Ads 468x60px

keskiviikko 14. helmikuuta 2018

#tj100 - vai sittenkin enemmän?



Tänään on jäljellä 100 päivää (tai 99, laskutavasta riippuen) hetkeen, jota osa (lue: tietosuoja-asiantuntijat) odottaa "kuin kuuta nousevaa", ja johon osa taas (lue: yritysjohtajat) suhtautuu varauksella, ehkä jopa hieman pelonsekaisin tuntemuksin. 100 päivän kuluttua tulee sovellettavaksi EU:n tietosuoja-asetus uudistuneine velvollisuuksineen ja tarkentunein säännöksin.
Tietosuojatyö organisaatioissa on kuumimmillaan. Niin suuret kuin keskisuuret toimijat miettivät asetuksen vaatimuksia (liike)toimintansa näkökulmasta – mitä meidän tulee tehdä täyttääksemme asetuksen vaatimukset, miten varmistamme vaatimustenmukaisuuden ja miten me haluamme kehittää tietosuojaa osana liiketoimintaamme edelleen?
Nyt kun toukokuun 25. päivään on jäljellä 100 päivää (#tj100), on hyvä pysähtyä hetkeksi miettimään miksi ja miten kehitämme organisaatiomme tietosuojaa.
IAPP:n julkaiseman tutkimuksen mukaan organisaatiot ovat n. puolessa välissä (keskimäärin 48,62 %) kohti vaatimustenmukaisuutta. Yllättävää kyllä, vain 72 % EU:n sisällä toimivista yrityksistä ennusti täyttävänsä asetuksen vaatimukset 25.5.2018 mennessä, kun taas 84 % Yhdysvalloissa toimivista uskoi olevansa ”GDPR Compliant” määräpäivään mennessä.
Tietosuoja-asetuksen vaatimuksista korkeariskisimmiksi (mikäli vaatimuksia ei noudata) nähtiin henkilötietojen tietoturvaloukkauksesta ilmoittamiseen varautuminen, henkilötietoinventaari, artiklan 30 mukaisen selosteen ylläpito, suostumusten hallinta ja kansainväliset tiedonsiirrot. Kysymykseen siitä, miten näitä riskejä voidaan hallita tai pienentää, oli vastaus kautta linjan koulutus. Koulutuksen ja tietoisuuden lisäämisen ohella keinoina nähtiin esimerkiksi teknologiset ratkaisut sekä ulkopuolinen tuki.
Kuten moni meistä tietää, organisaation vaatimustenmukaisuutta on tosiasiassa haastavaa, jos ei mahdotonta, eksplisiittisesti varmentaa. Asetuksen vaatimukset vaativat tulkintaa, ja henkilötietojen suojamekanismien toteuttaminen edellyttää riskilähtöistä arviointia vaaditusta suojaustasosta. Vaatimusten kompleksisuudesta huolimatta, tietosuoja-asetus on loistava mahdollisuus kehittää liiketoimintaa. Tulevaisuudessa parhaiten menestyvät ne toimijat, jotka toteuttavat palvelunsa ja tuotteensa huomioiden tietosuoja-asiat oletusarvoisesti ja sisäänrakennetusti lunastaen täten asiakkaidensa luottamuksen. Vastaavasti tietovuodosta aiheutuva mainehaitta voi olla liiketoiminnalle pysäyttävä.
Tietosuojatyö, GDPR-kehityshankkeet eritoten, nähdään takkuavan muutamasta keskeisestä syystä. IAPP:n tutkimuksesta käy ilmi, että EU:ssa merkittävimmät kompastuskivet ovat:
  1. riittämätön budjetti (tietosuojaa ei ole huomioitu budjetoinnissa riittävästi tai pahimmassa tapauksessa lainkaan);
  2. lainsäädännön monimutkaisuus (kuten todettu, asetuksen vaatimukset vaativat tulkintaa); sekä
  3. jäljellä olevan ajan niukkuus (”liian vähän aikaa”).
Haasteet ovat linjassa niiden kysymysten kanssa, joita kohtaamme asiakkaillamme päivittäin. Mitä tulee ensimmäiseen kompastuskiveen, on budjetoinnissa otettava huomioon kehitystyön resurssit ja investoinnit vs. riski siitä, ettei yritys ole vaatimustenmukainen (esim. henkilöstön kuormittaminen tehottomien prosessien johdosta, puutteet rekisteröidyn oikeuksien totetuttamisessa, sanktiouhat) – toimitko mieluummin proaktiivisesti vai reaktiivisesti?
Lainsäädäntö voi olla monimutkaista, mutta tietosuojan perusperiaatteet ovat verrattain selkeät ja ovat läsnä jo nykylainsäädännössämme. On tärkeää pystyä hahmottamaan henkilötietojen käsittelyyn liittyvä kokonaisuus sekä tunnistaa keskeisimmät kehityskohteet; mitä meidän täytyy tehdä nyt (must-have) ja mitkä ovat pidemmän aikavälin kehitystoimenpiteitä (should-have) sekä kuinka näitä lähestytään riskiperusteisesti.
”Liian vähän aikaa” on paradoksaalinen väite ottaen huomioon, että asetus on tullut voimaan keväällä 2016 (ollen myös pitkälti samansuuntainen jo nykyisin voimassa olevan sääntelyn kanssa).
Seuraava kysymys kuuluu, miten voimme varmistaa tietosuojan riittävän tason toukokuuhun mennessä ja miten jatkamme siitä eteenpäin?
Yhtä oikeaa tietä kohti vaatimustenmukaisuutta ei ole, vaan tietosuojan kehitysprojekti tulisikin nähdä liiketoimintalähtöisenä muutosprojektina. Työ on alkanut monessa organisaatiossa joitakin kuukausia (valistuneimmilla jo vuosia) sitten, osalla työ on vasta aluillaan. Projektien yhdistävänä tekijänä on se, ettei mikään niistä pääty toukokuun 25. päivä. Tietosuoja on tullut jäädäkseen – kyseessä ei ole yhden vuoden tai yhden kevään ponnistus, vaan pysyvä ja jatkuvasti kehittyvä osa toimintaamme ja sen laatua.
Yhtä menestysreseptiä ei onnistuneeseen GDPR:n implementointiin ole, koska toimiala-, kokoluokka ja liiketoimintaprioriteetit asettavat reunaehtoja lähestymistapaan ja toteutukseen.
Työn onnistumisen elementit ovat kuitenkin vastaavia kuin minkä tahansa muutosprojektin; muutoksen vuorovaikutteinen ja suunnitelmallinen johtaminen, riittävä resursointi sekä ihmisten osallistaminen, motivointi ja viestintä.
  1. Investoinnin huomioiminen budjetissa ja resurssien varaaminen
    • tämä johdon sitoutuminen kehitystyöhön vaikuttaa välittömästi ja näkyvästi onnistumiseen
  2. Vastuiden määrittely, priorisointi ja roolien selkeyttäminen
    • miten työtä viedään tehokkaasti eteenpäin lyhyellä ja pitkällä tähtäimellä
  3. Tietosuojastrategian kohdistaminen linjaan liiketoimintastrategian kanssa
    • tässä lähestymisessä mahdollisuus saavuttaa merkittäviä liiketoimintaetuja
  4. Muutosviestintä
    • miten jalkautamme uudet toimintamallit, käytänteet ja ohjeet läpi organisaation mahdollisimman tehokkaasti, sekä
    • mitä olemassa olevia prosesseja voimme käyttää hyväksemme
  5. Jatkuva kehittäminen
    • miten varmistamme, että tietosuojatyö ei jää yksittäiseksi ponnistukseksi, vaan otamme sen osaksi liiketoimintamalliamme ja toimintatapojamme
    • tehokkaasti toteutettuna tuo myös strategista hyötyä
Tiivistettynä, meillä on 100 päivää aikaa saattaa organisaatiomme tietosuoja-asiat tietylle tasolle. Lyhyen tähtäimen ponnistuksen lisäksi meidän tulee kuitenkin nähdä tietosuoja strategisena valttikorttina – mitä pidemmällä tähtäimellä kehitämme tietosuojaamme, sitä luotettavampina kumppaneina, palveluntarjoajina ja työnantajina meidät tulevaisuudessa nähdään.
---
Kukaan ei kulje niin kauas ja nopeasti kuin ihminen, joka ei tiedä mihin hän on menossa. (H.W. Tillman)



Ei kommentteja:

Lähetä kommentti