Timmi Softwaren toimitusjohtajan avoin kirje

16.10.2018

GDPR-lisäominaisuuksien hinnasta

Timmin ohjelmistoihin kehitetyt GDPR-lisäominaisuudet on otettu käyttöön suurimmassa osassa asiakaskuntaamme. Vaikka kehitystyötä jouduttiin alkuvuonna tekemään paikoin lähes lennossa – tietosuoja-asetuksen viralliset tulkinnat hakivat muotoaan aivan siirtymäajan loppumetreille asti – on lopputulos kaikkiaan onnistunut. Käyttöönotot sujuivat ongelmitta, ja asiakkailtamme on tullut kiitosta uusien toiminnallisuuksien helppokäyttöisyydestä.

GDPR-lisäominaisuuksiin ollaan oltu pääsääntöisesti tyytyväisiä, mutta yksi aihe on herättänyt paljon keskustelua ja soraääniäkin: GDPR-lisäominaisuuksien hinta. Monien mielestä GDPR-yhteensopivuuden varmistavat lisäominaisuudet ja uudistukset olisi pitänyt saada käyttöön maksutta. Haluaisin nyt vielä selventää, miksi näin ei ole.

Digimaailman kevättulva

GDPR on herättänyt turhautumisen tunteita monilla asiakkaillamme: lainsäädännön muuttuminen on tuottanut kaikille merkittävästi töitä, joita ei muutoin olisi välttämättä jouduttu tekemään – ainakaan vielä. Ylimääräisten töiden lisäksi päälle tuli vielä välttämätön ohjelmistohankinta GDPR-lisäominaisuuksiemme muodossa. Tämä näkökulma on tietenkin täysin ymmärrettävä.

Tietosuoja-asetus oli IT-maailmassa harvinainen force majeure-tilanne: yleisesti kaikkien toimintaan vaikuttava tapahtuma, johon yksittäisellä toimijalla ei ole minkäänlaista sananvaltaa. Meidän kaikkien, niin Timmi Softwaren kuin kaikkien teidän asiakkaidemmekin, kädet olivat sidotut. Laki muuttui ja tämän muutos saneli meiltä vaaditut toimenpiteet. Jotkut saattavat muistaa 1990-luvun lopulla läpikäydyn Y2K-hullunmyllyn, tai markka-ajasta euroon siirtymisen, joissa oli samankaltaisia piirteitä.

Timmin ohjelmistojen saattaminen GDPR-yhteensopiviksi ei ollut mitenkään triviaali asia, vaan se vaati jokaisen timmiläisen ponnisteluja. Lakimuutoksen tulkinnat lyötiin lukkoon vasta aivan kalkkiviivoilla, joten meille ei käytännössä ollut mahdollista ennakoida ja leipoa muutoksia mukaan esimerkiksi ohjelmistojemme viimeisimpiin versiopäivityksiin. Vasta kun ymmärrettiin, mitkä julkisten rekisterinpitäjien vastuut käytännön tasolla jatkossa olisivat, pääsimme tekemään vaatimusmäärittelyjä, ja lopulta näiden valmistuttua saimme koodarimme haasteen kimppuun.

Kehitystyön määrä oli kertakaikkiaan merkittävä, koska jouduimme taivuttamaan ohjelmistomme toimimaan tavalla, jolla sen ei koskaan oltu kuviteltukaan joutuvan operoimaan. Innovatiiviset mielet tuotekehitystiimissämme keksivät näihin visaisiin haasteisiin lopulta mielestäni varsin elegantit ratkaisut, mutta kyseessä oli ehdottomasti työvoitto, ei onnenkantamoinen.

Vaikka tiesimme jo EU:n tietosuoja-asetuksen julkaisupäivänä, 2016 vuoden kesällä, että jonkinasteisia toimenpiteitä meiltä tullaan vaatimaan, oli GDPR-lisäominaisuuksien kehittäminen edelle kuvattujen seikkojen johdosta normaalin tuotekehitystiekarttamme ulkopuolinen kiiretyö. Siksi sitä olisi ollut mahdotonta sisällyttää osaksi normaalia laskutustamme.

Tehdyllä työllä on ollut tärkeä tarkoitus

On kuitenkin mielestäni tärkeää muistaa, ettei GDPR ole missään nimessä negatiivinen uudistus. Kuten kaikki uudistukset, se aiheuttaa työtä ja päänvaivaa siirtymäkautensa aikana, mutta lopputuloksena meillä on paitsi tietoturvaltaan ja käyttäjäkokemukseltaan paremmat tietojärjestelmät, niin GDPR:n tapauksessa vaikutukset ovat historiallisella tasolla.

Tietoyhteiskunnassa arvokkain resurssi on nimittäin data, ja nyt jokaisella suomalaisella on kansainvälisesti tunnustettu oikeus päättää itseään koskevan datan käsittelystä, niin nyt, kuin tulevaisuudessakin. Tätä oikeutta turvaamaan säädetty lainsäädäntö on varustettu niin terävillä sakkohampailla, että sitä tottelevat alan suurimmatkin jättiläiset.

Itsemääräämisoikeuden ulottaminen koskemaan dataamme on lopulta merkittävä askel paitsi meille, niin myös jotain minkä jätämme perintönä jälkipolvillemme – ja ainakin minun mielestäni näkemämme vaivan arvoista.

Jukka Valkonen

Toimitusjohtaja

Timmi Software Oy

 

PS.

Ruotsissa jaetaan kahden viikon sisällä ensimmäiset GDPR-tuomiot: Datainspektionen on tutkinut 66 ruotsalaista toimijaa tietosuoja-asetuksen rikkomisesta, joista yli puolet on viranomaisia. 35 ruotsalaista julkisen sektorin toimijaa uhkaa siis rangaistus lakirikkomuksista, joka yrityksille voi tarkoittaa sakkoa, jonka summa on jopa kymmenen miljoonaa tai 2% vuotuisesta liikevaihdosta.

Vielä ei tiedetä, miten sakkorangaistuksia sovelletaan julkisiin toimijoihin, mutta selvää on, etteivät ne ole pelkästään viranomaisstatuksensa johdosta immuuneja GDPR-tutkinnoille.

Linkki uutiseen: https://www.tivi.fi/Kaikki_uutiset/ruotsissa-tulossa-ensimmaiset-gdpr-tuomiot-tutkinnassa-66-yritysta-mukana-tuttuja-nimia-6743102

Jos tämä avoin kirjeeni herätti sinussa ajatuksia, niin jatkan mielelläni keskustelua kanssasi 
Laita minulle sähköpostia osoitteeseen jukka.valkonen@timmi.fi tai soittele 050 557 8113