Mikä digitaalinen suvereniteetti?

Digi- ja datasuvereniteetti sekä tekoäly

Digisuvereniteetti (digitaalinen suvereniteetti) viittaa organisaation kykyyn hallita omaa dataansa ja digitaalisia järjestelmiään. Se on noussut keskeiseksi teemaksi esimerkiksi pilvipalveluiden, tekoälyn ja kiristyvän sääntelyn myötä. Digisuvereniteetti on ollut esillä myös mediassa. Hiljattain esimerkiksi Tivi kirjoitti siitä, mikä Suomen suunnitelma digitaalisen suvereniteetin suhteen on; tavoitteena on hakea vaihtoehtoja sekä varautua muutoksiin. 

Digisuvereniteetin yhteydessä mainitaan usein myös datasuvereniteetti ja tekoäly. Mutta mitä yhteistä näillä on ja miten ne vaikuttavat toisiinsa? Lue lisää tästä blogiartikkelista!

Digisuvereniteetti vs. datasuvereniteetti

Digisuvereniteetti ja datasuvereniteetti saattavat helposti mennä sekaisin. Eikä täysin syyttä: digi- ja datasuvereniteetti ovat läheisesti liitoksissa toisiinsa. 

• Datasuvereniteetti keskittyy siihen, missä data sijaitsee, kuka sitä hallitsee ja miten sitä voidaan käyttää. Se liittyy erityisesti lainsäädäntöön, tietosuojaan ja datan käsittelyn läpinäkyvyyteen.

• Digisuvereniteetti on laajempi kokonaisuus. Se kattaa datan lisäksi myös esimerkiksi järjestelmät, infrastruktuurin ja toimittajasuhteet. Kyse on organisaation kyvystä tehdä itsenäisiä teknologisia valintoja ja säilyttää IT-ympäristönsä hallinta.

Datasuvereniteetin voi siis nähdä osana digisuvereniteettiä. 

Miksi digisuvereniteetti on nyt ajankohtainen?

Digisuvereniteetti on noussut ajankohtaisemmaksi asiaksi useasta syystä. Pilvipalveluiden käyttö on kasvanut nopeasti, lainsäädäntö on kiristynyt (esimerkiksi GDPR, Data Act ja AI Act) ja geopoliittinen tilanne on lisännyt kiinnostusta teknologiseen omavaraisuuteen sekä riskienhallintaan. Digisuvereniteetti on tärkeää huomioida liiketoiminnan jatkuvuuden kannalta, jos esimerkiksi yrityksen käyttämä ulkomainen palvelu yhtäkkiä lakkautetaan. Esimerkiksi Microsoft katkaisi palveluitaan YK:n kansainväliseltä tuomioistuimelta Trumpin hallituksen pyynnöstä. 

Digisuvereniteetti ei kuitenkaan tarkoita eristäytymistä tai välttämättä edes kaikkien ulkomaisten palveluiden hylkäämistä. Sen ydin on hallinnan lisäämisessä ja tietoisten valintojen tekemisessä. 

Digisuvereniteetin merkitys korostuu myös näistä syistä:

Toimittajariippuvuus kasvaa huomaamatta

Pilvipalvelut ja SaaS-ratkaisut nopeuttavat kehitystä, mutta sitovat organisaatiota usein yhteen toimittajaan ja sen tarjontaan. Irtautuminen voi olla hidasta, kallista tai teknisesti haastavaa.

Datanhallintaan kohdistuu yhä enemmän vaatimuksia

Organisaatioiden on tiedettävä tarkasti:

• missä data sijaitsee,

• kuka dataa käsittelee ja

• millä ehdoilla dataa käsitellään (erityisesti kansainvälisten palveluiden kohdalla). 

Eri maiden ja alueiden lainsäädännön erot vaikuttavat dataan ja sen käsittelyyn. Esimerkiksi Yhdysvaltojen lainsäädäntö (kuten Cloud Act) voi vaikuttaa amerikkalaiseen yhtiöön enemmän kuin EU:n lainsäädäntö (kuten GDPR), riippumatta siitä, missä dataa säilötään fyysisesti. Jos yhdysvaltalaiset viranomaiset vaativat yhdysvaltalaista yhtiötä luovuttamaan dataa, saattaa yhtiö joutua tekemään niin, vaikka data ei fyysisesti olisikaan Yhdysvaltojen rajojen sisällä.

Tietoturva ja riskienhallinta korostuvat

Ulkoistetut palvelut eivät poista vastuuta. Organisaation on edelleen ymmärrettävä riskinsä ja varmistettava, että kriittinen data ja järjestelmät ovat hallinnassa kaikissa tilanteissa.

Liiketoiminnan jatkuvuus vaatii joustavuutta

Muutokset toimittajissa, hinnoittelussa tai geopoliittisessa tilanteessa voivat suoraan vaikuttaa liiketoimintaan. Mitä joustamattomampi ympäristö on, sitä vaikeampi muutoksiin on reagoida nopeasti.

Digisuvereniteetin nostamien kysymysten ja huolenaiheiden myötä monet yritykset ja organisaatiot ovat palanneet tai suunnittelevat palaamista kotimaisiin konesaleihin. Esimerkiksi Helsingin kaupunki rakentaa uutta ydintietojärjestelmää kotimaisen UpCloudin varaan (lisätietoa aiheesta löydät esim. Kauppalehden sivuilta). 

Tekoälyn vaikutus digisuvereniteettiin

Tekoälyn yleistyminen ja käyttöönotto tuovat digi- ja datasuvereniteettiin oman ulottuvuutensa. Tekoälyä käytettäessä on datan sijainnin lisäksi erityisen tärkeää huomioida:

• miten dataa käytetään ja

• millaisia päätelmiä datasta voidaan tehdä tekoälyavusteisesti.

Organisaation on ymmärrettävä, mitä dataa käytetään tekoälymallien kouluttamiseen, missä nämä mallit sijaitsevat ja kenen hallinnassa ne ovat. Esimerkiksi generatiivisen tekoälyn palveluissa keskeinen kysymys on, voiko organisaation data päätyä osaksi palveluntarjoajan mallien kehitystä.

Lainsäädäntö ja tekoäly

Myös lainsäädäntö vaikuttaa tekoälyn käyttöön. Esimerkiksi EU:n tekoälyasetus, AI Act, korostaa tarvetta hallita dataa sekä huomioida tekoälykäytön riskejä ja vastuuta. AI Act jaottelee tekoälyjärjestelmiä niiden riskien perusteella ja jopa täysin kieltää tekoälyjärjestelmiä, joiden tarkoituksena on hyödyntää ihmisten haavoittuvuuksia. 

Organisaation on pystyttävä osoittamaan, miten tekoälyä käytetään, millaista dataa hyödynnetään ja miten riskit on huomioitu.

Miten yritys voi kehittää digisuvereniteettiä?

Digisuvereniteetin kehittäminen kannattaa aloittaa oman nykytilanteen arvioinnista, riskien tunnistamisesta ja priorisoinnista sekä kehityksen roadmapin laatimisesta. Arvioinnissa kannattaa ottaa huomioon ainakin data, infrastruktuuri, toimittajariippuvuus ja hankintamenettely, strategia sekä lainsäädäntö ja vaatimustenmukaisuus.

Opas digisuvereniteettiin: kartoita tilanteesi ja lue asiantuntijan Q&A

Laadimme avuksesi digisuvereniteetti-oppaan, johon kasasimme ladattavaan muotoon yllä olevia perustietoja sekä lisäksi kättä pidempää oman yrityksen tilanteen arviointiin. Oppaasta löydät esimerkiksi kysymyspatteriston oman nykytilanteen arviointiin ja digisuvereniteetti-asiantuntijan sekä Koodia Suomesta -yhdistyksen puheenjohtajan Janne Kalliolan kanssa tehdyn Q&A eli usein kysytyt kysymykset -osion. Janne tarjoaa yleisiin kysymyksiin kattavat ja ajatuksella esitetyt vastaukset.