Ads 468x60px

maanantai 10. marraskuuta 2014

Tietosuoja-asetus - vaatimustenmukaisuuden saavuttamisen lyhyt oppimäärä osa 2


Edellisessä kirjoituksessani käytiin läpi ensimmäisiä askelia vaatimustenmukaisuuden saavuttamisessa, tarkemmin

1        Nykytilan selvitys; sekä
2        Gap-analyysi ja riskianalyysi.

Tämänkertaisessa tarinassa on tarkoitus uppoutua siihen, miten riskiarvioinnin perusteella suunniteltavat kehittämistoimenpiteet priorisoidaan ja miten kehityssuunnitelma konkreettisesti jalkautetaan organisaatiossa.

3        Toimenpiteiden priorisointi ja kehityssuunnitelman laatiminen

Riskianalyysissä puutteet nykyisessä toiminnassa luokitellaan yleensä korkean, keskimääräisen ja matalan riskin havaintoihin. Usein arvioidaan lisäksi vielä korjaustoimenpiteiden helppous/vaikeus. Luokittelun tarkoitus on kiinnittää ylimmän johdon huomio kaikista kriittisimpiin puutteisiin, jotta niiden korjaamiseen tarvittavien resurssien saatavuus on turvattu, ja jotta vastuulliset osaltaan huolehtivat siitä, että puutteet korjataan viivästyksettä.

Toiseksi, riskilähtöisessä toiminnassa tulee vakavimmat puutteet korjata ensimmäisinä ja varmentaa korjaustoimenpiteiden tehokkuus ennen kuin siirrytään vähemmän kriittisiin puutteisiin. Kehitystoimenpiteet toteutetaan usein sykleissä, jotta rajalliset resurssit voidaan kohdentaa tehokkaasti ja toimenpiteiden vaikutuksia arvioida. Kehitystoimenpiteiden tulee olla mitattavissa olevia, havaittujen puutteiden korjaamiseen tähtääviä riittävän yksityiskohtaisia tehtäviä/tehtävien kokonaisuuksia, jotka voidaan vastuuttaa tietyille tahoille ja joiden etenemistä voidaan seurata.

Kehitysvaihe on hankkeen pisin vaihe, joten sen suunnitteluun ja hallintaan on syytä kiinnittää erityistä huomiota. Vastuut on määriteltävä huolella, sillä prosessit saattavat kulkea horisontaalisesti eri organisaatio-osien läpi. Ennen kehittämistoimien aloittamista hankkeen johdon on siis myytävä suunnitelma monelle asianosaiselle!

Oiotaan tässä myös yksi väärinkäsitys, johon edelleen törmätään: Kehityssuunnitelman laatiminen ja kontrolliympäristön suunnittelu eivät kuulu tietohallinnon, vaan liiketoiminnan tehtäviin.

4        Kehityssuunnitelman jalkauttaminen

Kehittämisen mahdollistamiseksi ylipäänsä tulee organisaatiolla olla riittävät tietosuojan hallinnointirakenteet, jotta tehtävät voidaan vastuuttaa, jotta jollain taholla on kokonaisvastuu ja – näkymä toteutettavista toimista ja jotta päätöksenteon perustaksi saadaan riittävästi tietoa. Samalla tietosuojan suunnitelmallinen hallinta on tietosuoja-asetuksen tuoman tilivelvollisuuden periaatteen tärkeimpiä ilmentymiä. Yleisesti, tietosuojatoimintojen tulee tukea liiketoiminnan tavoitteita, jotka puolestaan myötäilevät ja konkretisoivat organisaation strategiaa.

Tietosuojan kehittäminen tapahtuu monella eri organisaation tasolla, lisäksi kehitystoimenpiteet vaihtelevat suurestikin luonteeltaan. Toisinaan saattaa puute olla vähäinen, esim. kirjallisen prosessikuvauksen puuttuminen. Esimerkiksi tietosuojavastaavan nimittäminen, roolittaminen ja koulutus on kuitenkin iso, haasteellinen kokonaisuus, joka vaatii muutoksia myös päätöksenteon rakenteisiin.

Tyypillisiä kehittämiskohteita ovat tietosuojapolitiikka ja sitä tukeva ohjeistus, henkilöstön osaamisen varmistaminen, henkilötietojen käsittelyn valvonta, tiedon luokittelu ja käsittelysäännöt sekä tiedon suojaaminen ja elinkaaren hallinta. Ulkopuoliset asiantuntijaorganisaatiot kuten KPMG pystyvät tukemaan kehittämisprosessia silloin, kun organisaation oma osaaminen ei ole riittävää.

Isommissa organisaatioissa kehittämistyötä valvoo usein ohjausryhmä, joka koostuu ylemmän johdon edustajista, riskienvalvonnan edustajista, liiketoiminnan edustajista sekä projektijohdosta. Ohjausryhmän tehtävä on seurata kehittämistoimien etenemistä ja tehokkuutta, punnita ja esitellä uusia avauksia, seurata taloudellisia mittareita sekä viime kädessä, tehdä päätökset hankkeen suuntaviivoista, jatkumisesta tai alasajosta.

Ei kommentteja:

Lähetä kommentti