EU:n tuleva datasäädös myllertää IT:tä
Yksi modernin IT:n kannalta merkittävimpiä lainsäädäntöhankkeita on nytkähtänyt eteenpäin tänä keväänä, mutta asia on jäänyt mediassa pitkälti maailman tapahtumien jalkoihin. Kyse on tietenkin EU:n Data Actista eli täkäläiseltä nimeltään yksinkertaisesti datasäädöksestä.
Kaikista euroopanlaajuisista tietotekniikan sääntelyhankkeista varmasti tunnetuin on GDPR, vaikka muutos vanhaan Suomen lainsäädäntöön ei lopulta suunnattoman suuri ollutkaan. Sen voimaantulo kuitenkin yhtenäisti tietosuojakäytäntöjä ja ennen muuta nosti henkilötietojen käsittelyn globaalisti IT-hankkeiden keskiöön.
Datasäädöksen (Data Act) tavoite on ehkä vielä kunnianhimoisempi: tukea datavetoisia ekosysteemejä pakottamalla osapuolet avaamaan datansa ja vähentämällä toimittajalukkojen mahdollisuuksia. Säädöksen ehdotusversio julkaistiin helmikuussa. Matkaa voimaantuloon lienee vielä vuosia, mutta suunnitelmat ovat sen verran vaikuttavia, että ne ansaitsevat ensivilkaisun jo tässä vaiheessa.
Mikä muuttuu datan käsittelyssä?
Datasäädöksen ensimmäisenä tavoitteena on tehdä tiedonkeruusta läpinäkyvää: Jos kuluttaja tai yritys ostaa palvelua, jonka tuloksena kertyy dataa, tämän datan kertymisen ehdot ja käyttötavat on kuvattava. ”Mutta onhan meillä henkilötietoselosteetkin, eikä niitäkään kukaan lue”, murahtaa joku siellä takarivissä. Tämä on totta. Yleisten datakuvausten vaikutus kuitenkin korostuu, kun datasiilojen avaaminen tulee muuten tarpeelliseksi. Jatka siis lukemista, hyvä skeptinen toverini!
Merkityksen keruun avoimuudelle antaa vaatimus datan avaamisesta. Käyttäjän on jatkossa päästävä käsiksi käyttönsä myötä syntyneeseen dataan ilmaiseksi ja mahdollisuuksien mukaan myös reaaliaikaisesti. Lisäksi data on myös avattava pyydettäessä asiakkaan osoittamalle kolmannelle osapuolelle. Vaatimus on hyvin erilainen kuin esimerkiksi GDPR:ään pohjautuvissa tietopyynnöissä, sillä käytännössä kustannustehokas toteutus säännöksestä tarkoittaa, että rajapintojen toteuttaminen tulee pakolliseksi osaksi kaikkia myytäviä palveluita. Monet GDPR-haasteista pystyi korjaamaan asiakaspalvelun keinoin, kun taas datasäädöksen vaatimukset edellyttävät konkreettisia sovellusten muutoksia.
Koronapandemian siivittämänä datasäädös tuo mukanaan myös velvoitteen avata tietovarastot julkishallinnolle poikkeusolosuhteiden vallitessa. Tätä säännöstä tuskin kovin usein tarvitaan, mutta periaatteellisesti ratkaisu on olennainen, sillä se luo lainsäädännöllisen puitteen ”datan sosialisoinnille” painavan yhteiskunnallisen tarpeen niin vaatiessa.
Pilvipalvelua on voitava vaihtaa
Suorien datankäsittelyyn liittyvien vaatimusten lisäksi datasäädös sisältää vaatimuksen siitä, että tietojenkäsittelypalveluiden tarjoajien on tehtävä omista palveluistaan luopuminen helpoksi. Tämä vaatimus kohdistuu siis erityisesti IaaS-, PaaS- ja SaaS-palveluiden tarjoajiin. Helppouden kriteereihin kuuluu mm. korkeintaan 30 päivän irtisanomisaika, sitoutuminen tukemaan migraatiossa pois omalta alustalta ja taata palveluiden jatkuvuus siirtymän aikana. Lisäksi kaiken tämän pitää lopulta olla myös asiakkaalle ilmaista.
Datasäädöksessä vaatimukset asetetaan ennen muuta sille toimittajalle, jonka palvelusta ollaan luopumassa. IaaS-palveluiden osalta on huolehdittava, että palvelut siirtyvät uuteen ympäristöön ”toiminnallisesti vastaavina”. SaaS- ja PaaS-palveluiden osalta riittää tarjota julkiset, mahdollisimman standardinmukaiset rajapinnat.
Vaatimukset ovat kovia, ja niin tietysti on tarkoituskin – vasta aika näyttää, millaiseksi niiden tulkinta osoittautuu. Perusajatus kuitenkin on pakottaa pilvipalveluiden tarjoajat kilpailemaan hinta- ja laatutekijöillä toimittajalukon sijaan. Samalla vaatimukset kannustavat myös avointen rajapintojen tarjoamiseen laajemminkin, mikä taas tukee myös sopimuskauden aikaista datan yhteiskäyttöä.
Miksi datan vapaa käytettävyys on niin tärkeää?
Tietojenkäsittelypalveluntarjoajille asetettavat vaatimukset palveluiden siirrettävyydestä ovat merkittäviä. Yhteiskuntavaikutusten suuressa mittakaavassa ne jäävät kuitenkin datan avaamisen vaatimusten varjoon, ja komissio laskeekin, että dataratkaisujen avaaminen lisää EU-alueen bruttokansantuotetta 270 miljardilla vuoteen 2028 mennessä.
Mistä tämä hyöty sitten koostuu? Älykotia virittelevä kuluttaja voisi luottaa siihen, että kaikki laitteet voidaan kohtuullisen helposti virittää yhteyteen toistensa kanssa. Kuluttaja ei joudu niin helposti ekosysteemien vangiksi, vaan voi yhdistellä parhaita paloja eri valmistajilta – ja myös siirtyä niiden välillä.
Tehtaaseen asennetun polttouunin telemetriatiedot taas eivät saa jäädä vain sen valmistajan haltuun, vaan data on avattava asiakkaalle – ja reiluin ehdoin myös esimerkiksi kilpailevalle huoltotaholle tai vaikkapa startupille, joka hyödyntää tehdaslaitteiden tapahtumatietoja optimoidakseen kokonaisuutta jollain uudella tavalla. Tämä puolestaan avaa uusia mahdollisuuksia eri järjestelmien datan yhdistämiselle ja uudenlaiselle asiantuntijatyölle.
Teoreettiset skenaariot on helppo ymmärtää. Käytännön vaikutuksia on hankalampi hahmottaa, ja selvää lieneekin, että läheskään kaikille direktiivin piiriin kuuluville sovelluksille ei välittömästi datan käyttäjiä edes löydy. Toisaalta sovelluksia palveluna myyvien organisaatioiden voi olla vaikea ennustaa avoimuuden kysyntää, ja rajapintoihin on ehkä ryhdyttävä panostamaan joka tapauksessa.
Lainsäädäntöprosessia vielä jäljellä
Datasäädöksen läpimeno ei tietysti ole vielä varmaa, ja moni teollisuudenala lobbareineen on asettunut vastustamaan joitain säännöksiä. Yksityiskohdista riittääkin varmasti vääntämistä. Datasäädös rajaa esimerkiksi pienet ja keskisuuret yritykset (EU:n määritelmän mukaan alle 250 työntekijää tai 50 miljoonaa liikevaihtoa) useimpien vaatimusten ulkopuolelle, jolloin sääntely kohdistuisi välittömästi suuriin järjestelmätoimijoihin, ei niinkään jokaiseen startup-hankkeeseen. Toisaalta kulttuurinen muutos ja kasvavat asiakkaiden odotukset leviävät koskettamaan kaikkia, vaikkei laki vaatisikaan.
Oma kysymyksensä on myös se, onko säädöksen ”liikesalaisuuksia ei tarvitse luovuttaa, eikä luovutettua dataa saa käyttää kilpailevan tuotteen tekemiseen”-tyyppinen fiilissääntely riittävän täsmällistä ollakseen tehokasta. Näiden reunaehtojen täsmennykset voivat vielä olennaisesti vaikuttaa siihen, millaiseksi kokonaisvaikutus muodostuu.
Joka tapauksessa EU-komissio on pistänyt arvovaltansa peliin yhteiskuntatason datastrategian puolesta, ja datasäädös on tämän tarinan viimeinen puuttuva palanen. Jossain muodossaan säädös varmasti menee läpi, ja esimerkiksi Suomen hallitus on jo antanut hankkeelle siunauksensa. Tällä hetkellä asia on meillä eduskunnan käsiteltävänä, ja prosessi jatkuu ympäri Euroopan kuluvan vuoden aikana.
Huomionarvoista on se, että ainakin tällä hetkellä asetuksen perusosan on tarkoitus tulla voimaan 12 kuukaudessa hyväksynnästä. Aika rivakka tahti siis, vaikka joillekin säännöksille esim. pilvipalvelusiirtymien osalta onkin annettu peräti kolmen vuoden lisäaikoja. Kun juna nytkähtää liikkeelle, sitten onkin jo kiire.
Edessä integraatiohommia
Datasäädöksen laajat yhteiskunnalliset vaikutukset todennäköisesti näkyvät datavetoisen liiketoiminnan kasvuna, kun datan yhdistelyyn perustuvien palveluiden tarjoaminen helpottuu. Mutta ennen kuin EU-alue muuttuu datatalouden Eldoradoksi, tehtävänä on paljon käytännön arkista IT-duunia.
Varhaisen arviomme mukaan datasäädöksellä on ainakin seuraavia vaikutuksia:
Ensinnäkin datan laatuun ja jaeltavuuteen liittyvät kysymykset nousevat yhä vahvemmin esiin. Datakatalogit, hallittu rajapintajulkaisu (API Management) ja selkeät käytännöt projektien datamallintamiseen korostuvat.
Toisaalta kulttuurinen siirtymä kohti datan avoimuutta tuo integraatiomäärittelyn yhä keskeisemmäksi osaksi kaikkia järjestelmäsuunnitteluhankkeita. Vaikka jokaiseen järjestelmään ei APIa tehtäisikään, jonkinlainen henkinen ”valmiusselvitys” tullee arjen osaksi.
Yritykset tuskin ryhtyvät vaihtamaan vakiintuneita pilvipalveluitaan vain siksi että se on mahdollista, mutta pilvitarjoajiin kohdistuvat siirrettävyysvaatimukset lisäävät datan avoimuutta ja käsiteltävyyttä merkittävästi. Tämä tullee vaikuttamaan myös järjestelmähankkeiden tekniikkaan, sillä datan dumppaukseen sopivat rajapinnat tarjoavat uusia työkaluja myös itse kehitystyöhön.
Neljänneksi: monet datan siirrettävyyden hyödyt vaativat käytännössä sitä, että datalle on yhtenäinen sanasto – siirtoformaatti, ontologia, protokolla tai miksi sitä haluaakin kutsua. Toimialakohtaisten datamuotojen kevytstandardointi tullee vahvistumaan, mikä aiheuttaa ajan mittaan muutospaineita myös siihen, miten järjestelmät sisäisesti käsittelevät tietoa.
Viidenneksi voi tietysti myös todeta sen, että juristit saavat jälleen lisää töitä, kun datan käyttösopimuksia ja datasäädöksen tulkintaa päästään oikein tosissaan tekemään.
Haluatko pohtia rajapintastrategiaasi? Mietityttääkö oman integraatioympäristön kypsyysaste? Ota yhteyttä!
Jounin lähes 30 vuoden IT-uran ydin on ollut koodaamisessa, mutta nykyisin hän keskittyy teknologiastrategiaan, auditointeihin ja hankemäärittelyihin. Jouni on Devisioonan toimitusjohtaja ja yksi maailman 180 Microsoft Regional Directorista. Hänet on myös palkittu vuoden 2023 Microsoft-vaikuttajana työstään Azure-pilven ja tekoälyn parissa.