Ismejä tulee ja menee nopeaa tahtia. Tietosuoja on olennainen osa yksityisyyttä ja lainsäädännön vaatimus. Se ei kuulu joukkoon asioita, jotka tulevat ja menevät nopeaan tahtiin. Esimerkiksi terveydenhuollossa ja teleoperaattoritoiminnassa yksityisyyden suoja on ollut säänneltyä ja toiminnan keskiössä jo pitkään. Muille aloille uusi toukokuussa 2018 voimaan astuva asetus tuo enemmän uutta.
Kuten kaikkien uusien vaatimusten kohdalla, kannattaa katsoa mitä on jo olemassa ja rakentaa toimivan olemassa olevan päälle. IT-palvelunhallinta on monessa organisaatiossa kypsällä tasolla. Sieltä voi lainata monta toimivaa toimintatapaa.
Palvelustrategia on ITILin elinkaaren vaihe, jossa määritellään asiakkaiden tarpeet, toiminnan periaatteet ja tarpeita vastaavat palvelut. Toiminnan periaatteita ovat mm. organisoitumistapa, organisaatiossa käytetyt roolit vastuineen sekä käytetyt prosessit. Tietosuojan toteuttamiseen kannattaa palvelustrategiasta poimia ainakin seuraavat asiat:
- It-palveluja tuotettaessa on tärkeää ymmärtää, minkä tyyppinen palveluntuottaja ollaan. Pitää tietää, onko asiakkaina oma liiketoiminta vai suoraan ulkoiset asiakkaat. Tietosuojassa merkitystä on sillä, millä toimialalla toimitaan ja mitä dataa siellä käsitellään sekä onko se omaa vai ulkoisten asiakkaiden dataa. Vaatimukset tulevat datan omistajalta, joten pitää tietää keneltä vaatimuksia kysytään.
- Tietosuojan roolit kannattaa määritellä organisaation tunnistamiksi rooleiksi muiden roolien tapaan. Näin tietosuojaan liittyvä tekeminen voidaan sujuvasti kuvata ja viestiä kuten muukin tekeminen. Roolit vastuineen on osa hallintatapaa ja hallintatapa on operatiivisesta näkökulmasta ratkaistu jo palveluita ja tietoturvaa organisoitaessa. Samat periaatteet ja lähestymistapa todennäköisesti toimivat myös tietosuojan tapauksessa.
- Tietosuoja edellyttää aktiivista vuorovaikutusta liiketoiminnan ja IT:n välillä. ITILissä tällainen strategisen tason kommunikaatio tapahtuu liiketoimintasuhteiden hallinta –prosessissa. Samaa organisoitumistapaa ja rooleja kannattaa hyödyntää myös tietosuojasta keskustelemiseen.
- Lainsäädäntö ja toisaalta datan käsittelyn tarpeet muuttuvat koko ajan. Organisaation pitää tietää, minkälaista kysyntää palveluille ja niiden datan käsittelylle on jatkuvasti muuttuvassa tilanteessa. Kysynnänhallinta on systemaattinen lähestymistapa tarpeiden ja toiminnan dynamiikan muutoksien tunnistamiseen. Samanlaista toimintaympäristön muutoksien aktiivista seurantaa tarvitaan tietosuojan yhteydessä.
- Kaikkia epätoivottuja tilanteita ei voi välttää. On tärkeä hallita riskejä eli tunnistaa mahdollisia tilanteita sekä miettiä niiden tapahtumisen todennäköisyyttä, omaa haavoittuvuutta kyseiseen riskin realisoituessa ja vaikutusta joka toteutuneella riskillä on organisaatiolle. Tietosuoja on mitä suurimmassa määrin riskienhallintaa.
- Palveluportfolion hallinnassa tehdään päätökset siitä mitä palveluita lähdetään kehittämään, tarjoamaan asiakkaille tai poistamaan tarpeettomina. Tietosuoja ja siihen liittyvä konsultointi olisi hyvä organisoida myös palveluksi organisaation sisällä. Tällöin osaamista voidaan tehokkaasti jakaa organisaation sisällä, kuten tietoturvaosaamisen kohdalla usein tapahtuu.
ITILin palvelustrategia nimensä mukaisesti kokoaa paljon strategian ja hallinnon asioita. Niitä löytyy myös monesta muusta viitekehyksestä, jotka ovat IT:n organisoitumisen ja hallinnon perustana. ITILin palvelustrategiasta kannattaa kuitenkin poimia systematiikka, toiminnan organisoituminen sekä paljon palvelun näkökulmia, jotta toisaalta taataan tietosuojaan liittyvät vastuut palveluiden ja niiden sisältämän datan näkökulmasta ja toisaalta tuotteistetaan itse tietosuojaosaaminen organisaation tueksi.
Tervetuloa seuraamaan maksutonta Tietosuoja-webinaarisarjaa! Osa 1 Privacy by Design (puhumassa Tomi Mikkonen, Privaon) kuunneltavissa täältä ja 2 osa pidetään 19.12.2016.
Kirjoittaja on Suomen ensimmäinen sertifioitu ITIL Practitioner -kouluttaja. Hän on työskennellyt prosessien ja toiminnan kehittämisen ja arvioinnin alueella yli 10 vuotta. Päätoimisesti IT-palveluiden prosessien määrittelyn, kehittämisen ja johtamisen alueella hän on toiminut vuodesta 2005. Hän on konsultoinut ja valmentanut useita suomalaisia ja kansainvälisiä yrityksiä ja organisaatioita ITIL/ITSM prosessien määrittelyihin, käyttöönottoon ja kehittämiseen liittyen.
Lisää tietoa tästä ja muista mielenkiintoisista aiheista löydät Oppia.fi > koulutukset
Kysymyksiä kirjoittajalle? Laita viestiä lari.peltoniemi@wakaru.fi
2 Pingbacks