Varjo-IT ja GDPR eivät sovi yhteen

2017-09-06

Yrityksen työntekijät ja tiimit voivat aiheuttaa merkittävän liiketoimintariskin, kun ne ottavat käyttöön uusia pilvipalveluita ilman IT-yksikön apua. Jos organisaatio ei pysty noudattamaan EU:n tietosuojavaatimuksia (GDPR), se voi käydä sille kalliiksi.

Mitä sinulla on tapana tehdä, kun viralliset IT-järjestelmät eivät oikein sovi sinun ja kollegoidesi tarpeisiin? Netti on pullollaan erilaisia pilvipalveluita, joiden käyttöönotto on tehty jopa pelottavan helpoksi. Erilaisten tiimityövälineiden, kuten Googlen ja Dropboxin käyttö on houkuttelevaa, koska isojenkin tiedostojen jakaminen asiakkaiden ja muiden organisaation ulkopuolisten kanssa on tehty niin helpoksi. Tiimit ja osastot ovat voineet vuosien ajan ottaa käyttöön itse valitsemiaan SaaS-palveluita ilman IT-yksikön apua.

Omatoimisuus voi kuitenkin kolahtaa omaan nilkkaan, kun EU:n tietosuoja-asetus (GDPR) astuu voimaan 25. toukokuuta 2018. GDPR asettaa tiukkoja vaatimuksia henkilötietojen käsittelyyn. Asetuksen rikkominen voi tulla kalliiksi, ja tämän vuoksi varjo-IT voi aiheuttaa yllättäviä ongelmia. Ihmiset eivät aina tule ajatelleeksi, että nopeus, jonka varjo-IT mahdollistaa, voikin aiheuttaa potentiaalisen riskin yritykselle.

Kieltäminen ei ole ratkaisu

Koska yritysten ja julkisten organisaatioiden pitää jatkossakin pystyä toimimaan tehokkaasti ja löytää uusia tapoja tehdä töitä, ei palveluiden kieltäminen ole välttämättä ratkaisu. Tilanne kannattaakin ottaa haasteena. 

Erilaisten tuottavuustyökalujen suosion myötä on äärimmäisen tärkeää, että IT ja tietosuojavastaavat ovat mukana palveluiden käytön suunnittelussa. On tärkeää, että firmassa ymmärretään, mitkä palvelut ja mikä käyttö muodostavat tietosuoja-asetuksen näkökannalta rekisterin, josta pitää olla huolissaan. Organisaation pitää pystyä osoittamaan olevansa tietoinen siitä, missä kaikkialla henkilötietoja on käsitelty ja että käsittely on asianmukaista.

IT-yksiköillä on tässä näytön paikka. Sen on pystyttävä tarjoamaan niin hyviä työkaluja työntekijöille, että ihmiset käyttävät mieluummin virallisesti hyväksyttyjä työkaluja kuin varjo-IT:n kautta käyttöön otettuja. On tärkeää, että yrityksen työntekijöilleen tarjoamat ratkaisut tarjoavat vähintään yhtä hyviä ominaisuuksia kuin varjo-IT on tarjonnut. Tämä vaatii avointa dialogia osapuolien välillä.

Keskustelun avulla kohti vaatimuksenmukaisuutta

On tärkeää keskustella avoimesti siitä, mitä tarpeita organisaatiolla on, mitä tietoja voi tallettaa julkiseen pilvipalveluun, ja mikä pitäisi tallettaa organisaation sisäisiin järjestelmiin. Työn tekeminen yhä säädellymmässä ympäristössä vaatii ohjeistusta: Mikä on sallittua ja mikä ei.

Keskustelua ei ole vain sen viestiminen, mikä on kiellettyä. On parempi virittää keskustelua siitä, millaisia riskejä epävirallisten työkalujen käyttö saattaa aiheuttaa.

Jokaisen organisaation pitää tehdä töitä sen omistamien ja tuottamien tietojen kartoittamiseksi. Kuka voi sanoa tietävänsä varmasti, missä kaikkialla tietoa on ja mitkä niistä muodostavat tietosuoja-asetuksen määrittelemän rekisterin?

Tietovarantojen kartoittaminen ja sitä koskevan asianmukaisen dokumentaation ja ohjeistuksen laatiminen ovat tällä hetkellä työn alla monessa organisaatiossa. Tärkeä osa työtä on löytää epävirallisessa käytössä olevat palvelut ja tiedon tallennuspaikat.

Me autamme sinua mielellämme.