Data Act – Tunne Datasi

Euroopan Unioni on julkaissut uuden datasäädöksen, joka astuu kokonaisuudessaan voimaan vuonna 2026. Datasäädös asettaa vaatimuksia datan jakamiselle. Datan jakovelvoitteet kohdistuvat verkkoon liitettyjen tuotteiden dataan ja tuotteeseen liittyvän palvelun dataan, joka on ”helposti saatavilla”. Edelliseen virkkeeseen sisältyy useita käsitteitä, jotka on määritetty datasäädöksessä ja joille ei löydy vastinetta olemassa olevasta lainsäädännöstä. Jotta datasäädöksen soveltamisalaan kuuluva toimija voi toteuttaa datan jakamista koskevia velvoitteitaan, tulee tämän tunnistaa, mihin dataan velvoitteet kohdistuvat ja miten jakovelvoite voidaan teknisesti toteuttaa.

Datan tunnistaminen edellyttää sitä, että on tunnistettu ensinnäkin verkkoon liitetyt tuotteet ja tuotteeseen liitetyt palvelut, toiseksi tuotteen data ja tuotteeseen liittyvän palvelun data, sekä vielä kolmanneksi mikä tuosta datasta on säädöksen mukaan ’helposti saatavaa’ ja/tai sellaista, että sen jakamiseen kohdistuu rajoituksia. Tällaisia rajoituksia voi liittyä muun muassa liikesalaisuuksia sisältävään dataan ja henkilötietoina pidettävään dataan. Datan tyypin ja luonteen tunnistamisen lisäksi datanjakovelvoitteiden toteuttaminen edellyttää myös datan säilytyspaikkojen ja tietovirtojen tunnistamista.

Asetuksesta seuraa siis epäsuorasti vaatimuksia organisaation tiedonhallinnalle. Sinänsä tässä ei ole mitään uutta, viimeistään GDPR:n myötä on tiedonhallintaan kohdistunut regulatorisia vaatimuksia muillekin kuin julkissektorin toimijoille, mutta mitä enemmän vaatimuksia tiedonhallintaan kohdistuu, sitä tärkeämmäksi tiedonhallinta ja siinä omaksutut käytännöt käyvät.

Datasäädöksen voimaan tulolla on myös merkittävä liiketaloudellinen näkökulma. Data itsessään tuo merkittävää liiketoimintaetua yrityksille, jotka kykenevät dataa keräämään ja hallinnoimaan. Tämä koskee erityisesti monikansallisia monialaisia toimijoita, jotka pystyvät keräämään laajasti dataa kuluttajista erilaisten palveluiden ja tuotteiden kautta. Mutta myös yhtä lailla erilaisten laajempien laitekokonaisuuksien toimittajia, joille tämä laitteista kerätty data tarjoaa merkittävää hyötyä esimerkiksi tuotekehityksen sekä huoltoliiketoiminnan edistämiseen. Tänä päivänä tuo data on lähtökohtaisesti sen keräävän yrityksen omaisuutta ja tuo sille liiketoimintaetua.

EU organisaatio on nyt myös havahtunut tähän asiaan ja haluaa Data Act säädöksen avulla varmistaa, että tuo data ei ole suljettuna yhden toimijan tietovarastoihin. Erityisesti kun nämä toimijat voivat helposti olla EU alueen ulkopuolisia toimijoita.

Data Act säädöksen ydin viesti on, että datan täytyy olla pyydettäessä jaettavissa datan tuottavan ja sitä hyödyntävän verkoston sisällä. Tällä pyritään poistamaan mahdollisuus suhteettomiin markkinahyötyihin datan avulla sekä varmistamaan että kerätystä datasta pystyy hyötymään laajempi joukko yrityksiä. Tämä luo uusia liiketoimintamahdollisuuksia yrityksille sekä myös mahdollistaa paremmin nykyisten palveluiden kilpailuttamisen.

Tunne Datasi

Datan syntyprosessi on sinällään yksinkertainen. Laitteet keräävät dataa antureilla, joka tallennetaan ensin laitteiden ympäristössä ja edelleen lähetään pilviympäristöön taltioitavaksi laajemmassa kontekstissa. Data voidaan analysoida ja tulkita jo laitetasolla, ja sitä kautta tarjota laitteen käyttäjälle tukea laitteen toiminnasta, sekä tarjota lisäarvopalveluita. Dataa myös jalostetaan ja analysoidaan pilviympäristössä laajemmassa mittakaavassa mitä kautta syntyy laajempaa näkemystä laitteiden toiminnasta.

Regulaation mukaisesti, data, jonka laitteet keräävät esimerkiksi antureiden ja muiden toimintojen kautta on yksiselitteisesti regulaation piirissä. Tämä data pitää pystyä luovuttamaan pyydettäessä. Mutta regulaatiossa on ehtoja datan luovutussäännölle. Mikäli data on selkeästi jalostettua ja sen jatkojalostamiseen on tehty selkeitä panostuksia, se ei enää ole suoraan luovutussäädöksen piirissä. Sama koskee esimerkiksi dataa, jonka yritys voi osoittaa sisältävän selkeitä liiketoimintasalaisuuksia.

Molemmat lisäehdot vaativat laitteella ja pilviympäristössä olevan datan tarkkaa tuntemusta ja kykyä osoittaa mitä dataa on kerätty, miten sitä on potentiaalisesti jalostettu, ja miltä osin data ei ole luovutusehdon piirissä. Miten näitä sääntöjä tullaan tulkitsemaan, on toki vielä täysin usvan peitossa ennen kuin ennakkotapauksia asiasta tulee.

Datan syntyprosessi ja sitä jäsentäminen lähtee liikkeelle tuotekehitysprosessista missä laite suunnitellaan ja määritellään mitä dataa anturit keräävät ja miten se käytännön tasolla taltioidaan. Tässä syntyy tärkeää tietoa siitä mitä tietoa kerätään ja mihin tarkoitukseen, sekä erityisesti myös teknisellä tasolla, mikä on tietoelementtien tarkka tunniste ja mihin tiedot tallennetaan.

Osana laitteen kehitysprosessia suunnitellaan erilaisia toimintoja mitkä hyödyntävät kerättyä dataa laitteen toiminnan analysointiin, vikaantumisen ennustamiseen jne. Tässä astutaan jo sellaiselle alueelle mitä voidaan pitää ”harmaana” alueena regulaation suhteen.

Kun laitteiden tietoja kerätään pilviympäristöön, käynnistyy toinen tuotekehitysprosessi missä kehitetään analytiikkaa ja ennustemalleja tietoja hyödyntäen. Näitä tietoja voidaan hyödyntää omassa tuotekehityksessä sekä uusien palvelumallien tarjoamisessa asiakkaille.

Regulaatioon vastaamisen kannalta on tärkeä kuvata ja ymmärtää koko edellisten prosessien aikana määritelty ”data lineage” ketju. Millä tavalla data kerätään, sitä siirretään eri laitteiden ja ympäristöjen välillä, ja miten sitä edelleen jalostetaan vaiheittain. Tämän tiedon avulla on mahdollista osoittaa mikä osa kerätystä tiedosta on puhdasta raakadataa, mitä on jalostettu potentiaalisesti liiketoimintasalaisuuden määritelmän alla olevilla algoritmeilla, sekä mihin osaan datan jalostuksesta on hyödynnetty esimerkiksi suoria henkilötyöpanostuksia.

Hallintamallin ja johtamisen merkitys

Laitteilta pilveen asti ulottuvan data ketjun kuvantaminen ja dokumentointi regulaatiota varten on helposti tehtävissä omana projektinaan. Mutta tällöin riskinä on, kuten kaikessa muussakin data tekemisessä, kyseisen tuotoksen arvon vääjäämätön lähestyminen nollaa ajan myötä.

Tärkeämpää on tunnistaa prosessit, missä näitä datan keräämiseen suunnattuja luodaan, ja luoda hallintamalli millä varmistetaan, että asia tulee dokumentoitua asian mukaisesti ja dokumentaatiota myös ylläpidetään kaikkien muutosten yhteydessä.

Hallintamalli edellyttää vaadittujen dokumenttien tunnistamista ja sisällön määrittelyä, mitä asioita edellytetään dokumentoivaksi, jotta regulaation vaatimuksiin voidaan jatkossa vastata. Dokumentaatiosta tulee vähintään käydä selkeästi esille jokaisen kerätyn data elementin tarkoitus ja rooli datajoukossa, miten se on muodostunut mahdollisesti pidemmän toimintoketjun tuloksena, sekä missä se on taltioituna teknisenä tietona.

Kun vaaditut asiat on tunnistettu, näiden tuottaminen ja ylläpitäminen pitää vastuuttaa organisaatiossa. Ensimmäinen asia on määrittää dokumentaatiolle ja sen ajantasaisuudelle omistaja, jonka tehtävänä on varmistaa, että dokumentaatio luodaan ja sitä ylläpidetään systemaattisesti. Luonnollinen paikka tälle voisi esimerkiksi löytyä tuotekehityksen johtorooleista.

Käytännön tasolla tarvitaan todennäköisesti useiden eri roolien ja tiimien osallistamista dokumentaation tuottamiseen. Tämä on monesti helpointa tehdä siten että tehtävät tuodaan osaksi esimerkiksi tuotekehitysprosessia ja sen tuotoksia.

Regulaatioon valmistautumisen kannalta on olennaista kuitenkin varmistaa, että tällainen dokumentaatio on olemassa. Dokumentaation pitää olla tarvittaessa hyödynnettävissä, kun joudutaan määrittelemään, mitä tietoa pitää luovuttaa ja minkä datan suojaus on kriittistä liiketoiminnan kannalta.

Yhteenveto

Uudet regulaatiot nostavat tiedonhallinnan merkitystä yrityksissä entisestään. Data Act on yksi näistä uusista regulaatioista, joka vaikuttaa erityisesti yrityksiin, jotka eri tavoin keräävät dataa laitteiden ja muiden palveluiden avulla. Tässäkin ensimmäinen ja keskeisin asia on tunnistaa ja ymmärtää se data jota yritys hallinnoi, sekä sen jälkeen ottaa tämä data hallintaan hyvien käytäntöjen mukaisesti.

Liisa Holopainen – Fondia Oyj

Janne Maijanen – Sparta Consulting Oy