ITILin palvelusuunnittelu osana tietosuojan parantamista

Tietosuoja-asetus astuu voimaan ensi vuoden toukokuussa. Kirjoitin jo aikaisemmin mitä ITILin palvelustrategiasta voi hyödyntää tietosuojan saralla. Myös palvelusuunnittelu-elinkaarivaiheesta löytyy paljon ideoita, joita voi hyödyntää tietosuojan parantamiseksi.

ITILin palvelusuunnittelu opastaa, miten palvelut tulisi suunnitella vastaamaan määriteltyä liiketoimintatarvetta. Sen tavoitteena on kokonaisvaltainen suunnittelu, jossa huomioidaan toimintaan saattamisen kannalta tärkeiden toiminnallisuuksien lisäksi myös kyvykkyydet ja resurssit, joilla palvelua tuotetaan. Ajallisesti fokus ei ole vain palvelun ensimmäisessä tuotantopäivässä, vaan koko palvelun elinkaari huomioidaan jo suunnittelussa tehtävissä valinnoissa.

ITILin palvelusuunnittelusta voi hyödyntää tietosuojassa ainakin seuraavia asioita:

  • Tietosuoja-näkökulma tulee ottaa mukaan osaksi palvelusuunnittelumallia. Tämä varmistaa, että tietosuojanäkökulma tulee huomioitua systemaattisesti jokaista uutta palvelua suunniteltaessa. Samasta aiheesta puhui jo Tomi Mikkonen Webinaarisarjan ensimmäisessä osassa.
  • Käyttäjille tulee kertoa, miten heidän tietojansa käsitellään. Tämä tehdään tyypillisesti palvelun käytön aloittamisen yhteydessä, mutta saman tiedon soisi löytyvän myös palvelukohtaisten tietojen yhteydessä palveluluettelosta. ITILin palveluluettelo on palveluntuottajan asiakkailleen tarjoamien palveluiden luettelo ja nykyaikaisena sovellutuksena se on kiinteä osa asiakkaille kohdistuvaa viestintää.
  • Palvelutasonhallinta on asiakkaille annettujen lupauksien antamista, dokumentointia ja seurantaa.  Tietosuoja-asetus määrittää vasteaikoja, joissa palveluntuottajan tulee pystyä toimittamaan tietonsa asiakkaasta kun asiakas kyseisiä tietoja pyytää.  Samoin tiedot tulee pystyä poistamaan määriteltyjä aikarajan puitteissa.  Näille molemmille tarvitsee rakentaa toiminnallisuuden ja prosessien lisäksi seuranta ja raportointi.
  • Kapasiteetinhallinnassa suunnitellaan palvelun teknisen kapasiteetin lisäksi sen ylläpitokapasiteetti henkilöresurssien näkökulmasta. Liiketoiminnalta tulee saada tietoa kampanjoista ja liiketoimintasuunnitelmista, jotta mm. tietosuojaan kohdistuvien pyyntöjen määrää voidaan ennustaa ja varautua niiden käsittelyyn.
  • Tietosuoja on olennainen osa tietoturvaa. ITILin tietoturvassa opastetaan tarjoamaan keskitetty yhteydenottopiste kaikille tietoturvaan liittyville kysymyksille. Samoin on suositeltavaa järjestää vastaava toiminta tietosuojaan liittyville kysymyksille.
  • IT-palveluiden jatkuvuudenhallinnassa hallitaan riskejä ja tehdään jatkuvuussuunnitelmia tietyn tyyppisten riskien realisoitumisen varalta. Tietosuojan näkökulmasta tarvitaan vastaava riskianalyysi tietosuojaan kohdistuvien uhkien vaikutusten minimoimiseksi ja suunnitelmat, joiden mukaan toimia riskin realisoituessa.
  • IT-palveluja tuotetaan yhdessä toimittajien kanssa. Toimittajanhallinnassa tarvitsee huomioida tietosuoja ottamalla sen mukaan toimittajien kanssa tehtäviin sopimuksiin. Tietosuoja-asetus velvoittaa palveluntuottajan alihankkijoita samassa määrin kuin itse palveluntuottajaa. Siksi asetuksella on suuri vaikutus vaikka tuottaja ei suoraan tuottaisi palveluita loppukäyttäjille.

Kuten yllä olevasta pikaisesta listasta näkyy niin myös ITILin palvelusuunnittelusta voi poimia paljon jo organisaatiossa keksittyä toimivaa käytäntöä tietosuojasta huolehtimiseen. Suosittelen kaikkia tietosuojan kanssa työskenteleviä perehtymään paitsi ITIL-viitekehyksen palvelusuunnitteluelinkaareen ja sen Service Design –kirjaan niin myös oman organisaation toimintamalleihin. Kannattaa hyödyntää organisaatiossa jo keksittyjä toimivia periaatteita ja käytäntöjä.

Keskustellaan aiheesta lisää kurssilla!
ITIL Foundation / ITIL Service Design
Certified Information Privacy Professional/Europe (CIPP/E)

Seuraava tietosuojawebinaarisarjan osa 20.1. Aiheena Tietosuoja-asetus osana yrityksen toimintaa Ilmoittadu mukaan! Webinaari on maksuton.

 

aaeaaqaaaaaaaal8aaaajdjimgq0nzmxltewn2utngi1yi05ndm2lwu0ngixmzm2mdyyna

Lari Peltoniemi

Kirjoittaja on työskennellyt prosessien ja toiminnan kehittämisen ja arvioinnin alueella yli 10 vuotta. Päätoimisesti IT-palveluiden prosessien määrittelyn, kehittämisen ja johtamisen alueella hän on toiminut vuodesta 2005. Hän on konsultoinut ja valmentanut useita suomalaisia ja kansainvälisiä yrityksiä ja organisaatioita ITIL/ITSM prosessien määrittelyihin, käyttöönottoon ja kehittämiseen liittyen. Lari on myös Suomen ensimmäinen sertifioitu ITIL Practitioner -kouluttaja. 

Lisää tietoa tästä ja muista mielenkiintoisista aiheista löydät Oppia.fi > koulutukset

Kysymyksiä kirjoittajalle? Laita viestiä lari.peltoniemi@wakaru.fi

 

ITIL = palveluhallintaa = palvelutuotantoa?

Viisitoista vuotta kestäneen ITIL-taipaleeni aikana olen usein liiketoiminnan edustajien kanssa keskustellessani törmännyt – hieman kärjistettynä – samankaltaisiin kommentteihin.

“Ei ITIL liity liiketoiminnan tekemiseen. Eikö se ole tuotannon tekemistä?” tai “Onko ITIL se työkalu, järjestelmä, jossa on tikettejä?”. Vastaavasti kun puhuu IT-palvelutuotantoon ja -suunnitteluun osallistuvien henkilöiden kanssa: “Ei meidän liiketoiminta tiedä näistä” ja “Miksi näistä ei puhuta liiketoiminnalle?”.

Näiden kommenttien pohjalta saa yleensä vaikutelman ITIL:stä pelkästään tuotannon työnä. Syitä tähän olen miettinyt pitkään ja tullut tulokseen, että ainakin kaksi niistä ovat kommunikaation puute ja vastuurajat. Organisaation liiketoiminnan ja IT:n välillä pitäisi olla hyvä, kaksisuuntainen kommunikaatio, jotta yrityksen strategiaa pystytään tukemaan myös palvelujen tuottamisen kautta.

Jos raa’asti yksinkertaistetaan, liiketoiminta asettaa vaatimuksia ja tavoitteita IT:n palvelutuottamiselle ja seuraa, että näiden mukaan toimitaan. Mielestäni tässä kohtaa pitäisi antaa IT:lle suurempi rooli ja mahdollisuus tuoda esille, miten liiketoimintaa voitaisiin kehittää IT-palvelujen tuella, mitä nämä palvelut voisivat olla ja mitä ne vaativat. Sen lisäksi pitäisi tietenkin varmistaa, että nykyistä ympäristöä voidaan kehittää järkevästi.

Organisaation liiketoiminnan ja IT:n välinen kommunikointi liittyvät muutamaan ITIL-elinkaaren vaiheeseen. Niitä ei alussa mainitsemissani esimerkkitapauksissa ole liiketoiminnan kannalta riittävästi huomioitu. Otetaan muutamia pääkohtia näistä elinkaaren vaiheista:

Palvelustrategia – tavoitteena varmistaa, että organisaatiolla on liiketoimintavaatimuksien – liiketoimintastrategia – mukainen palveluvalikoima nyt ja tulevaisuudessa. Eli palveluportfolionhallinnan merkitys on ymmärretty organisaatiossa ja siinä olevat palvelut osataan sitoa liiketoimintaan.

Palvelusuunnittelu – tavoitteena suunnitella liiketoimintaa tukevat palvelut, jotka ovat ylläpidettävissä. Tiedetään, mitä palvelulta vaaditaan, pystytään käyttämään hyödyksi jo olemassa olevia kokonaisuuksia ja luomaan selkeä palvelutuotantomalli.

Jatkuva palvelun parantaminen – pystytään palvelujen kehittämisen osalta mittaamaan toimintaa, keräämään tietoa, kommunikoimaan ja keskittymään oikeisiin asioihin – priorisoimaan.

Palvelustrategian ja suunnittelun välinen rajapinta on ensimmäinen askel kohti kokonaisvaltaisempaa palvelunhallintaa, jossa keskitytään liiketoiminnan kehittämisen kannalta oikeisiin asioihin. Jatkuvan palvelun parantamisen taasen pitäisi vaikuttaa kokonaisvaltaisesti palveluntuottajan toimintaan: parantaa palveluiden laatua kustannustehokkaasti, tunnistaa parantamismahdollisuuksia muun muassa organisaation toiminnassa, prosesseissa ja osaamisessa sekä varmistaa, että IT-palvelut tukevat liiketoimintavaatimuksia.

ITIL Foundation –kurssilla käydään läpi koko palvelun elinkaari kokonaisuutena. Tarkempaa syvällisempää tietoa janoaville on Oppia.fi – Oppimisen verkkokaupassa tarjolla esimerkiksi ITIL Capability -moduulin kursseja.

Wakaru Oy järjestää IT-palveluhallintaan liittyviä koulutuksia perus-, jatko- ja erikoistumistasolla järjestetään eri puolilla Suomea. Löydät ne Oppia.fi koulutustarjonnasta.

jani_iivonen

Jani Iivonen

Kirjoittaja on työskennellyt IT-palvelutuotannon prosessien ja toiminnan kehittämisen parissa 15 vuotta. Painopisteinä työssään Janilla on organisaation tukiprosessien ja –järjestelmien kehittäminen. Jani on konsultoinut ja valmentanut suomalaisia sekä kansainvälisiä organisaatioita ITSM-prosessien käyttöönottoon ja kehittämiseen liittyen. Lisäksi hänellä on pitkäaikainen kokemus palveluiden saatavuusmittauksesta.