Tekoälysäädös on vihdoin viittä vaille valmis ja ulkona. Kesäloman saamme viettää rauhassa, ehkä henkisesti valmistautuen, mutta jo reilun 6 kuukauden kuluttua astuvat ensimmäiset vaatimukset voimaan. Paniikki! Mikä neuvoksi?
En kannata pyörän uudelleen keksimistä. Meillä tietosuoja-ammattilaisilla on kokemusta ja osaamista, jota tarvitaan myös tekoälysäädöksen implementoinnissa. Tekoälysovelluksien niin koulutusdatassa kuin käyttötilanteissa käsitellään henkilötietoja, jolloin GDPR astuu mukaan kuvioihin. On siis järkevää keskittää regulaatiotsunamin taklaus osaaville ja kokeneille tietosuojatiimeille ja laajentaa heidän tehtäväkenttäänsä tietosuojasta tekoälynhallintaan. Väitettäni tukee Pohjoismaiden tietosuojaviranomaisten julkilausuma, josta voi rivien välistä lukea, että tulevan säädöksen valvonta laskeutuu heidän työpöydilleen. Jos ja toivottavasti kun organisaatiossasi on tehty tietosuojatyötä jo vuosien ajan, on helpointa rakentaa tekoälysäädöksen vaatimukset sisään jo olemassa olevaan hallintamalliin.
Hyvin suunniteltu on puoliksi tehty
EU-asetuksien siirtymäaika on tuttua kauraa. Keväällä 2018 tietosuoja-asiantuntijoilla oli tulipalokiire, kun organisaatioissa valmistauduttiin tietosuoja-asetukseen. Tietosuoja-asiantuntijoiden kokemusta asetuksien implementaatioprojekteista kannattaa hyödyntää ja valmistautuminen tekoälysäädökseen aloittaa hyvissä ajoin. Kaikki lähtee liikkeelle selkeästä projektisuunnitelmasta.
Päivitä nykyinen dokumentaatio
Organisaatioissa pitäisi olla jo dokumentoituna GDPR:n vaatimat selosteet käsittelytoimista, eli henkilötietojen käsittelyyn liittyvät prosessit. Luultavasti organisaatiossasi on myös olemassa IT-osaston ylläpitämä järjestelmäsalkku. Päivitä nykyistä dokumentaatiotasi lisäämällä tieto, missä prosesseista hyödynnetään tekoälyä ja missä järjestelmissä on jo käytössä tai mahdollista käyttää tekoälyn toiminnallisuuksia. Tätä kautta säädöksen vaatimia toimia on helpompi lähteä kohdentamaan.
Selkeä viestintä on kaiken a ja o
GDPR on jo 6 vuoden ajan velvoittanut organisaatioita kertomaan henkilötietojen käsittelystä yksilöille. EU:n tekoälysäädöksessä on myös vaatimus informoida tekoälyjärjestelmien toiminnallisuuksista ja valvontamekanismeista. Mikset sisällyttäisi tätä vaatimusta olemassa oleviin tietosuojaselosteisiin ja käyttöehtoihin?
Riskiarvioinnit tulee suorittaa ennen tekoälytoiminnallisuuksien käyttöönottoa
Riskilähtöinen lähestymistapa on GDPR:stä jo tuttua. Organisaatiossasi pitäisi olla olemassa jo prosessit, joissa arvioidaan tietosuojariskejä ja tietyissä tilanteissa suoritetaan tietosuojaa koskevat vaikutustenarvioinnit eli DPIA:t. Tuleva säädös tuo lyhenteiden joukkoon myös FRIA:n eli Fundamental Righst Impact Assesesmentin. Miksi et hyödyntäisi organisaatioissasi jo vuosien kertynyttä kokemusta yksilön riskienarvioinneista ja sisällyttäisi FRIA-arviointia osaksi olemassa olevaa DPIA-prosessia?
Aurinkoista kesää toivottaen,
GDPR-Gepardi AI-viidakossa
Oona Matinpalo (oona.matinpalo@tietoturva.fi) toimii Tietoturva ry:n hallituksessa ja on vastuussa Deloitten tietosuojapalvelujentarjonnasta Suomessa.