Tietosuoja ja palvelujohtaminen
Tietosuoja on noussut yhä keskeisemmäksi osaksi organisaatioiden toimintaa, mutta sen hallintaan liittyvät resurssi- ja budjettiongelmat ovat monille tuttuja. IAPP:n Privacy Governance Report 2024 -raportin mukaan tietosuojavastuullisten työtaakka on kasvanut merkittävästi, mutta samalla resurssit ja budjetit laahaavat perässä.
Monissa organisaatioissa tietosuojan hallinta tapahtuu hajautetusti eri järjestelmissä tai jopa manuaalisesti Excel-taulukoiden varassa, mikä vaikeuttaa tehokasta seurantaa ja raportointia. Onko tämä tilanne tuttu myös teidän organisaatiossanne?
Tietosuojan resursointiongelma
IAPP:n (International Association of Privacy Professionals) vuosittainen Privacy Governance Report 2024 on jonkun hetken ollut jaossa IAPP:n sivuilla. Kyselyyn vastaajat ovat organisaatioidensa tietosuojasta vastaavia tahoja. Heistä 81 % kertoo vastuidensa (ks. kuva) lisääntyneen ja laventuneen. Vastaajien mukaan hätää ollaan kärsimässä budjetin ja resursoinnin kanssa.
Resurssi – ja budjettiongelmat todennäköisesti ovat pahemmat kuin mitä ne voisivat olla, koska organisaatioissa tehdään tätä työtä joko eri järjestelmissä tai kymmenien excel-lomakkeiden välityksellä, kokonaan erossa organisaation päivittäisesti työstä kontrolloitavaan kontekstiin liittyen .
Jos kuulut näihin 81 prosenttiin tai muuten vaan jaat samat huolenaiheet, niin suosittelen kehittämään yhteistyötä organisaationne IT-osaston ja erityisesti palvelujohtamisesta ja palvelunhallinnasta vastaavien tahojen kanssa.
Kyseisten tahojen pitäisi jo oman tonttinsa hoitamiseksi haalia ja pitää yllä informaatiota tietosuojan ja tietoturvan kontekstista palveluhallinnan järjestelmässä tai järjestelmissä. Esimerkkinä kontekstista ovat mm.
- asiakkaat
- oma organisaatio
- prosessit
- palvelut
- tietoa tiedosta (esimerkiksi missä tietoa tallennetaan)
- teknologiat
- toimittajat
- infrastruktuuri
- jne.
Vaatimusten kerääntyminen
Hieman oikaistuna vaatimustenmukaisuudessa pohjimmiltaanhan kyse on siitä, että sisäisen riskienhallinnan lisäksi valtiolliset tahot tekevät omaa riskienhallintaa ja sorvaavat kontrolleina direktiivejä ja lakeja, jotka sitten tulevat joko suoraan tai sopimusten kautta organisaatiota velvoittaviksi.
Organisaation oman riskienhallinnan sekä ulkoa tulevien direktiivien, lakien, standardien ja sopimusten pohjalta sitten muodostetaan ne kontrollit, joilla kontrolloidaan jotakin kohdetta organisaation kontekstissa. Esimerkkinä tästä mainitakseni “kriittinen palvelu” ja siihen liittyvä muu konteksti, kuten teknologiat, toimittajat, toimittajasopimukset, infrastruktuuri, ohjeistus, prosessit jne.
Tämän kontekstin pitäisi jo olla hyvällä tasolla (ja jos ei, niin vaatikaa ihmeessä, että on!) palvelunhallinnan järjestelmässä/järjestelmissä, koska palveluita tuotetaan siihen tietoon perustuen.
Vaatimustenmukaisuuden seuraaminen
Jokaisessa palvelunhallinnan järjestelmässä on toki oma tietomallinsa vaatimustenmukaisuuden seuraamiseen, mutta käsitteellisesti meillä on
- lähdedokumentti (esim Tietosuojalaki)
- dokumentin osat (esimerkiksi tietty kappale tai momentti riippuen siitä, kuinka tarkalle tasolle haluat mennä)
- riskit (oman organisaation tunnistamat)
- kontrollit, joilla vastataan lähdedokumentin vaatimuksiin tai joilla kontrolloidaan tunnistettua riskiä
- kontrollin kohde, joka siis on jotain organisaation kontekstissa olevaa, mitä yleensä jo hallinnoidaan tietomielessä palvelunhallinnan järjestelmässä (palvelu, järjestelmä, toimittaja, sopimus …)
- kontrollin tarkastus eli todisteet kontrollin tarkistamisesta säännöllisin tai epäsäännöllisin väliajoin.
Esimerkki
Useista lähteistä tulee erilaisilla teksteillä vaatimuksia, jotka kuitenkin voidaan toteuttaa ainakin osaksi YHTEISILLÄ kontrolleilla, jotka voidaan verifioida vain yhden kerran ja,jotka liimataan kiinni siihen kontrollin hallinnoimaan kontekstiin.
Tällä tavalla voidaan organisaationa seurata päästä päähän MIKSI teemme tiettyjä asioita ja tietyllä tavalla. Kontrolli on kuitenkin luonteeltaan vaatimus jollekin asialle.
Riskeistä, tietoturvasta ja tietosuojasta vastaava hyötyy tästä leikistä sen, että IT osaston päivittäisen työn tulisi pitää yllä sitä kontekstia, jonka kontrolloimisesta olet vastuussa.
Lisäksi jos vaikka asiakas menetetään ja sopimus on tuonut velvoitteita, joita organisaatiolla ei muuten ole, voidaan organisaatiossa helposti seurata voidaanko joku kontrolli poistaa. Kontrollit kuitenkin aina maksavat rahaa ja vaivaa.
Haluatko tietää lisää?
Voisiko palvelujohtamisen keinoin päästä lähemmäksi vaatimusten täyttämistä? Ensiapua tämän kysymyksen pohtimiseen löydät mm. webinaaritallenteestamme:
Julkaistu 25.02.2025