ITILin palvelusuunnittelu osana tietosuojan parantamista

Tietosuoja-asetus astuu voimaan ensi vuoden toukokuussa. Kirjoitin jo aikaisemmin mitä ITILin palvelustrategiasta voi hyödyntää tietosuojan saralla. Myös palvelusuunnittelu-elinkaarivaiheesta löytyy paljon ideoita, joita voi hyödyntää tietosuojan parantamiseksi.

ITILin palvelusuunnittelu opastaa, miten palvelut tulisi suunnitella vastaamaan määriteltyä liiketoimintatarvetta. Sen tavoitteena on kokonaisvaltainen suunnittelu, jossa huomioidaan toimintaan saattamisen kannalta tärkeiden toiminnallisuuksien lisäksi myös kyvykkyydet ja resurssit, joilla palvelua tuotetaan. Ajallisesti fokus ei ole vain palvelun ensimmäisessä tuotantopäivässä, vaan koko palvelun elinkaari huomioidaan jo suunnittelussa tehtävissä valinnoissa.

ITILin palvelusuunnittelusta voi hyödyntää tietosuojassa ainakin seuraavia asioita:

 • Tietosuoja-näkökulma tulee ottaa mukaan osaksi palvelusuunnittelumallia. Tämä varmistaa, että tietosuojanäkökulma tulee huomioitua systemaattisesti jokaista uutta palvelua suunniteltaessa. Samasta aiheesta puhui jo Tomi Mikkonen Webinaarisarjan ensimmäisessä osassa.
 • Käyttäjille tulee kertoa, miten heidän tietojansa käsitellään. Tämä tehdään tyypillisesti palvelun käytön aloittamisen yhteydessä, mutta saman tiedon soisi löytyvän myös palvelukohtaisten tietojen yhteydessä palveluluettelosta. ITILin palveluluettelo on palveluntuottajan asiakkailleen tarjoamien palveluiden luettelo ja nykyaikaisena sovellutuksena se on kiinteä osa asiakkaille kohdistuvaa viestintää.
 • Palvelutasonhallinta on asiakkaille annettujen lupauksien antamista, dokumentointia ja seurantaa.  Tietosuoja-asetus määrittää vasteaikoja, joissa palveluntuottajan tulee pystyä toimittamaan tietonsa asiakkaasta kun asiakas kyseisiä tietoja pyytää.  Samoin tiedot tulee pystyä poistamaan määriteltyjä aikarajan puitteissa.  Näille molemmille tarvitsee rakentaa toiminnallisuuden ja prosessien lisäksi seuranta ja raportointi.
 • Kapasiteetinhallinnassa suunnitellaan palvelun teknisen kapasiteetin lisäksi sen ylläpitokapasiteetti henkilöresurssien näkökulmasta. Liiketoiminnalta tulee saada tietoa kampanjoista ja liiketoimintasuunnitelmista, jotta mm. tietosuojaan kohdistuvien pyyntöjen määrää voidaan ennustaa ja varautua niiden käsittelyyn.
 • Tietosuoja on olennainen osa tietoturvaa. ITILin tietoturvassa opastetaan tarjoamaan keskitetty yhteydenottopiste kaikille tietoturvaan liittyville kysymyksille. Samoin on suositeltavaa järjestää vastaava toiminta tietosuojaan liittyville kysymyksille.
 • IT-palveluiden jatkuvuudenhallinnassa hallitaan riskejä ja tehdään jatkuvuussuunnitelmia tietyn tyyppisten riskien realisoitumisen varalta. Tietosuojan näkökulmasta tarvitaan vastaava riskianalyysi tietosuojaan kohdistuvien uhkien vaikutusten minimoimiseksi ja suunnitelmat, joiden mukaan toimia riskin realisoituessa.
 • IT-palveluja tuotetaan yhdessä toimittajien kanssa. Toimittajanhallinnassa tarvitsee huomioida tietosuoja ottamalla sen mukaan toimittajien kanssa tehtäviin sopimuksiin. Tietosuoja-asetus velvoittaa palveluntuottajan alihankkijoita samassa määrin kuin itse palveluntuottajaa. Siksi asetuksella on suuri vaikutus vaikka tuottaja ei suoraan tuottaisi palveluita loppukäyttäjille.

Kuten yllä olevasta pikaisesta listasta näkyy niin myös ITILin palvelusuunnittelusta voi poimia paljon jo organisaatiossa keksittyä toimivaa käytäntöä tietosuojasta huolehtimiseen. Suosittelen kaikkia tietosuojan kanssa työskenteleviä perehtymään paitsi ITIL-viitekehyksen palvelusuunnitteluelinkaareen ja sen Service Design –kirjaan niin myös oman organisaation toimintamalleihin. Kannattaa hyödyntää organisaatiossa jo keksittyjä toimivia periaatteita ja käytäntöjä.

Keskustellaan aiheesta lisää kurssilla!
ITIL Foundation / ITIL Service Design
Certified Information Privacy Professional/Europe (CIPP/E)

Seuraava tietosuojawebinaarisarjan osa 20.1. Aiheena Tietosuoja-asetus osana yrityksen toimintaa Ilmoittadu mukaan! Webinaari on maksuton.

 

aaeaaqaaaaaaaal8aaaajdjimgq0nzmxltewn2utngi1yi05ndm2lwu0ngixmzm2mdyyna

Lari Peltoniemi

Kirjoittaja on työskennellyt prosessien ja toiminnan kehittämisen ja arvioinnin alueella yli 10 vuotta. Päätoimisesti IT-palveluiden prosessien määrittelyn, kehittämisen ja johtamisen alueella hän on toiminut vuodesta 2005. Hän on konsultoinut ja valmentanut useita suomalaisia ja kansainvälisiä yrityksiä ja organisaatioita ITIL/ITSM prosessien määrittelyihin, käyttöönottoon ja kehittämiseen liittyen. Lari on myös Suomen ensimmäinen sertifioitu ITIL Practitioner -kouluttaja. 

Lisää tietoa tästä ja muista mielenkiintoisista aiheista löydät Oppia.fi > koulutukset

Kysymyksiä kirjoittajalle? Laita viestiä lari.peltoniemi@wakaru.fi

 

Mitä ITILin palvelustrategiasta voi hyödyntää tietosuoja-asetuksen vaatimuksiin vastaamisessa?

Ismejä tulee ja menee nopeaa tahtia.  Tietosuoja on olennainen osa yksityisyyttä ja lainsäädännön vaatimus. Se ei kuulu joukkoon asioita, jotka tulevat ja menevät nopeaan tahtiin. Esimerkiksi terveydenhuollossa ja teleoperaattoritoiminnassa yksityisyyden suoja on ollut säänneltyä ja toiminnan keskiössä jo pitkään. Muille aloille uusi toukokuussa 2018 voimaan astuva asetus tuo enemmän uutta.

Kuten kaikkien uusien vaatimusten kohdalla, kannattaa katsoa mitä on jo olemassa ja rakentaa toimivan olemassa olevan päälle.  IT-palvelunhallinta on monessa organisaatiossa kypsällä tasolla.  Sieltä voi lainata monta toimivaa toimintatapaa. 

Palvelustrategia on ITILin elinkaaren vaihe, jossa määritellään asiakkaiden tarpeet, toiminnan periaatteet ja tarpeita vastaavat palvelut. Toiminnan periaatteita ovat mm. organisoitumistapa, organisaatiossa käytetyt roolit vastuineen sekä käytetyt prosessit. Tietosuojan toteuttamiseen kannattaa palvelustrategiasta poimia ainakin seuraavat asiat:

 • It-palveluja tuotettaessa on tärkeää ymmärtää, minkä tyyppinen palveluntuottaja ollaan. Pitää tietää, onko asiakkaina oma liiketoiminta vai suoraan ulkoiset asiakkaat. Tietosuojassa merkitystä on sillä, millä toimialalla toimitaan ja mitä dataa siellä käsitellään sekä onko se omaa vai ulkoisten asiakkaiden dataa. Vaatimukset tulevat datan omistajalta, joten pitää tietää keneltä vaatimuksia kysytään.
 • Tietosuojan roolit kannattaa määritellä organisaation tunnistamiksi rooleiksi muiden roolien tapaan. Näin tietosuojaan liittyvä tekeminen voidaan sujuvasti kuvata ja viestiä kuten muukin tekeminen. Roolit vastuineen on osa hallintatapaa ja hallintatapa on operatiivisesta näkökulmasta ratkaistu jo palveluita ja tietoturvaa organisoitaessa.  Samat periaatteet ja lähestymistapa todennäköisesti toimivat myös tietosuojan tapauksessa.
 • Tietosuoja edellyttää aktiivista vuorovaikutusta liiketoiminnan ja IT:n välillä. ITILissä tällainen strategisen tason kommunikaatio tapahtuu liiketoimintasuhteiden hallinta –prosessissa.  Samaa organisoitumistapaa ja rooleja kannattaa hyödyntää myös tietosuojasta keskustelemiseen.
 • Lainsäädäntö ja toisaalta datan käsittelyn tarpeet muuttuvat koko ajan. Organisaation pitää tietää, minkälaista kysyntää palveluille ja niiden datan käsittelylle on jatkuvasti muuttuvassa tilanteessa. Kysynnänhallinta on systemaattinen lähestymistapa tarpeiden ja toiminnan dynamiikan muutoksien tunnistamiseen. Samanlaista toimintaympäristön muutoksien aktiivista seurantaa tarvitaan tietosuojan yhteydessä.
 • Kaikkia epätoivottuja tilanteita ei voi välttää. On tärkeä hallita riskejä eli tunnistaa mahdollisia tilanteita sekä miettiä niiden tapahtumisen todennäköisyyttä, omaa haavoittuvuutta kyseiseen riskin realisoituessa ja vaikutusta joka toteutuneella riskillä on organisaatiolle. Tietosuoja on mitä suurimmassa määrin riskienhallintaa.
 • Palveluportfolion hallinnassa tehdään päätökset siitä mitä palveluita lähdetään kehittämään,  tarjoamaan asiakkaille tai poistamaan tarpeettomina. Tietosuoja ja siihen liittyvä konsultointi olisi hyvä organisoida myös palveluksi organisaation sisällä. Tällöin osaamista voidaan tehokkaasti jakaa organisaation sisällä, kuten tietoturvaosaamisen kohdalla usein tapahtuu.

ITILin palvelustrategia nimensä mukaisesti kokoaa paljon strategian ja hallinnon asioita. Niitä löytyy myös monesta muusta viitekehyksestä, jotka ovat IT:n organisoitumisen ja hallinnon perustana. ITILin palvelustrategiasta kannattaa kuitenkin poimia systematiikka, toiminnan organisoituminen sekä paljon palvelun näkökulmia, jotta toisaalta taataan tietosuojaan liittyvät vastuut palveluiden ja niiden sisältämän datan näkökulmasta ja toisaalta tuotteistetaan itse tietosuojaosaaminen organisaation tueksi.

Tervetuloa seuraamaan maksutonta Tietosuoja-webinaarisarjaa! Osa 1 Privacy by Design (puhumassa Tomi Mikkonen, Privaon) kuunneltavissa täältä ja 2 osa pidetään 19.12.2016. 

aaeaaqaaaaaaaal8aaaajdjimgq0nzmxltewn2utngi1yi05ndm2lwu0ngixmzm2mdyyna

Lari Peltoniemi

Kirjoittaja on Suomen ensimmäinen sertifioitu ITIL Practitioner -kouluttaja. Hän on työskennellyt prosessien ja toiminnan kehittämisen ja arvioinnin alueella yli 10 vuotta. Päätoimisesti IT-palveluiden prosessien määrittelyn, kehittämisen ja johtamisen alueella hän on toiminut vuodesta 2005. Hän on konsultoinut ja valmentanut useita suomalaisia ja kansainvälisiä yrityksiä ja organisaatioita ITIL/ITSM prosessien määrittelyihin, käyttöönottoon ja kehittämiseen liittyen. 

Lisää tietoa tästä ja muista mielenkiintoisista aiheista löydät Oppia.fi > koulutukset

Kysymyksiä kirjoittajalle? Laita viestiä lari.peltoniemi@wakaru.fi

Yli 20 vuoden loikka yksityisyyslainsäädännölle

EU:n uusi tietosuoja-asetus astuu voimaan 25.5.2018.  Käyttäjien tiedon suojaaminen ja yksityisyys ottaa lainsäädännöllä 20 vuoden loikan, mikä kattaa likimain kokonaan koko modernin internetin historian. Yleensä teknisen alan lainsäädäntö laahaa teknistä kehitystä perässä. Valmisteltavaa lakia on kehuttu nykyaikaiseksi ja ajan hermolla olevaksi. Siten uudistus on sisällöltään enemmän kuin 20 vuoden loikka maailman nopeimmin kehittyvällä teollisuudenalalla. 

Asetus vaatimuksineen on ollut esillä jo pidempään, vaikka asetus saa virallisesti lopullisen hyväksyntänsä tulevan vuoden alussa. Asetus on syytä tuntea, mutta se ei pelkästään riitä. Pitää myös ymmärtää, mitä asetuksen vaatimukset tarkoittavat organisaation toiminnan ja teknologian näkökulmasta. Pelkkä juridinen ja sopimuksellinen näkökulma ei ratkaise organisaation asetukseen liittyviä tarpeita.

Tietosuoja-asetuksen yksityisyydensuojalle asettamat vaatimukset ovat koko yritystä koskeva asia. Yrityksen johto on vastuussa lain noudattamisesta, lakiosasto vaatimuksien tuntemisesta ja tulkitsemisesta, hankinta sopimuksien tekemisestä toimittajien kanssa ja vaatimusten käsittelystä osana sopimuksia, turvallisuusyksikkö hallintotavan ja seurannan toteuttamisesta ja tietohallinto lain teknisten vaatimusten toteuttamisesta it-palveluissa. Kyse ei siis ole vain jonkun edellä mainitun tekijän erillisestä tekemisestä.

Vaikka lain vaatimukset alkavat olla tiedossa, niiden täyttämiseksi tarvittavien toimenpiteiden ja parhaiden käytäntöjen suhteen on ollut hiljaisempaa. Wakaru, tietosuojaan erikoistunut konsultointiyritys Privaon ja kansainvälinen tietosuojan ja yksityisyyden järjestö IAPP yhdessä kumppaniverkoston kanssa ryhtyvät nyt julkaisemaan tietosuojaan liittyvää aineistoa sekä järjestämään tapahtumia ja koulutuksia. Seuraa meitä niin kerromme minkälaista toimintaa asetuksen vaatimuksiin vastaaminen organisaatiossasi vaatii.

Katso 21.11.2016 pidetty maksuton webinaari aiheesta BrightTalk-kanavalta. Puhumassa webinaarissa yksi Suomen johtavista tietosuojan asiantuntijoista Privaon Oy:n toimitusjohtaja Tomi Mikkonen.

Ensimmäinen sertifikaatiin johtava Certified Information Privacy Manager (CIPM) –kurssi Helsingissä 12.12.2016.

 

aaeaaqaaaaaaaal8aaaajdjimgq0nzmxltewn2utngi1yi05ndm2lwu0ngixmzm2mdyyna

Lari Peltoniemi

Kirjoittaja on Suomen ensimmäinen sertifioitu ITIL Practitioner -kouluttaja. Hän on työskennellyt prosessien ja toiminnan kehittämisen ja arvioinnin alueella yli 10 vuotta. Päätoimisesti IT-palveluiden prosessien määrittelyn, kehittämisen ja johtamisen alueella hän on toiminut vuodesta 2005. Hän on konsultoinut ja valmentanut useita suomalaisia ja kansainvälisiä yrityksiä ja organisaatioita ITIL/ITSM prosessien määrittelyihin, käyttöönottoon ja kehittämiseen liittyen. 

Lisää tietoa tästä ja muista mielenkiintoisista aiheista löydät Oppia.fi > koulutukset

Kysymyksiä kirjoittajalle? Laita viestiä lari.peltoniemi@wakaru.fi

Lisätietoa lakiuudistuksesta:

Oikeusministeriö: Euroopan unionin tietosuojalainsäädännön uudistaminen

Oikeusministeriö: EU:n tietosuoja-asetukselle lopullinen hyväksyntä

Tietosuojavaltuutetun toimisto: EU:n tietosuojauudistus