GDPR oli vasta alkua. Nyt mitataan organisaatioiden hallintakyvykkyys

Digitalisaatio, geopoliittinen epävarmuus ja tekoälyn nopea käyttöönotto ovat muuttaneet organisaatioiden riskiprofiilia pysyvästi. Sääntely ei ole enää yksittäisiä velvoitteita, vaan osa rakenteellista riskienhallintaa.

“GDPR oli vasta alkua”

GDPR käynnisti hallintomurroksen, joka muutti ajattelun ei vain sääntelyä. Ennen GDPR:ää ajateltiin suurin piirtein näin:

• tietosuoja = rekisteriseloste
• vastuu = tietohallinnolla
• riskit = epämääräisiä

GDPR toi mukanaan osoitusvelvollisuuden, dokumentoidun riskiperusteisuuden, johdon vastuun ja sakot, jotka herättivät. GDPR oli ensimmäinen sääntely, joka pakotti organisaatiot rakentamaan hallintamallin.

GDPR paljasti kyvykkyysvajeen

Monessa organisaatiossa GDPR toteutettiin projektina, jossa tuotettiin tarvittava dokumentaatio ja koulutettiin henkilöstö. Se oli ymmärrettävää, mutta samalla moni havaitsi, että pysyvää hallintamallia ei vielä syntynyt.

Mutta miten toimii jatkuva riskienhallinta? Miten riskit näkyvät johtotason raportoinnissa? Ja onko vastuunjako todella selkeä?  Yhä varsin usein näemme dokumentteja, mutta emme niinkään toimivaa mallia.

GDPR loi mallin muulle sääntelylle

Nyt sama rakenne toistuu muissa sääntelyissä. NIS2 vaatii riskiperusteista kyberturvaa. DORA vaatii ICT-riskien hallintaa. AI Act vaatii tekoälyn riskiluokittelua ja dokumentointia. Data Act vaatii hallittua datan jakamista ja toimialakohtaisissa datasääntelyissä tarkennetaan toimialan lakien riskienhallintaa esim. EHDS. GDPR ei ollut poikkeus. Se oli suunnannäyttäjä.

Viime aikoina on käynnistynyt keskustelu sääntelyn purkamisesta. Se on pääasiassa keskittynyt sääntelyn määrään.

Organisaatioiden arjessa ratkaisevaa on kuitenkin sääntelyn luonne. Luonne ei ole muuttumassa, sillä riskiperusteisuus säilyy, osoitusvelvollisuus säilyy, dokumentointivaatimus säilyy ja johdon vastuu säilyy. Vaikka raportointia kevennettäisiin, perusrakenne pysyy. Sääntely voi keventyä hallinnollisesti, mutta se ei poistu rakenteellisesti.

“Nyt puhutaan hallintakyvykkyydestä”

Toimintaympäristössämme on siirrytty yksittäisistä laeista rakenteeseen. Kun sääntelyä yhtenäistetään tai yksinkertaistetaan, organisaatio tarvitsee entistä enemmän selkeää kokonaiskuvaa, rakenteen, joka yhdistää velvoitteet sekä hallintamallin, joka kestää muutokset. Toisin sanoen mitä enemmän sääntely elää, sitä tärkeämpää on oma sisäinen kyvykkyys.

Mitä hallintakyvykkyys tarkoittaa?

Se ei tarkoita:

• lisää dokumentteja
• lisää tarkastuslistoja

Vaan:

• Selkeä vastuunjako
• Riskien tunnistaminen ja priorisointi
• Dokumentoitu päätöksenteko
• Johdon näkyvyys riskeihin
• Toimivat prosessit poikkeamatilanteissa

Hallintakyvykkyys on organisaation kyky tehdä tietoisia, dokumentoituja ja johdon valvomia päätöksiä epävarmuuden keskellä. Hallintakyvykkyys on kykyä osoittaa, että organisaatio ymmärtää riskinsä ja hallitsee niitä systemaattisesti.

Miksi tämä on uusi taso?

Koska sääntely ei enää kysy: “Onko teillä tietosuojaseloste?”

Se kysyy:

• Miten arvioitte riskit?
• Kuka vastaa?
• Miten johto valvoo?
• Mitä tapahtuu poikkeamatilanteessa?

Hallintakyvykkyys rakentuu tietosuojasta (henkilötietoriskit), datanhallinnasta (omaisuusriskit), kyberturvasta (operatiiviset riskit) ja tekoälynhallinnasta (teknologiariskit). Organisaatio ei voi olla kypsä yhdessä näistä, jos muut ovat hajallaan.

Yrityksiltä ja julkisilta organisaatioilta odotetaan hallintakyvykkyyttä

Sääntelijät odottavat sitä

NIS2 ja AI Act korostavat johdon vastuuta, dokumentointia ja jatkuvaa valvontaa. Se ei ole enää suositus, vaan se on velvoite.

Markkina odottaa sitä

Yrityksiltä asiakkaat kysyvät kyberturvasta tarjousvaiheessa. Sopimuksissa on tietoturva- ja tietosuojavaatimuksia. Toimitusketjuriskit tarkastetaan. Julkisella puolella hankintalainsäädäntö, tietoturvavaatimukset ja julkinen vastuu tekevät hallintakyvykkyydestä myös luottamuskysymyksen. Hallintakyvykkyys on kilpailutekijä, ei enää vain compliance-asia.

EU:n sääntelyn purkukeskustelu taas liittyy kilpailukykyyn. Kyllä, hallinnollista taakkaa pitää arvioida. Mutta kilpailukyky ei synny heikosta riskienhallinnasta. Investointivarmuus syntyy ennakoitavuudesta. Ennakoitava ja johdonmukainen sääntely tukee kilpailukykyä, ei estä sitä.

Johto ei voi enää delegoida tätä pois

Johdon näkökulmasta vastuu on hallituksella ja toimitusjohtajalla. Vastuita ei voi ulkoistaa.

Julkisille toimijoille sääntelyn purku ei muuta virkavastuuta, julkisuusperiaatetta, tietoturvavaatimuksia tai hankintavastuita. Julkisen sektorin hallintakyvykkyys ei ole vain sääntelykysymys, vaan luottamuskysymys.

Sääntelyn määrä vaihtelee, vastuu ei

Sääntelyn määrä voi vaihdella poliittisten syklien mukana. Organisaation vastuu riskeistään ei vaihtele. Mutta kolme asiaa eivät todennäköisesti ole palaamassa entiselleen:

1. Digitalisaation laajuus
2. Datariippuvuus
3. Kyberriskien taso

Nämä ajavat hallintakyvykkyyden tarvetta riippumatta siitä, kuinka paljon velvoitteita on. Hallintakyvykkyyttä ei tarvitse rakentaa yksin.

GDPR opetti organisaatioille, että sääntelyyn täytyy suhtautua järjestelmällisesti. Seuraava vaihe ei ole lisää sääntelyä – vaan kypsyyttä suhtautua siihen. Siinä mitataan organisaatioiden todellinen hallintakyvykkyys.