Dataa ja vastuullisuutta kannattaa pohtia yhdessä ja erikseen. Datan hyödyntämiseen liittyy paljon mahdollisuuksia sekä riskejä, eikä vastuullisuus kilpisty pelkäksi yksilöharjoitukseksi. Artikkelissa käymme läpi viisi vaihetta datavastuullisuuden edistämiseksi. TIEKEn valmennus aiheesta alkaa 14.3.2024 - lue lisää ja ilmoittaudu mukaan täällä.

Data ja vastuullisuus ovat aiheita, jotka ovat kasvaneet yhä merkityksellisemmiksi organisaatioiden toiminnassa. Data nähdään nykyään organisaation itseymmärryksen voimavaraksi sekä toisaalta mahdollisuudeksi tarjota asiakkaille ja kansalaisille parempia ja yksilöllisempiä palveluita. Vastuullisuus on ollut organisaatioiden toiminnan tavoitteena jo pitkään. 2024 alkaen sovellettava EU:n Corporate Sustainability Reportive Directive (CSRD) konkretisoi aihetta jälleen uudella tavalla.

Dataa ja vastuullisuutta kannattaa pohtia paitsi erikseen myös yhdessä. Datan hyödyntämiseen liittyy mahdollisuuksia aivan uudenlaiseen arvonluontiin, mutta myös automaattisen ja nopean käsittelyn myötä kertautuviin riskeihin. Datavastuullisuutta voi edistää viiden vaiheen kautta, joita tässä tekstissä käydään läpi. Vaiheet noudattavat pääpiirteissään Open Data Instituten Data Ethics Canvaksen rakennetta.

1. Ymmärrä dataasi ja siihen liittyvää lainsäädäntöä

Aivan ensin kannattaa selvittää, minkälaista dataa organisaatiolla on käytössään. Vaihe voi tuntua itsestään selvältä, mutta omia datalähteitä ja järjestelmiä läpikäymällä saattaa myös yllättyä. Datan kerääminen esimerkiksi verkkosivujen tai sosiaalisen median analytiikan kautta on nykyään halpaa tai jopa ilmaista, minkä vuoksi dataa voi lojua nurkissa turhaan.

Mikäli datalle ei ole järkevää käyttötarkoitusta, kannattaa pohtia, onko sen kerääminen tai käsittely lainkaan tarpeellista. Käsittely vie resursseja, minkä lisäksi tiedon säilyttäminen sisältää aina myös riskejä sen vuotamisesta ja väärinkäytöstä. Datakäytäntöjen virtaviivaistaminen palvelee vastuullisuutta, mutta myös tiedolla johtamista, palveluiden kehittämistä ja mahdollista liiketoimintaa.

Tietoinventaarioksi sanotaan prosessia, jossa datalähteitä käydään läpi ja dokumentoidaan järjestelmällisesti. Inventaariossa kannattaa määritellä, mistä data on peräisin, ja minkälaisia lupia tai käyttöoikeuksia siihen liittyy. Samalla tunnistetaan datan muoto ja merkitys: onko kyse esimerkiksi taulukkoon tallennetuista myynnin tunnusluvuista vai Word-tiedostoon tehdyistä asiakashaastatteluiden muistiinpanoista? Onko kyse henkilötiedoista, joita tietosuojalainsäädäntö koskee?

Dataan liittyvän lainsäädännön noudattamista voidaan pitää vastuullisuuden kivijalkana. Tietoinventaarion aikana tunnistetaan myös organisaation omat henkilötietojen käsittelyprosessit, mikä on välttämätöntä tietosuojalainsäädännön noudattamisen näkökulmasta.

Dataan sovellettavaan lainsäädäntöön vaikuttaa datan tyypin lisäksi mm. se, minkälaisella sektorilla tai toimialalla toimitaan. EU-alueella kehitetään GDPR:n jatkoksi paljon uuttakin lainsäädäntöä. Myös pk-yrityksiin vaikuttavaan digipalvelusäädökseen (DSA) sekä uusia mahdollisuuksia avaavaan digimarkkinasäädökseen (DMA) voit tutustua Sitran ja eOppivan avoimella Datatalouden ABC -verkkokurssilla.

2. Määrittele datan hyödyntämisen tavoitteet sekä tuotettava lisäarvo

Omiin datalähteisiin tutustuminen herättää todennäköisesti ajatuksia siitä, miten dataa voisi hyödyntää aiempaa fiksummin. Osa datasta saatetaan todeta tarpeettomaksi, ja osa toisaalta nostaa keskiöön oman organisaation tavoitteiden ja palveluiden näkökulmasta. Kaikella datan hyödyntämisellä tulisi olla tavoite, joka on linjassa lainsäädännön kanssa, tuottaa jonkinlaista arvoa organisaatiolle ja asiakkaille sekä kestää eettistä tarkastelua monesta näkökulmasta.

Esimerkiksi verkkomediaa ylläpitävä yritys saattaa pohtia, miten se voisi algoritmien avulla suositella asiakkaille heitä kiinnostavaa sisältöä. Datan hyödyntämisen tavoitteen voisi tällöin purkaa kahteen osaan: haluamme tarjota asiakkaille aiempaa tehokkaammin aiempaa parempia suosituksia.

Digi- ja datapalveluiden tavoite liittyy yleensä ainakin osittain jonkin prosessin automatisointiin ja tehostamiseen. Suosittelualgoritmin tapauksessa tehokkuuden toteutuminen voi olla helppoa todeta: botti voi suositella sisältöä laajemmin ja nopeammin kuin esimerkiksi chatin kautta palveleva asiakaspalvelu.

Tavoitteen toinen osa siitä, että suositukset olisivat aiempaa parempia, on kuitenkin tehokkuutta monitulkintaisempi asia. Ensinnäkin algoritmin paremmuutta voi arvioida erikseen verkkolehden ja käyttäjän näkökulmasta. Verkkolehti saattaa mitata onnistumista esimerkiksi klikkausten määrällä, ja tämä mittari saattaa vaikuttaa myös mainostajilta saataviin tuloihin. Mutta mitä paremmat suositukset tarkoittavat asiakkaalle? Riittääkö todisteeksi klikkaus vai mitataanko tyytyväisyyttä erikseen esimerkiksi kyselyllä?

Jos henkilö saadaan viettämään aikaa mediassa mahdollisimman pitkään, voidaan algoritmia pitää lehden kannalta onnistuneena. Toisaalta tämä voi kertoa kiinnostavan sisällön lisäksi myös riippuvuutta aiheuttavasta sisällöstä, jonka kuluttaminen ei välttämättä pitkällä tähtäimellä lisää käyttäjien hyvinvointia tai palvelun arvoa asiakkaiden silmissä.

Tavoitteiden tarkastelu monesta näkökulmasta auttaa pohtimaan niiden eettisyyttä. Kyse ei ole valinnasta oikean ja väärän välillä, vaan harkinnasta ja oman toiminnan läpinäkyväksi tekemisestä myös itselle. Data mahdollistaa uudenlaisia palveluita ja toimintamalleja. Datavastuullisen organisaation tulisi käyttää dataa aidosti asiakkaita palvelevien palveluiden tarjoamiseen ja myös varmistaa tavoitteiden toteutumista monipuolisilla mittareilla.

3. Ennakoi mahdollisia riskejä yksilöille ja ihmisryhmille

Datan hyödyntäminen avaa ovia uusiin mahdollisuuksiin, mutta voi sisältää myös erityisiä riskejä. Joskus riskit voivat johtua yksinkertaisesti siitä, että dataa käsitellään liian laajasti, sitä julkaistaan harkitsemattomasti tai sitä vuotaa esimerkiksi tietomurron tai inhimillisen virheen vuoksi. Vastaamon tietomurto on havahduttanut suomalaisia pohtimaan, miten sensitiivistä tietoa yksilöistä liikkuu esimerkiksi etäyhteyksien varassa.

Vastuullisuusriskit eivät kuitenkaan liity pelkästään henkilötietojen käsittelyyn. Esimerkiksi kartta- ja paikkatietojen julkaisua arvioidaan myös kansallisen turvallisuuden näkökulmasta. Data voi olla organisaation tai yhteiskunnan kannalta sensitiivistä tai salaista, vaikka se ei olisikaan henkilötietoa.

Hieman huomaamattomammat datan hyödyntämisen riskit voivat olla seurausta siitä, että päätöksiä tehdään virheelliseen tai puutteelliseen lähdedataan tukeutuen. Ensinnäkin päätösten taustalla olevan datan tulisi olla totuudenmukaista ja tarkkaa. Jos esimerkiksi yrityksen laitehankintojen ympäristövaikutuksia on mitattu väärin, eivät tehdyt päätöksien seuraukset ole eettisiä toivotulla tavalla.

Vaikka päätöksien taustalla oleva data olisi oikeellista, se saattaa olla vinoutunutta tai yksipuolista. Jos esimerkiksi yritys haluaa tehostaa rekrytointiaan tekoälyllä ja käyttää nykyisten työntekijöidensä joukkoa tekoälyn kouluttamiseen, muodostuu helposti malli, jossa nykyisten työntekijöiden valikoituneet ominaisuudet ja mielipiteet heijastuvat myös tekoälyn suosituksiin. Tekoäly saattaa päätellä lähdeaineiston pohjalta, että koska nykyiset työntekijät ovat suurilta osin miehiä, niin toivottu työntekijä on todennäköisemmin mies. Päätöksistä voi näin tulla syrjiviä.

Tilastollisten menetelmien, algoritmien ja tekoälyn hyödyntäminen voivat tehdä datan käsittelyprosesseista niin monimutkaisia, että riskejä voi olla vaikeaa eritellä tai huomata. Kun päätöksenteossa on ihmisten lisäksi mukana koneet, on entistä tärkeämpää käydä kaikki päätöksenteon vaiheet huolella läpi ja pohtia, minkälaisia seurauksia vaiheilla on eri ihmisryhmille. Esimerkiksi yhdenvertaisuusvaltuutettu teki 2018 ratkaisun, jossa se katsoi yhtiön evänneen henkilöltä luottoa syrjivällä tilastollisella pisteytysjärjestelmällä, joka hyödynsi dataa henkilön asuinpaikasta, sukupuolesta, iästä ja äidinkielestä. Ratkaisun mukaan tietojen kysyminen ei sinänsä ollut ongelma, mutta tietoja hyödynnettiin arvioinnissa syrjivällä tavalla.

4. Viesti datasta läpinäkyvästi ja ymmärrettävästi

Kun datan hyödyntämisen tavoitteita ja riskejä on käyty läpi, tarkastellaan, miten prosesseista kerrotaan läpinäkyvästi. Läpinäkyvyyttä on hyvä kehittää niin asiakkaiden ja käyttäjien kuin muidenkin sidosryhmien suuntaan. Jos organisaatio ei ole selventänyt datan käsittelyä itselleen (vaihe 1), ei se voi viestiä siitä läpinäkyvästi myöskään muille.

Asiakkaille läpinäkyvyydellä mahdollistetaan se, että he voivat arvioida dataa hyödyntävien palveluiden vastuullisuutta. Yleensä palvelun käyttäjille viestitään nimenomaan henkilötietojen käsittelystä erillisen informoinnin avulla. Jos palvelun tietosuojaselosteessa on epäilyttäviä elementtejä, voi asiakas valita muita palveluita. Sitran 2021 kartoituksessa 37% kuluttajista totesi, että luottamuksen puute estää heitä käyttämästä digipalveluita.

Nykytilanteessa haasteita henkilötietojen käsittelyn läpinäkyvyydelle asettaa tietosuojaselosteiden pituus ja monimutkaisuus. Palvelun käyttöönoton yhteydessä annettu hyväksyntä ei välttämättä kerro siitä, että datan käsittelyprosesseihin olisi tutustuttu tai varsinkaan siitä, että niitä olisi ymmärretty. Informoinnin ymmärrettävyyttä voi lisätä pilkkomalla sitä osiin ja käyttämällä erilaisia visuaalisia elementtejä. Esimerkiksi suomalaisten yliopistojen DataLit -hankkeessa kehitetään kuvakkeita, joilla voisi kertoa henkilötietojen käsittelystä aiempaa ymmärrettävämmin.

Yksisuuntaisesta informoinnista kannattaa pyrkiä vuorovaikutukseen asiakkaiden kanssa. Keskustelemalla heidän kanssaan esimerkiksi verkkosivun chatin kautta oppii lisää siitä, mikä asiakkaita oikeasti datan käsittelyssä kiinnostaa ja mietityttää. Datan käsittelystä puhumista saattaa leimata tekninen tai juridinen kieli silloinkin, kun se ei ole välttämätöntä. Jos asiakkaan kanssa pääsee keskustelemaan hänelle ominaisilla ilmaisuilla, saattaa saada arvokasta tietoa läpinäkyvyyden ja palveluiden asiakaslähtöiseen kehittämiseen.

Läpinäkyvyyttä kannattaa rakentaa myös sidosryhmien ja muun yhteiskunnan suuntaan esimerkiksi vastuullisuusraportoinnin kautta. Suomalaisetkin organisaatiot ovat tuoneet datan osaksi vastuullisuusraportointiaan mm. kuvaamalla, miten tietosuojan ja tietoturvan toteutumista seurataan ja mitataan. Monet suomalaiset organisaatiot ovat julkaisseet myös tietotilinpäätöksiä, jotka keskittyvät puhtaasti tiedon ja datan arvoon organisaatiossa.

5. Huolehdi prosesseista, joilla vastuullisuus toteutuu organisaatiossa

Datavastuullisuutta edistetään datalähteitä ja lainsäädäntöä tunnistamalla, tavoitteita määrittelemällä, riskejä ennakoimalla sekä läpinäkyvyyttä rakentamalla. Vastuullisuus ei kuitenkaan toteudu, jos ei määritellä toimenpiteitä ja vastuita, joilla asiat etenevät organisaation arjessa.

Vastuullisuus ei ole yksittäisen työntekijän harjoitus vaan yhdessä tekemistä. Datavastuullisuuteen liittyvät keskustelut koskevat ainakin johtoa, tuotekehitystä, tietohallintoa, tiedon käsittelijöitä sekä tietosuoja- ja tietoturva-asiantuntijoita. Jos eri rooleissa olevat henkilöt löytävät datasta keskusteluun yhteisen kielen ja määrittelevät yhdessä tärkeimmät kysymykset, otetaan iso askel kohti vastuunjakoa ja tehtävälistaa.

Vastuullisuustyö on aina myös työntekijöiden osaamisen kehittämistä. Kun vastuullisuusosaaminen kytkeytyy osaksi uusien työntekijöiden perehdytystä, rakennetaan tietoista toimintakulttuuria datan hyödyntämisen mahdollisuuksista ja riskeistä. Näin varmistetaan, että eettiset periaatteet eivät jää vain pdf-tiedostoksi verkkolevyllä, vaan toteutuvat organisaation arjessa.

Tässä artikkelissa käytiin läpi datavastuullisuuden edistämistä viiden päävaiheen kautta. Hanki ymmärrys ja työkalut vastuulliseen datan ja tekoälyn hyödyntämiseen TIEKEn 14.3.24 alkavassa Datavastuullisuuden valmennuksessa.

Artikkeli on alun perin tuotettu osana Jyväskylän ammattikorkeakoulun ja TIEKEn hanketta DiyKS - Digiosaavat yritykset ja yhteisöt Keski-Suomessa. (2022-2023).