Tietosuoja palvelumuotoilussa osa 1

Anni Leppanen
5 min readMay 22, 2023

Tietosuoja kuuluu jokaisen palvelumuotoilijan työhön. Aihe voi kuitenkin tuntua haastavalta. Tässä blogisarjan ensimmäisessä osassa kerron, miksi palvelumuotoilijan tulisi kiinnostua tietosuojasta, miten omaa osaamistaan voi arvioida ja, mitkä ovat tärkeimmät perusasiat tietosuojan varmistamisessa palvelumuotoilussa.

Yllätyin itsekin joitain vuosia sitten, kun havahduin pohtimaan tietosuojaa osana Helsingin kaupungin virtuaalisen asiakasyhteisön käynnistämisen yhteydessä. Asiakasyhteisössä osallistujien tietoja tarvitaan yhteisön toiminnan ja viestinnän kohdentamiseen, sekä palvelumuotoilututkimuksen taustalle. Toisaalta kun palvelumuotoilu vietiin koronan(kin) takia verkkoon, tuli näkyväksi millaista tietoa syntyy ja, miten sitä käsitellään.

Miksi pitäisi kiinnostua tietosuojasta palvelumuotoilussa?

Tietosuojan tulisi kiinnostaa erityisesti, jos yksikin seuraavista kysymyksistä tuntuu tutulta:

  1. Onko palvelumuotoilun hyödyntäminen kasvanut ja teette useita palvelumuotoiluprojekteja, useiden muotoilutoimistojen kanssa?
  2. Teettekö asiakastutkimusta osana palvelumuotoilua?
  3. Toimitteko kehitystiimeissä, jossa palvelumuotoiluun osallistuu useita eri asiantuntijoita, jotka hallitsevat palvelumuotoilussa syntyvää tietoja ja materiaaleja erilaisissa järjestelmissä?
  4. Tuntuuko siltä, että tietosuoja on mörkö, jota vältellään?
  5. Kehitättekö palvelua, jossa liikkuu asiakkaan tietoja?
  6. Kiinnostaako oikeusmuotoilu (eng. legal design)?
Tietosuojaan palvelumuotoilussa liittyy paljon erilaisia tunteita ja asenteita. Kuva: Anni Leppänen

Mistä tiedän osaanko tietosuojasta tarpeeksi?

Tietosuojan perusosaaminen on palvelumuotoilijalle ja palvelumuotoilun tilaajalle kriittinen taito. Osaamisportaiden avulla voit pohtia, millainen tilanne sinulla on:

Lähtötaso — aloita tästä!

  • ymmärrän, mitä henkilötieto tarkoittaa ja, millaista henkilötietoa syntyy palvelumuotoilussa
  • hyödynnän rekisteriselostetta suostumuksen pyytämiseen palvelumuotoilussa
  • osaan sopia muotoiluprojektissa tiedonhallinnasta tiimini kanssa, jotta tietosuoja toteutuu
  • kun tallennan materiaalia verkkoon tai lähetän sitä kollegalle, varmistan, että tieto on anonymisoitu, ellei henkilötiedon jakamiselle on erityistä perustetta.

Perusymmärrys — kehitä taitojasi!

  • osaan täyttää käsittelytoimien kuvauksen palvelumuotoilussa
  • osaan ohjeistaa kollegoja tietosuojan riskeistä palvelumuotoilussa
  • osaan hoitaa tietosuojan kaikissa palvelumuotoilun eri vaiheessa
  • osaan vaatia toimittajilta eli muotoilukonsulteilta tietosuojan huomioimista
  • ymmärrän, mitä omadata tarkoittaa.

Vaativa ymmärrys — syvennä vaativissa tilanteissa!

  • osaan hoitaa tietosuojan palvelumuotoiluun liittyvissä kilpailutuksissa
  • osaan hoitaa tietopyynnöt palvelumuotoilussa
  • osaan huomioida tietosuojan pitkäkestoisissa asiakasraadeissa ja asiakasyhteisössä.

Voit ladata nämä osaamistasot itsellesi täältä (Google Docs).

Mitä tietosuoja tarkoittaa palvelumuotoilussa?

Palvelumuotoiluprojektissa kehitystiimi jakaa tietoa projektin eri vaiheissa järjestelmien avulla. Palvelujen asiakkaat ja käyttäjät osallistuvat palvelumuotoiluun tutkimuksen ja yhteiskehittämisen kautta. Esimerkiksi heidän tietojaan tallennetaan työpajan ilmoittautumislomakkeelle ja haastattelujen muistiinpanot tallennetaan tietokoneelle ja usein vielä pilvipalveluun. Tutkimusten raakadataa tai vaikka palvelun palautedataa käsittelee monenlaiset projektin asiantuntijat.

Avainkysymykset:

  1. Mitä henkilötietoa palvelumuotoilussa syntyy?
  2. Miten tietoa käsitellään ja hallitaan palvelumuotoilussa?
  3. Miten tietosuojalainsäädännön mukaiset kansalaisen oikeudet toteutuvat palvelumuotoilussa?

Mitä henkilötietoa palvelumuotoilussa syntyy?

Perinteisesti henkilötiedoksi on helppo tunnistaa henkilön nimi ja yhteystiedot. Moni yllättyy, että henkilötietoa syntyy myös silloin kun tieto on teknisesti yhdisteltävissä henkilön tunnisteeseen (vaikkapa IP-osoitteen tai käyttäjätunnukset perusteella) tai kun käyttäjä jakaa itsestään riittävästi tietoa, hänet voidaan yksilöidä massasta. Tämä on yllättävän tyyppillinen tilanne palvelumuotoilussa, sillä haastatteluissa, kyselyissä ja yhteiskehittämisessä käytämme syväluotaavia menetelmiä, joiden avulla keräämme asiakkaiden ja käyttäjien arjen tarinoita. Palvelumuotoilun haastattelussa syntyy luottamus haastattelijan ja haastateltavan välille. Palvelumuotoilun luotaintutkimuksessa kerätään päiväkirjaa asiakkaan tai käyttäjän arjesta. Jopa verkkokyselyissä asiakkaat ja käyttäjät voivat kertoa itsestään niin herkkäluonteista tietoa, että tämä lasketaan henkilötiedoksi.

Miten tietoa käsitellään ja hallitaan palvelumuotoilussa?

Palvelumuotoilussa tietoja käsitellään projektin eri vaiheissa. Erityisen paljon henkilötietoa kertyy palvelumuotoilun tutkimusvaiheessa (tuplatimantin ensimmäinen osa). Erilaiset tutkimusmenetelmät ja toisaalta analyysi ja tiedon jakaminen nostavat tietosuojan pinnalle palvelumuotoilussa. Konseptointivaiheessa henkilötietoa kertyy myös mm. työpajojen ja testausten yhteydessä. Blogisarjan seuraava osa käsittelee parhaita käytäntöjä tietosuojasta palvelumuotoilun eri vaiheissa.

Miten tietosuojan kansalaisoikeudet toteutuvat palvelumuotoilussa?

Palvelumuotoilussa tulee vähintään varmistaa kansalaisten oikeuksien toteutuminen. Muista siis ainakin nämä:

  1. Asiakkaalta tai osallistujalta pyydetään suostumus tietojen käsittelyyn.
  2. Asiakkaalle tai osallistujalle kerrotaan rekisteriselosteessa (myös tietosuojaseloste) tarkemmin tietojen käsittelystä.
  3. Asiakkaalle tai osallistujalle kerrotaan, miten hän voi pyytää itselleen, muokata tai poistaa tietoja.

Keskeiset tietosuojan materiaalit tukena projekteissa

Tietosuojan asiantuntijat ovat kehittäneet paljon erilaisia ohjeita ja pohjia tietosuojan toteuttamiseen ja noudattamiseen. Nämä materiaalit voivat kuitenkin olla vaikeaselkoisia ja niiden soveltaminen oman työn kontekstiin haastavaa. Seuraavat viralliset tietosuojamateriaalit ovat osa myös palvelumuotoilun työtä ja on tärkeää ymmärtää, mitä niillä tarkoitetaan ja miten niitä voi hyödyntää:

  • käsittelytoimien kuvaus
  • suostumusohje
  • rekisteriseloste (tai tietosuojaseloste)

Käsittelytoimien kuvaus

Palvelumuotoilun projektissa on hyvä sopia jo mahdollisimman alussa henkilötietojen käsittelystä. Tässä kannattaa hyödyntää projektin sisäiseen tarkoitukseen käsittelytoimien kuvauspohjaa, johon kirjataan:

  • mitkä tahot käsittelevät tietoja? Esim. muotoilutoimisto ja virasto
  • miksi tietoja käsitellään, eli mihin juuri palvelumuotoilussa hyödynnät tietoja?
  • tarkempi lista, minkä tyyppisiä henkilötietoja kerätään.
  • järjestelmät, joissa henkilötietoja käsitellään, eli mitä ohjelmistoja palvelumuotoilussa käytätte. Varmista, että järjestelmien tietosuoja ja tietoturva vastaavat organisaatiosi vaatimuksia.
  • miten pitkään henkilötietoja säilytetään? Projekteissa säilytysaika voi olla esimerkiksi 3 kuukautta hankkeen jälkeen. Muista, että anonymisoituja tietoja voidaan säilyttää pidempään!

Tutustu Helsingin kaupungin palvelumuotoilua varten tehtyy epäviralliseen käsittelytoimien kuvauksen työpohjaan (Google Docs).

Suostumusohje

Palvelumuotoilussa on tärkeää pyytää suostumus kaikilta asiakkailta ja osallistujilta henkilötietojen käsittelyyn. Suostumus pyydetään esimerkiksi haastattelun tai työpajan ilmoittautumislomakkeella. Tee suostumuksen pyytämisestä mahdollisimman selkeää ja ymmärrettävää — älä piilota suostumusta vasta lomakkeen loppuun. Tutustu Helsingin kaupungin palvelumuotoilun suostumusohjeeseen (Google Docs).

Rekisteriseloste

Palvelumuotoilulle kannattaa tehdä oma rekisteriseloste. Palvelumuotoilun tilaaja (organisaatio, esimerkiksi Helsingin kaupunki) on aina rekisterin pitäjä, vaikka henkilötietoa kertyisi vain toimittajan järjestelmiin tai konsulteille. Rekisterin pitäjällä on velvollisuus huolehtia tietosuojasta. Palvelumuotoilun konsulttien tuleekin käyttää tilaajan, eikä muotoilutoimiston rekisteriselostetta. Katso täällä esimerkki Helsingin kaupungin palvelumuotoilun rekisteriselosteesta (PDF). Helsingillä on myös oma rekisteriseloste virtuaaliselle asiakasyhteisölle.

Tietopyyntö

Tietosuojalainsäädännön mukaan henkilöllä on oikeus pyytää omia tietojaan, muokata niitä ja jopa poistaa omat tietonsa. Palvelumuotoilukin kuuluu tämän piiriin. Suostumuksen yhteydessä ja rekisteriselosteessa asiakkaille, käyttäjille, osallistujille on kerrottu, miten he voivat pyytää omia tietojaan tai poistaa ne. Tietopyyntö on virallinen prosessi, johon rekisterinpitäjän eli organisaation on pakko vastata.

Tietopyyntöön vastaamisen haasteet palvelumuotoilussa

Tietopyyntöön vastaaminen voi kuitenkin olla hankalaa palvelumuotoilun näkökulmasta. Etenkin jos tietopyynnöstä ei selviä, mihin projektiin tai tarkkaan ajankohtaan tiedon kerääminen on kohdistunut. Tietopyyntö voi olla tyypillisempi silloin, kun asiakas haluaa kaikki omat tietonsa palvelusta itselleen tai asiakas haluaa poistaa omat tietonsa palvelun tarjoajan järjestelmistä. Henkilö voi vaikka pyytää kaikki terveystietonsa.

Ison toimijan haasteet:

Helsingin kaupungilla palvelumuotoilun rekisteriselostetta hyödyntää kaupungin omien toimijoiden (40 000 työntekijää Suomen suurimmassa työnantajaorganisaatiossa) lisäksi 12 eri muotoilutoimiston konsultit, vuosittain yli sadassa projektissa. Kaupungin rekisteriselosteen mukaan henkilötiedot poistetaan 3 kuukautta projektin päättymisen jälkeen.

Erään tietopyynnön tarina:

Saimme kerran tietopyynnön virtuaalisen asiakasyhteisömme rekisteriselosteen piirissä. Tietopyynnöstä tuli rekisteriselosteen omistajalle turvasähköpostilla ilmoitus. Pyynnössä oli kuitenkin vain henkilön nimi ja sähköpostiosoite. Asiakasyhteisön henkilötietoja voi katsella vain erittäin rajallinen pääkäyttäjien määrä, joten turvasähköpostilla henkilön nimi ja sähköpostiosoite lähetettiin pääkäyttäjälle, joka teki niillä haun tietokantaan. Selvisi kuitenkin, että kyseisestä henkilöstä ei ollut lainkaan tietoja asiakasyhteisössä. Tämä voi johtua siitä, että käyttäjä on itse poistanut omat tietonsa tai henkilö ei alunperinkään ole ollut asiakasyhteisön jäsen.

Seuraavassa blogisarjan osassa pureudutaan tarkemmin palvelumuotoiluprojektin eri vaiheisiin, ja millaiset parhaat käytännöt auttavat sinua huomioimaan tietosuoja ja samalla tekemään laadukasta työtä.

Kirjoittaja:

Anni Leppänen on johtava palvelumuotoilija Helsingin kaupungilla ja Julkis-muotoilijat yhteisön perustaja.

Materiaalin tekijänoikeuksista:

CC 4.0

--

--

Anni Leppanen

Strategic designer, change agent and specialist in sustainability transitions, digital transformation, government and experiments.