Tietosuojakin kuuluu käyttäjäkokemukseen

Tuoreen tutkimuksen mukaan keskivertoihminen viettäisi vuositasolla 244 tuntia verkkosivujen tietosuojaselosteita lukemalla – jos lukisi ne kaikki. Toinen tutkimus korostaa tietosuojaselosteiden ymmärtämisen vaativan yleisesti yliopistotason koulutusta.

Täyttääkseen lain vaatimukset verkkosivuilta löytyy yhä enemmän tietosuojatekstejä ja suostumusnappeja. Vain harvat lukevat niitä – ja vielä harvemmat ymmärtävät niiden sisältöä. Tietosuojasta näyttää tulleen ikävä hidaste, joka ei palvelee ketään. Ihmisiä opetetaan hyväksymään mitä tahansa vain päästääkseen eroon ärsyttävistä bannereista. Ja meno jatkuu kuin GDPR:ää ei olisikaan.

Designerit ovat aina olleet erikoisasiantuntijoita monimutkaisten haasteiden ratkaisemisessa. Suunnittelijan näkökulmasta onkin kolme tapaa parantaa käyttökokemusta (UX, ”user experience”) uuden tietosuojalain alla.

1. Tiedon minimointi

EU:n yleinen tietosuoja-asetus velvoittaa antamaan yksityiskohtaisia tietoja henkilötietojen käsittelystä. Siihen on, tilanteesta riippuen, usein myös haettava käyttäjien suostumus. Näin luonnollisin tapa vähentää käyttäjän ärsykkeitä on tiedon minimointi: ei käsittelyä, ei tiedonantovelvollisuutta, ei suostumusvaatimusta. Helppoa.

Tosin realiteetit ovat kaikkea muuta kuin helppoja. Kun tiedonkeruuseen perustuva digiteollisuus on parin vuosikymmenen ajan opettanut nykypäivän tapoihin, GDPR:n noudattaminen yhtäkkiä havainnollisti, kuinka paljon keräämmekin käyttäjien tietoja. Esimerkiksi nopea testi ruotsalaisen Dataskydd:in työkalulla sen paljastaa. Jopa Googlelta ladatut fontit, YouTubesta upotetut videot ja palvelimen lokitiedostot vaativat lisää selostetekstiä käyttäjille luettavaksi.

Onkin aika tehdä perusteellinen analyysi verkkopalvelun keräämästä datasta ja käyttää luovuutta parempien vaihtoehtojen löytämiseksi. Tämä ei tule olemaan helppoa. On ilmiselvää, että tietosuojaystävällinen design vaatii ajattelutavan muutoksen, koko alalla. GDPR on – ihan tarkoituksella – ”disruptio” vahvimmillaan. Ja jos tuleva ePrivacy-asetus vielä tulee vaatimaan jatkossakin hyväksyntää evästeille ja profilointiin, olisi paras verkkopalvelu ehkä se, joka ei käytä evästeitä ym. lainkaan?

2. Ihmiskeskeinen suunnittelu

Koska verkkopalvelu, markkinointi ja viestintä eivät kuitenkaan toimi täysin ilman dataa, on seuraavaksi pohdittava, miten voisi optimoida käyttäjän rajapintaa jäljelle jäävään tiedonkeruuseen. Ajattelen peruskäyttäjää, lakikielellä kirjoitetut tekstitulvat tuskin ovat hyvää muotoilua. Ja kun GDPR vaatii helposti ymmärrettäviä selosteita, monimutkainen tietosuojaseloste voisi pahimmassa tapauksessa jopa rikkoa asetuksen vaatimuksia. Eräs tutkimus jopa paljasti, miten jo pelkästään termi ”privacy policy” johtaa ihmisiä harhaan – huonoa muotoilua jo copytekstissä?

Itse asiassa juuri Suomi on yksi ”legal design” -liikkeen kärkimaita. Sen tavoite on kehittää juridisia dokumentteja ihmiskeskeiseksi ja tehdä monimutkaisiakin asioita kaikille ymmärrettäväksi, muotoilumenetelmien avulla. Tietosuojalainsäädännön vaatimat tiedonantovelvollisuudet ovat tälle oiva pelikenttä.

Strategioita yksinkertaistamiselle on muutenkin paljon. Voisi vaikka harkita suostumusten pyytämistä tai käyttäjän informointia tilannekohtaisesti, eikä globaalisti koko sivustolle. Samaten EU:n tietosuojaneuvoston antamat opastukset suosittelevat esim. tietosuojaselosteiden muotoilua tasoittain: helposta yksityiskohtaiseen, ja tilannekohtaisesta kokonaisvaltaiseen.

3. Tietosuoja osaksi design-prosessia

Tärkeimpänä, joskin varmaan vaikeimpana, on hyväksyä, ettei ”tietosuoja” ole päälle liimattava kerros. Tietosuoja-ajattelu kuuluu verkkopalvelujen suunnitteluprosessien ytimeen, samaten kuin liiketoiminta, sisältöjen arkkitehtuuri, toteutuksen tehokkuus, sivuston saavutettavuus ynnä muut.

Tietosuoja ja yksityisyyden suoja pitäisi saada olennaiseksi osaksi suunnittelussa käytettyjä käyttäjäpersoonia, agile-menetelmien ”user story” -tarinoita ja palvelujen arviointikriteerejä. Liian helposti tietosuojaselostetta lukevaa, yksityisyydestään huolehtivaa ihmistä pidetään poikkeustapauksena, jolle riittää, että tarjotaan tuhansien sanojen pituinen seloste linkin takaa.

Uusi lainsäädäntö on mahdollisuus luovuudelle

GDPR:n tulo on ollut kipeä kokemus siksi, että digialalla ihmisten oikeus omiin tietoihinsa on vuosien varrella laajalti unohdettu. Selainten valmistajia varoitettiin jo vuonna 1997 evästeisiin liittyvistä riskeistä ihmisten yksityisyyteen. Varoitukset sivuutettiin tyystin. Kun nyt yhä tiukemmat asetukset rajoittavat mm. evästeiden käyttöä, kyse on aikoinaan tehtyjen virheiden korjaamisesta.

Oikea vastaus tähän ovat ihmiskeskeisyys ja luovuus. Tämähän on muotoilun ja viestinnän ammattilaisen intohimo – kun osaa ottaa huomioon ihmisten laajan kirjon, syntyy hyvä tulos.

* * *

Sebastian Greger kouluttaa Inforin Digitaalisen viestinnän koulutusohjelma DIKOssa. Lue lisää ja lataa esite!