Ota yhteyttä
Olen tämän kevään aikana jutellut lukuisien organisaatioiden kanssa EU:n ensi vuonna voimaan astuvasta tietosuoja-asetuksesta, General Data Protection Regulationista (GDPR). Se koskettaa jokaista organisaatiota, joka haluaa toimia EU:n alueella.
Näyttää siltä, että monelle organisaatiolle GDPR on tullut todella yllättäen. Joko tietoisuutta ei ole koko asiasta, tai siihen on yritetty budjetoida tutustumis- ja valmisteluaikaa vasta muutaman kuukauden päähän. Harvalla on varattu rahaa IT-budjettiin GDPR:ää varten.
Samaan aikaan useassa organisaatiossa mietitään pilvistrategian puitteissa, millä vauhdilla pilvipalveluihin siirrytään. Aiheet nivoutuvat sikäli yhteen, että siinä missä muutama vuosi sitten keskusteltiin, onko julkinen pilvi riittävän turvallinen ja suojaisa paikka organisaation datoille, tänä päivänä keskustellaan siitä miten paljon turvattomampi oma tai kumppanin konesali ja sen suojaukset ovat verrattuna julkisen pilven toimijoihin. Lisäksi julkisen pilven palveluiden kautta pystytään taklaamaan jo natiivisti useita GDPR-vaatimuksia ilman lisäinvestointeja.
Miten fiksut organisaatiot toimivat?
Olen keskusteluissa asiakkaiden kanssa havainnut, että organisaatiot joissa on asiaa mietitty, ovat kytkeneet julkisen pilven strategian ja GDPR:n yhteen. Fiksua tässä on se, että saadaan taklattua kaksi kärpästä samalla iskulla: toteutettua julkisen pilven palvelun käyttöönottoprojekti ja täyttää GDPR-vaatimukset. Esimerkiksi Microsoftin Office 365:n ja Enterprise Mobility + Security projektin kiirehtiminen tälle vuodelle taklaa jo useita GDPR-vaatimuksia.
Hölmöimmillään tehdään turhia investointeja ohjelmistoihin ja prosessien kehittämisiin, ja havaitaan vuoden tai parin päästä, että pilveen siirryttäessä tehdyt investoinnit olivatkin turhia.
Miten edetä järkevästi GDPR:n kanssa?
Olemme koonneet listan asiakkaiden kanssa käytyjen keskusteluiden pohjalta miten GDPR:ää kannattaa lähestyä:
- Tee taulukko GDPR-vaatimuksista
- Selvitä mitkä GPDR-vaatimukset ovat jo täytetty. Tutustu organisaatioosi jo hankittuihin ratkaisuihin ja käyttöoikeuksiin. Selvitä, onko kenties jo tehty investointeja ohjelmistoihi, joilla joitakin vaatimuksista taklataan. Esimerkiksi Microsoftin EA-sopimuksen mukana on voinut tulla käyttöoikeuksia ohjelmistoihin ja palveluihin, joilla GDPR-vaatimuksia täytetään, mutta palvelut eivät ole vielä käytössä.
- Tee lista, mitä palveluita tulet jatkossa tuottamaan pilvestä. Esim.
- sähköposti- ja tuottavuuspalveluiden tuottaminen Microsoft Office 365:lla
- laitehallinnan ja tietoturvan toteuttaminen Microsoft Enterprise Mobility + Security Suitella
- lokianalyytikan toteuttaminen Microsoft Operations Management Suitella ja konesalipalveluiden toteuttaminen Microsoft Azurella.
- Selvitä, mitkä GDPR-vaatimuksista voidaan valituilla pilvikomponenteilla taklata. Esimerkiksi kohdassa kolme olevalla kombolla voidaan taklata jo paljon.
- Selvitä jäljelle jäävien GDPR-vaatimuksien osalta, millä ohjelmistoratkaisuilla ja prosesseilla ne voidaan taklata ja mikä on niiden hintalappu.
- Hae päätös organisaation johdosta:
- Nopeutetaanko pilvisiirtymää jotta GDPR-vaatimukset saadaan niiden kautta jo kätevästi taklattua ja
- Investoidaanko loppujen vaatimuksien vaatimiin ohjelmistoihin ja mihin kohtiin otetaan jäännösriski *)
- Toteuta:
- Ota käyttöön ne ohjelmistot joihin käyttöoikeus on, mutta joita ei ole käyttöönotettu (joilla osa GDPR-vaatimuksista täytetään)
- Kiihdytä pilvipalveluiden käyttöönottoa
- Hanki loput tarvittavat ohjelmistolisenssit ja kehitä prosessit
- Pyydä organisaation johdolta allekirjoitettu statement jäännösriskin ottamisesta
*) Joidenkin GDPR-vaatimuksien suhteen organisaatiot ovat ottamassa jäännösriskin. Sellaisia vaatimuksia ovat ne, joiden toteuttaminen maksaisi investointina kohtuuttoman paljon.
