GDPR, onko siitä vielä sanomatta jotain sellaista mitä ei olisi jo sanottu? Aiheesta on paljon keskustelua ja monia tulkintoja. Miten käy esimerkiksi B2B-sähköpostimarkkinoinnin jatkossa? Saako, eikö saa? Ai saa, ihanko varmasti? Ai et ole ihan varma?

On sanottu, että GDPR on isoin juttu IT-alalle Y2K-bugin jälkeen. Tältä se kieltämättä tuntuu. Aihe tuottaa suurta hämmennystä ja suoria vastauksia avoimiin kysymyksiin on vaikea löytää. Ja kun vastauksia löytyy, niin niillekin hyvin todennäköisesti löytyy vastaväittämä.

Kirjoitimme taannoin yhdessä GDPR Techin Juha Sallisen kanssa GDPR-myyteistä ja harhoista. Tutustu tekstiin täällä.

GDPR on pelottavaa ja pakollista. Mutta, mitä jos asiaa tarkastelisi toiselta kantilta?

GDPR mahdollisuutena

Mitä GDPR oikeastaan tarkoittaa? Ainakin sitä, että organisaatioiden on luotava malli millä tietosuojaa, tietoturvaa ja muutakin kriittistä dataa ylläpidetään sekä turvataan. Tältä kantilta kun asiaa ajattelee, niin tämähän kuulostaa oikein järkevältä. Eikö?

GDPR ei ole maailmanloppu, se pitäisi nähdä myös mahdollisuutena liiketoiminnan kehittämisen näkökulmasta. Se pitäisi myös nähdä mahdollisuutena Varjo-IT:n negatiivisten puolien taklaamiseen.

Kun sovelluskehityksessä aikoinaan hypättiin Agilen maailmaan, niin dokumentoinnin määrä väheni. Ketterä kehittäminen on myös valunut vuosien aikana sisäiseen sovellus- ja järjestelmäkehitykseen. Ja lisäksi, henkilöstö on mobiililaitteiden aikakaudella tottunut erilaisten sovellusten runsaudensarveen.

Tällä on ollut seuraamuksia. Nykyään jokaisella on oma lempparipilvipalvelu, joka toisinaan menee firman virallisen työkalun edelle. Ja tästä syntyy melkoista päänvaivaa ainakin organisaation IT-osastolle. Tämä päänvaiva tunnetaan myös nimellä Varjo-IT.

Organisaation tietoturvan päivittämisessä pitää pystyä huomioimaan laajemmat työelämän trendit kuten vapaus valita omat työkalunsa sekä vapaus valita missä ja milloin duunia tekee.

GDPR ja modernin työelämän trendit

Miten organisaaton tietoturvassa huomioidaan modernin tietotyön trendit – esimerkiksi BYOD tai etätyö?

Ihan oikeasti, kaipaako kukaan enää yhtään uutta järjestelmää? Eikö ensisijaisesti kannattaisi ottaa kaikki irti jo olemassa olevista järjestelmistä? Ja jos uudelle järjestelmälle tai työkalulle on tarvetta, sille on syytä löytää hyvät perustelut.

Organisaation tietoturvan päivittämisessä pitää pystyä huomioimaan laajemmat työelämän trendit kuten vapaus valita omat työkalunsa sekä vapaus valita missä ja milloin duunia tekee.

Työntekijät kaipaavat modernin työelämän vapauksia. Yhteisten pelisääntöjen pitää tukea näitä vapauksia ja myös tietosuoja pitää saada palvelemaan näitä vapauksia.

Valmistautuminen GDPR:n tuomiin muutoksiin

Mutta, mennään asiaan eli miten Meteoriitilla on valmistauduttu GDPR-asetukseen? Me Meteoriitilla olemme nähneet GDPR:n ennen kaikkea mahdollisuutena päivittää tietoturvaa ja yhteisiä käytäntöjä. Haluamme itse osata hyvin, jotta voimme auttaa asiakkaitammekin vastaavien asioiden kanssa.

Sinisen Meteoriitin Suomen operatiivisten toimintojen sisäisen GDPR-valmistautumisen voi jakaa kolmeen vaiheeseen.

Tietoisuuden lisääminen

  • Sisäiset palaverit
  • Avainhenkilöiden koulutus ja sertifiointi ulkopuolisten asiantuntijoiden toimesta
  • Avainhenkilöiden järjestämät sisäiset GDPR-koulutukset neljässä osassa
  • Koulutusten testaaminen sisäisten kyselyiden avulla
  • Jatkuva rummuttaminen ja keskustelun aktivointi Yammerissa

Prosessin alkuvaiheessa huomasimme, että asia aiheuttaa helposti väärinkäsityksiä ja ylilyöntejä. Avoin keskustelu Yammerissa on ollut aktiivista ja tärkeää. Sisäiset koulutukset ovat olleet hyviä paikkoja yhteiselle dialogille.

Me olemme ajatelleet valmistautumista isomman kuvan kautta. Kyse ei todellakaan ole vain valmistautumisesta GDPR-asetukseen tuomiin muutoksiin. Kyse on jatkuvasta tietotyön ja tietoturvan yleisestä kouluttamisesta. Kouluttaminen on jatkuva prosessi.

Organisaatiossa tuskin on enää yhtään henkilöä töissä, jonka ei tarvitsisi tietää mitään.

Suunnitteluhanke

  • Riskikartoitukset
  • Budjetointi
  • Sisäiset työpajat
  • Dokumentointi
  • Tietosuojalausekkeiden auditointi ja editointi
  • GDPR DPA:n eli Data Processing Agreementin tuottaminen

Suunnitteluvaiheessa olemme kartoittaneet kaikki talon sisäiset järjestelmät, joista löytyy henkilötietoja – missä tietoa, millaista tietoa on saatavilla.

Riskienhallinta koski aiemmin vahvasti liiketoiminnan ja IT:n riskienhallintaa, mutta nyt sitä on laajennettu koko talon käyttöön. Suunnitteluvaiheessa olemme muun muassa kehittäneet sisäisen riskienhallintatyökalun, johon kirjaamme millaisia riskejä on tunnistettu talon sisällä sekä toimenpiteet riskien hoitamiseksi.

GDPR edellyttää kaikkien päätösten dokumentointia. Jos kaikki on hyvin dokumentoitu ja perusteltu, tämä voi jo itsessään vähentää sanktioiden suuruutta.

Tietoturvaan liittyvänä konkreettisena esimerkkinä mainittakoon muun muassa tietosuojakalvot – jokaisella simeläisellä on mahdollisuus saada koneelleen sellainen, jos sitä tarvitsee. Lisäksi olemme ohjeistaneet miten kotitoimistolla pitää huomioida firman yhteisiä tietoturva-asioita. Eli pyrimme mahdollisimman selkeästi määrittelemään yhteiset pelisäännöt, joilla pääsemme kohti tietoturvallisempaa työskentelyä.

Keskusteluissa eri tahojen kanssa on noussut esille, että osalle yrityksistä GDPR DPA (Data Processing Agreement) ei ole lainkaan tuttu, vaikka GDPR sitä jatkossa edellyttää. Kyse on siis firmojen välisestä kahdenkeskisestä tietojenkäsittelysopimuksesta, joka lisätään liitteeksi varsinaiseen sopimukseen.

Toteutusvaihe

  • Muutokset toimintatapoihin
  • Prosessien luominen

Kolmannessa vaiheessa luomme selkeät toimintamallit, joissa otamme kantaa mitä tehdään kun esimerkiksi ulkopuolinen pyytää omien tietojensa tarkastusta. Olemme muun muassa selkeästi määritelleet, että pyynnöt tulee tehdä kirjallisena. Lisäksi olemme ottaneet kantaa miten tietoja lähetetään ulospäin. Kaiken tarkoituksena on datan minimointi eli lähetämme vain tarpeelliset tiedot ulospäin.

Prosessien kuvaukset julkaistaan intranetissa, jossa ne ovat kaikkien nähtävillä.

Työ ei lopu kertaluonteiseen valmistautumiseen. Kyse on jatkuvasta prosessista. Meillä on käytössä riskienhallintaprosessi, jossa kerran kvartaalissa käsittelemme esille nousseita epäkohtia, teemme suunnitelman epäkohtien hoitamiseksi sekä tarkastelemme lopputuloksia, ja tarvittaessa teemme mahdollisia korjausliikkeitä aikaisempiin ratkaisuihin – Plan-Do-Check-Act -malli.

Lopuksi

Tietoturvan kehittäminen ei voi lähteä kaiken kieltämisestä. Varjo-IT on todellinen ongelma, mutta vastaus ei voi olla kaiken kieltäminen. Parempi vastaus on omien työkalujen jatkuva kehittäminen. Kun henkilöstö aidosti innostuu yhteisistä työkaluista, on kouluttaminen ja käyttöönotto huomattavasti helpompaa.

Ja kun henkilöstö diggailee firman virallisista työkaluista, on tietoturvan ylläpito huomattavasti helpompaa. Ja niin myös GDPR-asetukseen valmistautuminen.

Aiheesta lisää

Konsultin arkea, intra per kuukausi  Sivosen Jussi toimii Meteoriitilla vanhemman konsultin roolissa. Kun Jussi tuli taloon intranet-konsultiksi oli Valosta julkaistu juuri kolmosversio. ...
Moderni SharePoint – mitä, missä, milloin ja miksi? Kirjoitimme aikaisemmin jo mitä moderni SharePoint tarkoittaa Valon näkökulmasta. Sivosen Jussi avaa tässä tekstissä kattavasti mikä moderni SharePoin...
Office 365 Keep on Track -webinaari, elokuu 2018 Taas on yksi webinaari takana, ja voidaan alkaa ottaa uutta vauhtia kohti seuraavaa. Tällä kertaa rekisteröityneitä osallistujia oli ennätysmäärä, ja ...
Näin saat henkilöstön rakastumaan uuteen intraasi – kymmenen vinkkiä Edelleen liian usein kuulee, kuinka taloon hankittiin uutta järjestelmää isolla hintalapulla, mutta käyttäjiä ei näkynyt missään. Tai hommattiin lisen...
Miten miljoona käyttäjää saadaan yhden pöydän äärelle? Heinäkuussa rikottiin rajoja muuallakin kuin lämpötiloissa. Valo Intranetin maailmanlaajuisten käyttäjien määrä kasvoi yli miljoonan. Mistä tämä kerto...
Teosto panostaa digitaalisen työn kehittämiseen  Digitalisaation vaikutuksilta ei ole välttynyt mikään organisaatio. Musiikkiteollisuudessa digitalisaation murros on tuottanut valtavia muutoksia musi...

Tietoa kirjoittajasta

Mikko Niemi

Technical Production Manager

Kirjoitukset (1)

Kommentoi