Automatisoi tiedon säilytys ja poisto

Toimiiko yrityksesi säännellyllä toimialalla tai oletko digitalisoimassa vaikkapa henkilöstö- tai taloushallinnon arkistoa? Tiesitkö, että käyttöoikeudet eivät aina ratkaise tiedon säilyttämiseen ja poistamiseen liittyviä haasteita?

Tässä blogissa kerrotaan, miten voit automatisoida tiedon säilyttämistä ja poistamista Microsoftin pilvipalveluissa ja siten varmistaa yrityksesi säännönmukaisen toiminnan.

Blogi on osa Sulavan tiedonhallintaa, -suojausta ja vaatimustenmukaisuutta käsittelevää sarjaa. Käsittelemme sarjassa tarkemmin mm. henkilötietojen suojausta ja tiedon suojausta luokittelun avulla.

Mitä pitäisi säilyttää ja mitä poistaa?

Dokumentinhallinta on viimeisen 10 vuoden aikana siirtynyt nopeasti sähköiseksi. Yritykset korvaavat vähitellen arkistokaapit pilvitallennusmallilla, missä dokumentit joko syntyvät tai konvertoidaan sähköiseen muotoon ja arkistoidaan digitaalisesti.

Jos kyseessä on materiaali, johon kohdistuu säilytysvelvoitteita kuten kirjanpidon ja palkkahallinnon materiaalit täytyy varmistaa, ettei mitään vahingossa katoa. Säilytysajat vaihtelevat muutamasta vuodesta jopa 50 vuoteen kuten palkkalaskelmien osalta.

Henkilöstöhallinnon asiakirjoihin taas liittyy sekä säilytys- että hävittämisvaatimuksia. Esimerkiksi työntekijän terveydentilaa koskeva arkaluontoinen materiaali tulee säilyttää erillään muista tiedoista ja aineistoista. Terveydentilatodistus, joka vaaditaan esimerkiksi oppilaitokseen tai virkaan nimittämiseksi, tulee hävittää asianmukaisesti heti viran täytön jälkeen. Asiakirjojen säilytykseen vaikuttaa myös esimerkiksi oikeudenkäynnit, jolloin asiakirjat on säilytettävä kanneajan päättymiseen asti.

Käyttöoikeusmalli vai poistamisen estävä käytäntö?

Tyypillisesti muokkausta ja poistamista pyritään hallitsemaan pääsyoikeuksilla. Käytännön työn kannalta on kuitenkin haastavaa estää poistaminen oikeuksilla, koska arkisia virheitä tapahtuu eikä ole tarkoituksenmukaista kääntyä virheiden korjaamistilanteissa pääkäyttäjien tai IT-palveluiden puoleen.

Käyttöoikeusmallin rinnalle voidaan tuoda säilytystä ja poistamista tukevia dokumentti- tai sijaintikohtaisia käytäntöjä. Osa dokumenteista voidaan suojata poistamista estävillä käytännöillä samalla kun loppukäyttäjillä säilyvät poisto-oikeudet muuhun dokumentaatioon.

Säilytyskäytäntöjä on eri asteisia ja vaativimmissa tilanteissa voidaan käyttää regulatory recordeja eli säännönmukaisuuden alaisia arkistointikäytäntöjä, joiden kohteena olevien tiedostojen poistaminen onnistuu ainoastaan Microsoftin tuen avulla.

Pilviympäristöön eli tenantiin voi määritellä jopa 10.000 erilaista säilytys- ja poistokäytäntöä. Säilytyksen varmistavia dokumenttileimoja voidaan asettaa yksittäisiin dokumentteihin käsin tai koko dokumenttikirjastotasolle, sisältötyypeittäin tai oletuksena kaikkiin tiedostoihin koko ympäristössä. Käytäntöjä voidaan myös periä kansiotasolta sen sisältämiin dokumentteihin.

SharePoint- ja OneDrive-käyttöliittymissä poiston estävä merkintä voidaan visualisoida joko omassa sarakkeessa tai se tulee lukkokuvakkeeksi dokumentin kylkeen.

Käyttäjä saa virheviestin, jos yrittää poistaa tällaista dokumenttia.

Automaattinen poistaminen säilytysajan umpeuduttua

Toinen tyypillinen murheenkryyni on loputtomiin kertyvät tiedostot. Sen lisäksi, että aika ajoin voisi olla järkevää poistaa elinkaarensa päähän tulleita tiedostoja voi osiin tiedostoja kohdistua lakiperusteinen vaatimus niiden poistamiseksi.

Työhakemuksia ei saa säilyttää määrättömästi eikä esimerkiksi aiemmin mainittuja terveydentilatodistuksia. Henkilötietoja sisältäviä dokumentteja joudutaan ehkä myös poistamaan joko pyynnöstä tai käyttötarpeen umpeuduttua.

Poistamishetken voi kytkeä tiettyyn tapahtumaan, kuten esimerkiksi työsuhteen päättymiseen. Järjestelmä tunnistaa tapahtuman, mikä käynnistää työnkulun. Se vuorostaan poistaa tiedostot, joihin on kohdistettu tapahtumaperusteinen poistamiskäytäntö.

Poistamiskäytäntöjä voi luoda sellaisenaan, tai poistamisen voi kytkeä säilytyskäytäntöön. Voidaan esimerkiksi asettaa 10 vuoden säilytysaika kirjanpitoaineistolle ja tämän ajanjakson päättyessä joko pyytää vastuuhenkilöitä hyväksymään datan poisto, poistaa data automaattisesti tai vapauttaa tiedostot poistoeston piiristä vapaasti käsiteltäviksi.

Tämänkaltaisella automatiikalla pystytään täyttämään yrityksen vaatimuksenmukaisuussäännöstöt ja esimerkiksi tukemaan yrityksen jatkuvuussuunnitelman toteutumista.

Mihin järjestelmiin säilytys- ja poistokäytäntöjä voi kohdistaa

Säilytys- ja poistomalleja voi kohdistaa SharePoint-, OneDrive-, Teams-, Yammer- ja Exchange-sisältöihin. Yksinkertaistettuna säilytys- ja poistomallin automatiikka luo käyttöliittymästä poistettavasta datasta kopion sijaintiin, johon ei pääse kuin järjestelmänhallintatunnuksilla. Vaikka loppukäyttäjä voi hävittää tietoa omasta käyttöliittymästään, säilyvät tiedot muualla tallessa.

Kollaboraatio ja avoin tiedonkulku yrityksissä on nykypäivää ja tukee liiketoimintaa. Asiakkuuksia käsitellään yhä enemmän kollaboraatiotyökaluissa kuten Teamsissä ja SharePointissa, jolloin viestintä dokumenttien ohella on yhteiskäyttöistä. Näissä tilanteissa käsitellään asiakkaan tietoja, käydään keskustelua asiakkuudesta ja asiakkaalle tuotettavista palveluista.

Yrityksen näkökulmasta tällainen asiakkaita koskeva data kuuluu yritykselle ja tulisi olla käytettävissä myös yksilöiden työsuhteiden muutostilanteissa. Yrityksiin voi kohdistua esimerkiksi juridisia vaatimuksia, jolloin oikeusprosesseissa voi olla tarpeen käyttää keskusteluja ja dokumenttiversioita todistelussa. Joskus tämä tieto voi olla yksilön OneDrivessa, sähköpostiviesteissä tai chat-viesteissä.

Oikeusprosesseja varten säilytettävä data

Jos yritykseen kohdistuu oikeusprosessi, voi olla tarpeen estää oikeudenmenetykset varmistamalla yrityksen kyky käydä oikeusprosessi täysimittaisesti. Oikeudenkäynnissä tarvittavan aineiston voi asettaa ns litigation holdiin eli oikeusprosessia varten luotavaan pitoon. Litigation hold säilyttää datan, vaikka käyttäjä sovelluksen käyttöliittymissä poistaa tai muokkaa dataa. Datan muuttumaton kopio säilyy litigation holdissa asetetun aikajakson ajan pilvipalvelussa.

Litigation holdia varten voidaan Microsoftin pilvipalveluihin tuoda tarvittaessa sisältöjä myös kolmannen osapuolen sovelluksista kuten esimerkiksi yrityksen sosiaalisen median kanavista.

Automatisoi, varmista ja suojaa

Vaikka organisaation data on hyvässä turvassa Microsoftin pilvipalveluissa ja vaikka organisaation käyttöoikeudet ja tietoturvakäytännöt olisivat hyvällä tasolla, on liiketoiminnan näkökulmasta tilanteita, joissa dataan on hyvä kohdistaa sekä säilytyksen että poistamisen varmistavia automaattisia käytäntöjä.

Inhimilliset virheet, pitkän säilytysajan asettamat vaatimukset ja erikoistilanteet saavat tukea teknisistä kontrolleista ja voit näiden avulla tehdä liiketoiminnastasi entistä huolettomampaa.

Mikäli aihe herätti sinussa mielenkiintoa tai haluaisit keskustella oman organisaatiosi vastuullisuudesta tai säännönmukaisuudesta, ole meihin yhteydessä!

Tämä kirjoitus on toinen tiedonhallintaa ja vaatimustenmukaisuutta käsittelevässä sarjassamme. Sarjan ensimmäinen blogi käsittelee tiedon suojaamista tiedon luokittelun avulla.

Kuinka pääsen alkuun tiedon suojauksessa?

Organisaatiot kokevat tietojen luokittelun ja suojaamisen haasteelliseksi ja monimutkaiseksi. Monimutkaista sen ei kuitenkaan tarvitse olla. Oikeilla työvälineillä ja oikeanlaisella suunnittelulla tietojen luokittelusta saadaan sujuvaa, tietoturvan tasoa nostettua ja tietojen suojaaminen on helpompaa.

Lataa oppaamme ja lue vinkit, kuinka organisaatiosi voi helpottaa ja tehostaa tietojen käyttöä ja suojaamista tietojen luokittelulla.

---

Tarvitsetko tukea?

Autamme organisaatiotasi varmistamaan, että ympäristöjen määritykset ja tietojen suojaaminen noudattavat niille asetettuja vaatimuksia, ja että osaatte hyödyntää ympäristöjen tarjoamia työvälineitä ja toiminnallisuuksia oikealla tavalla.

---

Vie osaamisesi uudelle tasolle!

Hanki perustiedot Microsoftin Compliance -tarjoomaan kuuluvista työkaluista osallistumalla kurssillemme: Microsoftin Compliance – katsaus organisaation tietosuojaan.

• Henkilöstö ja tietoturva
• Tietosuoja ja vaatimustenmukaisuus
• Tietoturva