EU:n tekoälyasetus tuo tekoälyn käyttöön yhteiset pelisäännöt ja haastaa yritykset tarkastelemaan tekoälyä vastuullisuuden, tietoturvan ja osaamisen näkökulmista. Lue artikkelista, mitä tämä käytännössä tarkoittaa ja miten voit kääntää vaatimukset kilpailueduksi.

Elokuusta 2026 täysimääräisesti sovellettava EU:n tekoälyasetus on tuonut tekoälyn käyttöön yhteiset pelisäännöt, joiden ytimessä on vastuullisuus. Yrityksille, jotka jo hyödyntävät tai suunnittelevat tekoälyn käyttöönottoa, asetus ei ole pelkkä sääntelykysymys, vaan myös mahdollisuus rakentaa luottamusta asiakkaisiin, henkilöstöön ja sidosryhmiin. Vastuullinen tekoälyn käyttö tarkoittaa sitä, että teknologian hyödyt tunnistetaan, mutta samalla ymmärretään sen vaikutukset ihmisiin, liiketoimintaan ja yhteiskuntaan.

Riskien tunnistaminen on osa vastuullisuutta

Tekoälyasetus perustuu riskiperusteiseen ajatteluun. Kaikki tekoälyratkaisut eivät ole samanlaisia, eikä niitä tule käsitellä yhtenä kokonaisuutena. Osa sovelluksista on käytännössä vähäriskisiä, kun taas korkeariskiset käyttötapaukset, esimerkiksi ihmisten arviointiin, päätöksentekoon tai valvontaan liittyvät ratkaisut, edellyttävät huomattavasti tiukempaa hallintaa.

Vastuullinen toimija pysähtyy arvioimaan, mihin tarkoitukseen tekoälyä käytetään ja millaisia vaikutuksia sillä voi olla yksilöihin tai päätöksentekoon. Kun käyttötarkoitus ja vaikutukset on hyvin määritetty, myös vaatimusten täyttäminen on huomattavasti helpompaa. Sen pohjalta riskit voidaan tunnistaa ajoissa, jolloin tekoälyä voidaan käyttää hallitusti ja läpinäkyvästi. Tämä tukee paitsi sääntelyn noudattamista, myös eettisesti kestävää liiketoimintaa.

Tietoturva ja tietosuoja luottamuksen perustana

Tekoäly ei ole irrallinen teknologia, vaan se rakentuu datan, järjestelmien ja prosessien varaan. Siksi tietoturva ja tietosuoja ovat keskeinen osa vastuullista tekoälyn käyttöä, eivät erillinen tekninen yksityiskohta. Tekoälymallien kouluttamiseen käytettävä data, tekoälypalveluiden integraatiot sekä ulkopuoliset toimittajat edellyttävät selkeitä vastuita ja hallintamalleja.

Samalla henkilötietojen käsittely tekoälyn yhteydessä vaatii erityistä huolellisuutta. Läpinäkyvyys, käyttötarkoitussidonnaisuus ja minimointi eivät katoa tekoälyn myötä, vaan päinvastoin. Hyvin hallittu tekoälyn käyttö tukee myös tietosuojavaatimusten täyttämistä, kun vastuut, roolit ja käsittelyperusteet on määritelty selkeästi. Yritykset, jotka huomioivat tietosuojan ja tietoturvan jo tekoälyratkaisujen suunnitteluvaiheessa, pystyvät vähentämään riskejä ja vahvistamaan luottamusta niin asiakkaiden kuin viranomaisten suuntaan.

Tekoälylukutaito – uusi perustaito organisaatioille

Tekoälyasetuksessa korostuu myös tekoälylukutaito. Kyse ei ole siitä, että kaikkien pitäisi osata rakentaa tekoälymalleja, vaan siitä, että tekoälyä käyttävät ymmärtävät, miten tekoäly toimii, mihin sitä käytetään ja missä sen rajat kulkevat.

Johdon on kyettävä arvioimaan tekoälyn käyttöä strategisesta ja eettisestä näkökulmasta. Asiantuntijoiden ja käyttäjien taas on tunnistettava, milloin tekoälyn tuottama lopputulos vaatii kriittistä arviointia tai ihmisen tekemää päätöstä. Koulutus ja osaamisen ylläpito ovat keskeinen osa vastuullista tekoälyn hyödyntämistä.

Vastuullisuus kilpailuetuna

Tekoälyasetus ei ole innovoinnin este, vaan keino rakentaa luottamusta ja kehys vastuulliselle kasvulle. Yritykset, jotka ottavat tekoälyn riskit, tietoturvan, tietosuojan ja osaamisen systemaattisesti haltuun, luovat samalla pohjaa kestävälle ja luottamusta herättävälle liiketoiminnalle. Selkeät pelisäännöt mahdollistavat kestävän ja vastuullisen tekoälyn hyödyntämisen ja samalla vähentävät ikäviä yllätyksiä myöhemmin.

Nyt onkin hyvä hetki tarkastella omaa tekoälyn käyttöänne: ei peläten, vaan suunnitelmallisesti ja ennakoiden.

Yhteenveto

EU:n tekoälyasetus ohjaa yrityksiä kohti vastuullista ja hallittua tekoälyn käyttöä. Käytännössä tämä tarkoittaa riskiperusteista ajattelua, tietoturvan ja tietosuojan huomioimista jo suunnitteluvaiheessa sekä riittävän tekoälylukutaidon varmistamista koko organisaatiossa. Yrityksille, jotka tarttuvat näihin teemoihin ennakoivasti, tekoälyasetus ei ole pelkkä velvoite, vaan mahdollisuus rakentaa luottamusta, vähentää riskejä ja luoda kestävää kilpailuetua. Palaan aiheeseen syventäen tekoälyn tietoturvanäkökulmia seuraavassa artikkelissani Kauppakamarin toukokuun lehdessä, jonka teemana on kyberturvallisuus.

P.S. Tämä artikkeli oli pääosin tekoälyn avulla (ChatGPT) kirjoitettu. Myös kirjoittajan kuva, vierailuni EU:n parlamentissa, on muokattu tekoälyn avulla karikatyyriksi. Oliko onnistunut kokonaisuus? Pohdi, millä tavoin tekoäly on muuttanut teidän yrityksenne työskentelyä ja toimintaympäristöä.

The post Tekoälyn vastuullinen käyttö – mitä yritysten on syytä ymmärtää? appeared first on Tikkasec Oy.

Marraskuussa julkaistun Keskuskauppakamarin juridiikkakatsauksen mukaan EU-alueella on annettu yhteensä jo lähes 100 sakkoa organisaatioille, jotka eivät ole huomioineet Tietosuoja-asetuksen vaatimuksia riittävällä tasolla. Sakkoja on jaettu niin huonosti toteutetun tietoturvan vuoksi kuin myös rekisteröityjen oikeuksien laiminlyönnistä tai ilmoitusvelvollisuuden rikkomisesta. Suurimmat sakot ovat olleet yli 200 miljoonaa euroa.

Tietoturvaa ja tietosuojaa kehitettäessä tuleekin tarkastella niin sisäisiä prosesseja, kuin tiedonkäsittelyyn käytettäviä tietojärjestelmiä ja ulkoisia palvelutoimittajia. Kun organisaatiossa ollaan hankkimassa esimerkiksi uutta tietojärjestelmää, tulee tietoturvaa ja tietosuojaa tarkastella erityisellä huolellisuudella. Hankintavaiheessa voidaan saavuttaa myös taloudellisiakin hyötyjä, sillä järjestelmän toimittajalle voidaan asettaa vaatimuksia tietoturvan ja tietosuojan osalta siten, että niiden aiheuttamiin kustannuksiin on vielä mahdollista vaikuttaa.

Riskienhallinta on pohjana tietoturvan ja tietosuojan kehittämiselle

Niin tietosuoja-asetuksessa kuin tietoturvaan liittyvissä standardeissakin korostetaan riskilähtöistä toimintamallia. Tämä tarkoittaa sitä, että kaikessa tietojen käsittelyyn liittyvässä toiminnassa tulee arvioida tiedon turvallisuutta vaarantavia riskejä, ja pyrkiä löytämään niiden aiheuttamille uhkille erilaisia hallintakeinoja jo etukäteen. Näiden hallintakeinojen avulla voidaan joko ennaltaehkäistä riskien toteutumista, tai riskin toteutuessa voidaan siitä aiheutuvia haittavaikutuksia pienentää reagoimalla uhkaan oikealla tavalla.

Riskienarviointia tulee tehdä niin sisäisen toiminnan, kuin ulkoistettujen palvelujen ja tietojärjestelmien osalta. Sisäisessä toiminnassa tyypillisiä uhkatekijöitä ovat työntekijöiden turhan laajat pääsyoikeudet eri tietojärjestelmiin ja niiden kautta esimerkiksi arkaluonteisiin henkilötietoihin. Tällöin työntekijä voi omalla toiminnallaan, joko vahingossa tai tahallisesti, aiheuttaa erilaisia tietosuojaongelmia, kuten muuttaa tai tuhota tietoja, tai vaikkapa tarpeettomasti katsella asiakastietoja.

Ulkoistettujen palvelu- tai järjestelmätoimittajien osalta uhkakenttä laajenee nopeasti oman organisaation ulkopuolelle, pilvipalvelujen kautta jopa globaalisti. Tällöin organisaation sisäisillä toimenpiteillä ei välttämättä pystytä enää hallitsemaan kaikkia riskejä, vaan niitä tulee pystyä hallitsemaan myös ulkoisten sidosryhmien näkökulmasta. Ulkoisten uhkien suhteen riskienhallinnassa tuleekin kiinnittää erityistä huomiota siihen, millä tavoin näihin uhkiin voidaan sopimuksellisesti varautua jo järjestelmän tai palvelun hankintavaiheessa.

Hankintavaihe on otollinen hetki kehittää tietosuojaa ja tietoturvaa kustannustehokkaasti

Asettamalla järjestelmätoimittajalle tietoturvaa ja tietosuojaa koskevia vaatimuksia jo kilpailutusvaiheessa, voidaan potentiaalisten toimittajien ratkaisuja arvioida ja vertailla helpommin myös turvallisuuden näkökulmasta. Vertailun vuoksi, jos vaaditaan yksinkertaisesti vain, että ”järjestelmän tietoturvan tulee olla kunnossa”, on toimittajan vastauskin usein niin yleisluontoinen, ettei tarjotun järjestelmän turvallisuudesta voida vetää kunnollisia johtopäätöksiä. Kun vaatimukset pureutuvat yksityiskohtaisemmin eri tietoturvan osa-alueisiin, kuten tiedon salaukseen tai varmuuskopiointiin liittyviin suojauskeinoihin, päästään toimittajan kanssa keskustelemaan konkreettisemmin ratkaisun turvallisuuteen liittyvistä kysymyksistä.

Tuomalla tietoturvaan liittyvät vaatimukset keskusteluun jo hankintavaiheessa, voidaan vaikuttaa myös hankinnan kohteen koko elinkaaren aikaisiin kustannuksiin. Usein tietoturvaan liittyviä ominaisuuksia voidaan kyllä ottaa järjestelmässä helposti käyttöön jälkikäteenkin, mutta hankinnan jälkeen toimittajan on helpompi pyytää siitä ylimääräistä lisähintaa, koska järjestelmä on jo organisaatiolla aktiivisessa käytössä. Neuvotteluvoimaa on tällöin turhaan luovutettu järjestelmän toimittajalle.

Aina ei kuitenkaan saada kaikkia vaatimuksia täyttävää järjestelmää hankittua. Organisaation sisäisen riskienhallinnan kannalta onkin tärkeää ymmärtää, mitä tietoturvavaatimuksia toimittajan ratkaisu täyttää. Tällöin jäljelle jääneitä riskejä voidaan tarvittaessa hallita omaa toimintaa tai ICT-ympäristöä kehittämällä, esimerkiksi ottamalla korvaavia tai täydentäviä tietoturvaratkaisuja käyttöön hankittavan järjestelmän ympärille.

Kyberturvallisuuskeskus on julkaissut uusia työkaluja hankintojen tietoturvaan

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on juuri julkaissut konkreettisen työkalun, jonka avulla tietoturva- ja tietosuojavaatimuksia voidaan ottaa käyttöön kaikissa organisaatiossa. Vaatimuslistaa on kehitetty Huoltovarmuuskeskuksen kehityshankkeissa vuosien varrella useiden asiantuntijoiden toimesta eri toimialoille. Viimeisin kehittämistyö on tehty sosiaali- ja terveydenhuollon toimialalle Kyber-Terveys-hankkeessa. Vaatimuslista löytyy Kyberturvallisuuskeskuksen sivuilta ”Ohjeet ja oppaat”-osiosta.

Kuinka näitä tietoturva- ja tietosuojavaatimuksia voidaan sitten paremmin ottaa huomioon omassa organisaatiossa? Työ vaatii organisaatiolta paneutumista ja osaamista tietoturvaan ja riskienhallintaan liittyvissä asioissa. Tarvittaessa voidaan käyttää ulkoista asiantuntijaa esimerkiksi hankintavaiheessa näitä asioita määrittelemään. Panostus tietoturvavaatimusten parempaan huomiointiin voi kuitenkin tuottaa nopeitakin hyötyjä organisaatiolle niin parantuneen tietoturvan ja tietosuojan kuin niihin liittyvien kustannustenkin näkökulmasta.

Ota yhteyttä niin keskustellaan, kuinka voimme laittaa yhdessä teidän hankintaprosessinne kuntoon huomioimaan paremmin tietoturva- ja tietosuojavaatimukset hankinnoissanne! Meillä on fokus tietoturvan ja tietosuojan kehittämisessä.

The post Hankintavaiheessa voidaan ratkaista tietoturvaa ja tietosuojaa kustannustehokkaasti appeared first on Tikkasec Oy.

Tule mukaan ajankohtaiseen ja käytännönläheiseen koulutukseen, jossa perehdyt lääkinnällisten ohjelmistojen tietoturvavaatimuksiin käytännönläheisesti. Aloitamme lääkinnällisiä laitteita koskettavan EU asetuksen MDR 2017/745 ajankohtaiskatsauksella erityisesti ohjelmistojen sekä tietoturvan näkökulmasta. Pohdimme myös tilannetta tietoturvaa koskettavien standardien sekä ohjeiden näkökulmasta. Seuraavassa vaiheessa syvennymme tarkastelemaan terveydenhuollon ympäristöä tietoturvan kannalta. Millaisia ongelmia maailmalla on esiintynyt, millaisia haasteita teemaan liittyy ja miten vaatimukset näkyvät hankintaprosesseissa ? Merkittävä osa tilaisuudesta keskittyy tarkastelemaan tietoturvavaatimuksia käytännössä. Mitä tietoturva käytännössä tarkoittaa eri näkökulmista?

Yleiset tiedot

• Päivämäärä ja aika: Torstai 23.1.2020, 10:00-16:30
• Paikka: Helsinki, Tapahtumatalo Bank
• Käytännön järjestelyihin liittyvät kysymykset: Terhi Holappa, USBIMED (terhi.holappa@usbimed.fi, 040 5595726)
• Kouluttajat: Pekka Vepsäläinen, Tikkasec Oy sekä Terhi Holappa, USBIMED

Lisätietoja tapahtuman sivuilta

The post Lääkinnälliset laitteet & tietoturva appeared first on Tikkasec Oy.