alkukyselyssä kartoitettiin 13–17-vuotiaiden lasten ja nuorten, heidän vanhempiensa sekä harrastustoimintaa järjestävien yhdistysten tietosuojaosaamista ja henkilötietojen käsittelyyn liittyviä asenteita. Lue tuloksista:
https://tieke.fi/gdpr4chldrn-alkukyselyn-tulokset-linjassa-aikaisempien-selvitysten-kanssa-tuotoksille-kysyntaa-kentalla/
Jaksammeko huolehtia tietosuojaoikeuksistamme? Innostuksen ja kiireen keskellä saattaa olla kiusaus ohittaa selosteet tietosuojasta ja palveluiden käyttöehdoista. Miksi emme aina jaksa vaivautua sekä mitä voimme asialle tehdä?
https://tieke.fi/jaksammeko-huolehtia-tietosuojaoikeuksistamme/
Tietosuojatyökalun testeillä voit arvioida, miten hyvin yrityksessänne on huomioitu keskeisiä yleisen tietosuoja-asetuksen eli GDPR:n asettamia vaatimuksia. Tutustu testiin sivustolla:
https://www.tietosuojaapkyrityksille.fi/tyokalun_etusivu/
DiyKS – Digiosaavat yritykset ja yhteisöt Keski-Suomessa
DiyKS-hankeessa olemme auttaneet mikro- ja pk-yrityksiä sekä järjestöjä päivittämään toimintaansa digiaikaan. Olemme mm. järjestäneet webinaareja tietoturvan, tietosuojan, verkkolaskutuksen ja digitaitojen osaamismerkkien teemoista. Tämä artikkeli on tuotettu osana DiyKSin toimintaa.
DiyKS-hankkeen tuotokset on koottu Jamkin hankesivustolle
Katso webinaaritallenteita TIEKEn YouTube-kanavan DiyKS-soittolistalla
Hankeaika
1.9.2022 – 31.12.2023
Hankekumppanit
Jyväskylän ammattikorkeakoulu Jamk, koordinaattori
TIEKE
Rahoittaja
Hanketta rahoittaa Euroopan maaseudun kehittämisen maatalousrahasto: Eurooppa investoi maaseutualueisiin. Rahoitus on myönnetty Keski-Suomen ELY-keskuksen kautta.
Lisätiedot
Jamk: Timo Kerminen
TIEKE: Hanna Vuohelainen
DiyKS-hankkeen verkkosivut