Case Studies

Kohti käyttäjäystävällistä ja tehokasta kyberturvallisuutta – Deloitte mukana sujuvoittamassa Espoon tietosuojakäytänteitä

Espoon ja Turun kaupungit kehittivät yhdessä tiedon hyödyntämistä ja tiedolla johtamista tietoturvallisesti ja tietosuojan huomioiden vuosina 2022–2023 Turvallinen tieto -projektissa. Deloitte valittiin toimittajaksi projektikokonaisuuden työpakettiin, josta Espoon kaupunki vastasi ja jonka tavoitteena oli täsmentää ja parantaa Espoon kaupungin palveluiden kehittämisen ja kokeilutoiminnan tietosuoja- ja tietoturvan tukiprosessia, työnjakoa ja työkaluja sekä tunnistaa osaamistarpeita.

Tietosuoja haastaa organisaatiot

Tietosuoja on jokaisen yksilön perusoikeus, josta säädetään EU:n yleisellä tietosuoja-asetuksella sekä kansallisella lainsäädännöllä. Voidakseen toimia digitalisoituvassa maailmassa organisaation on kyettävä sujuvasti huolehtimaan tietosuojasta ja sen myötä tietoturvasta. Samalla, kun paine hyödyntää dataa organisaatioiden johtamisessa ja kehittää digitaalisia palveluja tuottavuuden ja vaikuttavuuden nimissä kasvaa, tietosuojaan ja tietoturvaan liittyvät vaatimukset haastavat organisaatioiden toimintatapoja ja osaamista. Julkisella sektorilla, jonka tehtävä on järjestää elämänmittaiset ja yhdenvertaiset palvelut kaikille ihmisille, kyky taata henkilötietojen suoja ja käsitellä niitä turvallisesti on erityisen tärkeää.

Espoon kaupungissa tietosuojan ja tietoturvan merkitys sekä siihen liittyvät haasteet oli tunnistettu. Turvallinen tieto -projektin viimeisessä vaiheessa kaupunki halusi lähteä kehittämään konkreettisesti tukea kehittämis- ja projektitoimintaansa, jossa satojen projektien ja projektipäälliköiden tukena työskentelee vain muutamia tietosuojan ja tietoturvan asiantuntijoita.

Ihmislähtöisellä muotoilulla ratkaisuja asiantuntijoiden tarpeisiin

Deloitte yhdisti toimeksiannossa lakiosaamisen ja ihmislähtöisen muotoilun menetelmät. Sen myötä Espoon tietosuojan ja tietoturvan prosesseja, toimintatapoja ja työkaluja tarkasteltiin yhtäältä EU:n tietosuoja-asetuksen ja Suomen kansallisen lainsäädännön näkökulmasta ja toisaalta käyttäjien kokemusten kautta. Kun ymmärretään käyttäjien toiveita, käyttäytymistä ja turhautumia, voidaan lainsäädännön raamien puitteissa luoda käyttäjien tarpeisiin paremmin vastaavia ratkaisuja.

Analysoimalla olemassa olevia prosessikuvauksia, ohjeistuksia ja työkaluja sekä haastattelemalla eri rooleissa toimivia Espoon kaupungin työntekijöitä piirtyi kuva nykytilanteen haasteista ja priorisoitavista kehittämiskohteista.

Tunnistettuja haasteita ratkottiin yhteiskehittämisen työpajoissa, joihin kutsuttiin projektipäälliköitä, tietosuojan yhdyshenkilöitä, tietosuojavastaava sekä muita tietosuojan ja tietoturvan parissa työskenteleviä asiantuntijoita. Työpajat toivat yhteen organisaatiossa olevaa osaamista, avasivat keskustelua tietosuojan ja tietoturvan haasteista arjessa, syvensivät nykytila-analyysin myötä syntynyttä ymmärrystä käyttäjien tarpeista ja johtivat ratkaisujen syntymiseen.

Meidän tarpeemme on aika uniikki eikä ollut ihan itsestään selvää, että tietosuojaprojektiin haetaan palvelumuotoilijoita.

Käytännön ohjeet avainroolien tunnistamiseen ja tehtäväkuvauksiin tietosuojaprojekteissa

Deloitte auttoi Espoon kaupunkia selkeyttämään kokonaiskuvaa tietosuojan ja tietoturvan huomioimisesta kehittämisprojektien ja kokeilujen eri vaiheissa sekä prosessiin liittyvien avainroolien tunnistamisessa. Tietosuojan tukiprosessikuvauksen avulla kaupungin eri rooleissa toimivat asiantuntijat pystyvät hahmottamaan paremmin tietosuojaan liittyviä tehtäviä ja vastuita ennen projektia, sen aikana ja jälkeen. Avainroolien tehtäväkuvaukset selkeyttävät työnjakoa ja luovat pohjan osaamistarpeiden tunnistamiseen. Espoolle luodut tietosuojan tuen ja neuvonnan portaat kuvaavat tavoitetasoa tuen eri muodoista ja sen kohdentumisesta. Sen avulla voidaan kehittää ja jalkauttaa uusia tietosuojaan ja tietoturvaan liittyvän tuen muotoja sekä avata organisaatiossa tuen ja neuvonnan toteutumista eri näkökulmista.

Deloitte muotoili olemassa olevia ohjeistuksia ja työkaluja palvelemaan sekä lainsäädännön henkeä että käyttäjiä sekä kehitti digitaalisen projektityökalun tietosuojanäkymän käyttäjäkokemusta.

Lisäksi Deloitte auttoi Espoon kaupunkia tunnistamaan tietosuojan avainroolien osaamistarpeita sekä määrittelemään suositukset osaamisen kehittämisen painopisteiksi tuleville vuosille. Osaamisen kehittymistä tuettiin myös itseopiskelumateriaaleilla. Tietosuojan tarkastuslistat ovat käytännöllinen työkalu ja oppimateriaali projektipäälliköille tietosuojan tukiprosessin rinnalle. Tietosuojan päättelypuut puolestaan tukevat henkilötiedon tunnistamisessa, tietosuojan periaatteiden sisäistämisessä ja huomioimisessa sekä rekisterin pitämiseen liittyvien kysymysten kanssa.

Tarve monialaiselle asiantuntemukselle

”Turvallinen tieto -projekti on todella laaja kokonaisuus, jossa yhdistyy yksityiskohtainen ja tekninen osaaminen, kuten tietosuojalain tulkinta sekä palvelumuotoilunäkökulma. Meidän toiveenamme oli saada sparrailuapua tunnistamaan ja ratkomaan arkipäivän haasteita ihmislähtöisesti,” kertoo Wilhelmiina Griep, Espoon kaupungin strategia- ja kehittämisyksikön kehittämiskonsultti ja Turvallinen tieto -hankkeen projektipäällikkö.

Griepin mukaan projektikokonaisuus ja sen tavoitteet oli haastava viestiä ja kilpailuttaa juuri palvelumuotoilukulman takia.

“Meidän tarpeemme on aika uniikki eikä ollut ihan itsestään selvää, että tietosuojaprojektiin haetaan palvelumuotoilijoita. Vasta toisella kilpailutuskierroksella saimme osuvampia tarjouksia. Deloitte oli yksi niistä harvoista toimijoista, joka on saanut kiinni meidän tarpeistamme,” Griep jatkaa.

Tavoitteet toteutuvat hyvällä yhteistyöllä

Espoon kaupunki on verrattain iso ja kompleksi organisaatio. ”Toimittajan on hyvä varautua siihen, että meidän päässämme saattavat esimerkiksi hyväksyntäprosessit venyä, kun sidosryhmiä on niin paljon. Konsultin on tärkeä osata tasapainoilla sen kanssa, miten eri sidosryhmät otetaan huomioon ja esimerkiksi, miten tuotoksia viedään heille esitettäväksi. Lisäksi hyvät kommunikaatiotaidot ovat tärkeässä roolissa, kun tekeminen jakautuu isommalle joukolle,” Griep kuvailee.

”Deloitten tiimillä oli hyvä ote työhön ja pystyimme luottamaan, että he hoitavat itsenäisesti materiaalien kokoamisen, niihin perehtymisen sekä sidosryhmien haastattelun. Olemme tehneet ennenkin töitä Deloitten kanssa, joten siitä oli varmasti hyötyä, että he tunsivat meidän organisaatiomme entuudestaan. Espoon strategia näkyy kehittämisessä todella vahvasti ja toiveenamme oli, että se otetaan myös toimeksiannoissa huomioon.”

Griepin mukaan on tärkeää tehdä yhteistyötä siten, että tuotokset todella palvelevat hyötytavoitteita. “Hyvä yhteistyö ja palvelumuotoilumenetelmien käyttö alkuperäisten tarpeiden tunnistamiseksi auttavat varmistamaan, että projektituotokset ovat jo prosessin aikana tarkistettuja ja iteratiivisen lähestymistavan mukaisia,” Griep toteaa.

Lisätietoja:

Hannu Kasanen, Deloitte
hannu.kasanen@deloitte.fi

Jaakko Jäätmaa, Deloitte
jaakko.jaatmaa@deloitte.fi

Wilhelmiina Griep, Espoon kaupunki
wilhelmiina.griep@espoo.fi

Ota yhteyttä

Hannu Kasanen

Director, Cyber Risk

hannu.kasanen@deloitte.fi

+358 (0)50 531 1144

Hannu Kasanen työskentelee johtajana, vastuullaan Deloitten kyberturvallisuuspalvelut Suomessa. Hannulla on mittava kokemus tietoturvan, tietosuojan ja käyttövaltuushallinnan kehittämisestä. Hän on ur... Lisää

Jaakko Jäätmaa

Deloitte Digital

jaakko.jaatmaa@deloitte.fi

+358 (0)40 168 2524

Jaakko Jäätmaa työskentelee Deloitte Digitalissa vanhempana johtavana konsulttina. Hän on erikoistunut digitalisaation ja ihmislähtöisen muotoilun hyödyntämiseen organisaatioiden uudistamisessa. Jaako... Lisää

Audit & Assurance

Consulting

Risk Advisory

Yritysjärjestelyt

Legal

Veropalvelut

Deloitte Private

Kuluttajatuotteet

Teollisuus ja energia

Finanssitoimiala

Julkinen sektori

Terveydenhuolto

Kokeneet asiantuntijat

Opiskelijat ja vastavalmistuneet

Elämää Deloittella

Avoimet työpaikat

Mergers and Acquisitions

Cyber

SAP S/4HANA

Digital Transformation

Technology Fast 50

CFO Programme

Board Program

About Us

Sustainability & Climate