Väitös (ohjelmistotekniikka): FM Kalle Hjerppe
FM Kalle Hjerppe esittää väitöskirjansa ”Data protection software engineering techniques: Practical research into the demands of the GDPR” julkisesti tarkastettavaksi Turun yliopistossa perjantaina 24.4.2026 klo 12.00 (Turun yliopisto, Agora, XX-luentosali, Vesilinnantie 3, Turku).
Vastaväittäjänä toimii professori Tomi Männistö (Helsingin yliopisto) ja kustoksena professori Ville Leppänen (Turun yliopisto). Tilaisuus on suomenkielinen. Väitöksen alana on ohjelmistotekniikka.
Tiivistelmä väitöstutkimuksesta:
Väitöstutkimukseni koskee tietosuojan kehittämistä ja yleisen tietosuoja-asetuksen vaatimustenmukaisuuden toteuttamista ohjelmistoteknisin keinoin ja toteutumista ohjelmistoissa.
Henkilötiedon käsittely on tärkeää ja tarpeellista tietojärjestelmissämme. Ihmisillä on myös oikeus tietosuojaan, jonka merkitys korostuu henkilötiedon käsittelyn tärkeyden kasvaessa. Euroopan unioni (EU) on sitoutunut suojelemaan yksityisyyden ja tietosuojan perusoikeuksia ja turvaa niiden toteutumista muun muassa yleisellä tietosuoja-asetuksella (GDPR).
Tietosuojan voi konseptina tiivistää vaatimukseksi siitä, että henkilötietoa käsittelevät tekevät sitä lainmukaisesti, reilusti ja läpinäkyvästi. Tarkat vaatimukset eivät kuitenkaan ole olleet selkeitä. Lisäksi nopea ohjelmistokehitys tuo haasteita tietosuojan toteutumiselle, kun virheet lisääntyvät. Monesta järjestelmästä koostuvat ohjelmistoarkkitehtuurit lisäävät virheiden riskiä henkilötiedon käsittelyssä kokonaisuutena. Tämä osoittautuu erityisesti digitaalisissa ekosysteemeissä.
Väitöstutkimus käsittelee GDPR:n vaatimuksia ohjelmistoille ja niiden kehittämiselle. Tutkimuksessa on tehty vaatimusmäärittelyä ja kehitetty muun muassa analyysimenetelmiä vaatimustenmukaisuuden helpottamiseksi. Menetelmällä ohjelmistokehittäjät voivat analysoida ohjelmistoaan ja siten tutkia sen henkilötiedon käsittelyä. Näin voidaan havaita ohjelmointivirheitä ja tuottaa ajantasaista tietoa muun muassa tietosuojaselosteeseen.
Väitöskirjassani väitän, että edellä mainituissa haasteissa on kehitettävää ohjelmistotuotannon yleisissä tekniikoissa ja että tilannetta voidaan parantaa saatavilla olevin menetelmin. Henkilötiedon käsittelyn mallin ylläpitäminen tulisi huomioida GDPR:n vaatimana suojatoimena ohjelmistotuotannossa.
Tutkimuksen tulokset ovat hyödynnettävissä sekä ohjelmistoja tuottavissa organisaatioissa että laajemmin muille tahoille, jotka valvovat ja sääntelevät tietosuojan toteutumista. Tutkimus tuottaa siis tietoa esimerkiksi yrityksille ja viranomaisille.
