Kevät on saapunut ja niin saapuu myös eurooppalainen tietosuoja-asetus GDPR (General Data Protection Regulation) – erityisesti sen 25.5.2018 alkavan soveltamisajan vaatimukset. GDPR ei ole täysin uusi asia. Vaikka asetus on astunut voimaan jo vuonna 2016, herättää se yrityksissä yhä kysymyksiä soveltamisajan alkaessa. Viimeistään nyt on aika tarkastella toteutusta ja erityisesti GDPR:n esiin tuomia mahdollisuuksia.
GDPR:n mukaiset toimenpiteet
GDPR on tuonut ajankohtaiseksi entistä tarkemman henkilötietojen hallinnan. Henkilötietoja on järjestelmissä usein valtava määrä, koska järjestelmän elinkaari on pitkä. Toiminnanohjausjärjestelmissä henkilötietoja ovat esimerkiksi asiakas-, nimi- ja osoitetiedot, sopimusnumerot, toimitus- ja laskutusosoitteet sekä pankki- ja luottokorttitiedot. Näitä tietoja on hallittava tiedon syntymisestä tiedon olemassaoloperusteen loppumisen jälkeiseen hävittämiseen asti eli koko niiden elinkaaren ajan.
Miten näiden tietojen elinkaarta sitten voidaan käytännössä hallita?
Tiedon elinkaaren hallinta SAPissa
SAPin ratkaisu tiedon elinkaaren hallintaan on Information Lifecycle Management (ILM). ILM ei ole erillinen SAP-järjestelmä, vaan se on aktivoitavissa käyttöön jo olemassa olevien SAP-järjestelmien sisältä. ILM koostuu kolmesta eri osa-alueesta:
1) Tiedon arkistointi
Arkistointi on SAP ILMin peruspilari, jolla on hallittu jo vuosia aktiivikannan tiedon määrää. Nyt ILMissä arkistointiohjelmat on tehty yhteensopiviksi tiedon säilytysajan ja järjestelmän elinkaarenhallinnan kanssa.
2) Tiedon säilytysajan hallinta
Tiedon säilytysaikaa hallitaan luomalla tietokohtaisia sääntöjä organisaatioiden tarpeiden mukaan. Tämä säilytysaika voi perustua lakisääteisiin tai muihin säilytysaikavaatimuksiin. Säilytysajan päätyttyä tieto on poistettavissa arkistosta ILMin avulla.
3) Vanhojen järjestelmien elinkaarenhallinta
Useilla organisaatioilla on vanhoja palvelimia tai järjestelmiä, jotka eivät ole aktiivikäytössä, mutta joita pidetään elossa esimerkiksi niiden sisältämän tiedon arkistointivelvoitteen takia. Palvelimien tiedot voidaan siirtää SAP ILMin kautta talteen arkistosysteemiin, minkä jälkeen ne voidaan poistaa käytöstä.
Tiedon elinkaarenhallinta SAPissa ei ole kuitenkaan pelkästään SAP ILMin avulla tapahtuva prosessi. GDPR-valmiissa tiedon elinkaaren hallinnassa on hyvä ottaa huomioon myös yhteys esimerkiksi siihen, että tiedetään ja seurataan dokumentoidusti, kuka tietoa katselee ja muuttaa.
Askeleet toimivaan GDPR-valmiiseen SAP ILM -strategiaan
1) Määrittele järjestelmässä oleva tieto ja sen määrä GDPR:n vaatimukset huomioiden.
Analysoi järjestelmässä olevat henkilötiedot, niiden määrä ja niihin liittyvät riskit tietosuoja-asetuksen vaatimukset huomioiden.
2) Valitse tietoturvallinen arkistointijärjestelmä.
Tietoturvallinen arkistointijärjestelmä estää tiedon poistamisen ilman syytä ja sallii sen pyynnöstä. Lisäksi tietoturvallinen järjestelmä estää tiedon muuttamisen. Arkistointijärjestelmänä voidaan käyttää esimerkiksi SAP IQ:ta.
3) Määritä oikeanpituiset tiedon säilytysajat.
Tiedon säilytysaika on hyvä määrittää mahdollisimman aikaisin ottaen kuitenkin huomioon mahdolliset tiedon katselutarpeet, esimerkiksi tilintarkastus.
4) Päätä, kuka saa nähdä ja mitä.
Esimerkiksi laskutusosoitetietoja voivat niiden elinkaaren aikana tarkastella useat henkilöt. ILMin blokkaus-toiminnon avulla tietoa eivät kuitenkaan enää pääse katsomaan henkilöt, joilla ei ole siihen tarvetta.
5) Ota huomioon elinkaarenhallinnan yhteys lukulokitukseen.
SAPin Read Access Logging (RAL) mahdollistaa tiedon nähneiden ja muuttaneiden käyttäjien sekä itse muutosten seuraamisen lokien avulla, mikä on suositeltavaa erityisesti arkaluontoisen henkilötiedon kohdalla. Nämä lokitiedot on hyvä huomioida ILM-strategiassa.
Pitkällä tähtäimellä ILM-arkistointi ja -poistotoimenpiteet tuovat hyötyjä esimerkiksi vapautuneena levytilana ja suorituskyvyn parantumisena.
GDPR-vaatimusten täyttäminen - muun muassa elinkaarenhallinta - on jatkuvaa organisaation tietojärjestelmien ja prosessien kehittämistä. Ymmärrys tiedon elinkaaresta voi myös parhaimmillaan olla askel kohti aidosti tiedolla ohjattua organisaatiota.
Blogin ovat kirjoittaneet Timo Mäkinen ja Nina Uusitalo. He työskentelevät CGI:llä SAP-asiantuntijoina.
Kirjoittajasta
CGI Suomen asiantuntijat
Kirjoituksia asiantuntijoiltamme
CGI on kansainvälisesti suomalainen digitalisaatiokumppani. Suomessa noin 3 800 asiantuntijaa konsultoivat asiakkaitamme liiketoiminnan ja ICT-ratkaisujen kehittämisessä. Tällä profiililla julkaisemme kirjoituksia CGI:n eri asiantuntijoilta.
