GDPR-blogikuv

Herätys! EU:n tietosuojapommi tikittää.

Olen tämän kevään aikana jutellut lukuisien organisaatioiden kanssa EU:n ensi vuonna voimaan astuvasta tietosuoja-asetuksesta, General Data Protection Regulationista (GDPR). Se koskettaa jokaista organisaatiota, joka haluaa toimia EU:n alueella. Näyttää siltä, että monelle organisaatiolle GDPR on tullut todella yllättäen. Joko tietoisuutta ei ole koko asiasta, tai siihen on yritetty budjetoida tutustumis- ja valmisteluaikaa vasta muutaman kuukauden päähän. Harvalla on varattu rahaa IT-budjettiin GDPR:ää varten.

Samaan aikaan useassa organisaatiossa mietitään pilvistrategian puitteissa, millä vauhdilla pilvipalveluihin siirrytään. Aiheet nivoutuvat sikäli yhteen, että siinä missä muutama vuosi sitten keskusteltiin, onko julkinen pilvi riittävän turvallinen ja suojaisa paikka organisaation datoille, tänä päivänä keskustellaan siitä miten paljon turvattomampi oma tai kumppanin konesali ja sen suojaukset ovat verrattuna julkisen pilven toimijoihin. Lisäksi julkisen pilven palveluiden kautta pystytään taklaamaan jo natiivisti useita GDPR-vaatimuksia ilman lisäinvestointeja.

Miten fiksut organisaatiot toimivat?

Olen keskusteluissa asiakkaiden kanssa havainnut, että organisaatiot joissa on asiaa mietitty, ovat kytkeneet julkisen pilven strategian ja GDPR:n yhteen. Fiksua tässä on se, että saadaan taklattua kaksi kärpästä samalla iskulla: toteutettua julkisen pilven palvelun käyttöönottoprojekti ja täyttää GDPR-vaatimukset. Esimerkiksi Microsoftin Office 365:n ja Enterprise Mobility + Security projektin kiirehtiminen tälle vuodelle taklaa jo useita GDPR-vaatimuksia.

Hölmöimmillään tehdään turhia investointeja ohjelmistoihin ja prosessien kehittämisiin, ja havaitaan vuoden tai parin päästä, että pilveen siirryttäessä tehdyt investoinnit olivatkin turhia.

Hyvä ratkaisu on GDPR-workshop. Lue lisää.

Miten edetä järkevästi GDPR:n kanssa?

Olen koonnut listan asiakkaiden kanssa käytyjen keskusteluiden pohjalta miten GDPR:ää kannattaa lähestyä:

Tee taulukko GDPR-vaatimuksista

Selvitä mitkä GPDR-vaatimukset ovat jo täytetty. Tutustu organisaatioosi jo hankittuihin ratkaisuihin ja käyttöoikeuksiin. Selvitä, onko kenties jo tehty investointeja ohjelmistoihi, joilla joitakin vaatimuksista taklataan. Esimerkiksi Microsoftin EA-sopimuksen mukana on voinut tulla käyttöoikeuksia ohjelmistoihin ja palveluihin, joilla GDPR-vaatimuksia täytetään, mutta palvelut eivät ole vielä käytössä.

Tee lista, mitä palveluita tulet jatkossa tuottamaan pilvestä. Esim.

sähköposti- ja tuottavuuspalveluiden tuottaminen Microsoft Office 365:lla

laitehallinnan ja tietoturvan toteuttaminen Microsoft Enterprise Mobility + Security Suitella

lokianalyytikan toteuttaminen Microsoft Operations Management Suitella ja

konesalipalveluiden toteuttaminen Microsoft Azurella.

Selvitä, mitkä GDPR-vaatimuksista voidaan valituilla pilvikomponenteilla taklata. Esimerkiksi kohdassa kolme olevalla kombolla voidaan taklata jo paljon.

Selvitä jäljelle jäävien GDPR-vaatimuksien osalta, millä ohjelmistoratkaisuilla ja prosesseilla ne voidaan taklata ja mikä on niiden hintalappu.

Hae päätös organisaation johdosta:

Nopeutetaanko pilvisiirtymää jotta GDPR-vaatimukset saadaan niiden kautta jo kätevästi taklattua ja

Investoidaanko loppujen vaatimuksien vaatimiin ohjelmistoihin ja mihin kohtiin otetaan jäännösriski *)

Toteuta:

Ota käyttöön ne ohjelmistot joihin käyttöoikeus on, mutta joita ei ole käyttöönotettu (joilla osa GDPR-vaatimuksista täytetään)

Kiihdytä pilvipalveluiden käyttöönottoa

Hanki loput tarvittavat ohjelmistolisenssit ja kehitä prosessit

Pyydä organisaation johdolta allekirjoitettu statement jäännösriskin ottamisesta

 

*) Joidenkin GDPR-vaatimuksien suhteen organisaatiot ovat ottamassa jäännösriskin. Sellaisia vaatimuksia ovat ne, joiden toteuttaminen maksaisi investointina kohtuuttoman paljon.

Haluatko apua?

 

Jos koet että ihan kaikkea et halua tehdä itse, me autamme mielellämme.

Ratkaisuistamme Microsoft GDPR Workshop sopii monille organisaatioille, mutta jos haluat keskustella aiheesta ja tilanteestanne, ota rohkeasti yhteyttä.

Jaa