IT-ulkoistaminen voi tarkoittaa webbihotellin tai sähköpostilaatikoiden hankkimista, virtuaalipalvelimen ostoa, kokonaisvaltaista ulkoistettua IT-ympäristön ylläpitoa ja kaikkea näiden esimerkkien väliltä ja ympäriltä.
Vaikka jokainen IT-ulkoistus on omannäköisensä, isompi tai pienempi projekti, löytyy ulkoistusprojekteille yhteisiä nimittäjiä. Me Magic Cloudilla tarjoamme erilaisia pilvipalveluita, joten asiakkaamme ovat ulkoistaneet meille erikokoisia osia IT:stään. Vastaan IT-palveluiden ulkoistamista koskeviin, uusien asiakkaidemme tarkentaviin kysymyksiin viikoittain.
Tässä blogitekstissäni koottuna kolme IT-ulkoistuksessa huomioitavaa kokonaisuutta ja liuta kysymyksiä, joita IT-palvelun tarjoajalta kannattaa kysyä.
IT-palveluntarjoajan luotettavuudesta varmistuminen
Palveluntarjoajaa etsittäessä luotettavuuden kriteerit lienevät monilta osin intuitiiviset. IT-ulkoistuksen yhteydessä osa yrityksen toimintaedellytyksistä siirtyy palveluntarjoajan käsiin, joten etsimme yleisesti ottaen aina kumppania, johon luotamme.
IT-toimittajan luotettavuutta voi tarkastella esimerkiksi seuraavien kokonaisuuksien ja kysymysten kautta:
- Turvallisuusselvitykset: onko puolueeton taho tehnyt yrityksestä turvallisuusselvityksiä ja/tai tarjoaako yritys selonteon turvallisuustoimenpiteistään?
- Sertifioituminen: onko yritys sertifioitunut jollekin erityisosa-alueelle? Miten yritys osoittaa sertifioitumisensa?
- Toiminnasta kertovat sertifikaatit: millaisia laatu- ja taloussertifikaatteja yrityksellä on? Mitä ne kertovat yrityksen tietoturvasta, toiminnan laadusta ja taloudellisesta vakaudesta?
- Taloudellinen toimintakyky: mitä yrityksen taloudelliset mittarit kertovat yrityksen luotettavuudesta?
- Osaamisen osoittaminen: miten yritys osoittaa osaamisensa? Mitä yrityksen referenssit kertovat? Onko toiminnasta ja palvelusta saatavilla demoa tai pääsyä kokeiluympäristöön?
- Sopimusehdot ja salassapitosopimukset: mitä sopimusehdoissa määritellään ja esimerkiksi rajataan pois. Tekeekö toimittaja asiakkaidensa kanssa tarvittaessa erillisiä salassapitosopimuksia ja esimerkiksi tietoturvaratkaisuja määritteleviä sopimusliitteitä?
Palvelutasosopimus
SLA, Service Level Agreement tarkoittaa palvelutasosopimusta, joka tosin voidaan määrittää monella tavalla. Usein SLA:n mittarina käytetään prosentteja: palvelu on esimerkiksi käytettävissä vuodessa 98%:sti, jolloin palvelu voi olla poissa käytöstä 3,36 tuntia viikossa, 14,4 tuntia kuukaudessa ja 7,30 päivää vuodessa. Toisena yleisenä SLA:n mittarina pidetään ongelman ilmenemisestä alkavaa vasteaikaa: esimerkiksi vian korjaustoimenpiteet aloitetaan viimeistään neljän tunnin vasteajan jälkeen tai ongelmasta palaudutaan viimeistään neljän tunnin kuluttua sen alkamisesta.
SLA on yleensä palveluntarjoajan määrittämä palvelutason minimitaso. SLA:n ulkopuolelle usein rajataan huoltokatkot ja toimittajasta riippumattomat syyt. Mikäli SLA:n rajauksia ja sen rikkomisesta seuraavia sanktioita ei ole avattu sopimuksessa, kannattaa SLA:n määrittelyistä keskustella palveluntarjoajan kanssa.
Datan sijainti ja omistajuus
IT-ulkoistuksessa lähes poikkeuksetta siirtyy tietoa ja tiedonvälitystä ulkoistuspalvelun tarjoajalle ja tarjoajan vastuulle. Ulkoistusta tehtäessä datan sijainti saattaa olla jo palveluntarjoajia erotteleva tekijä, mutta viimeistään kartoitusvaiheessa on hyvä selvittää, missä ulkoistuspalvelun data sijaitsee ja liittyykö ulkoistettavan datan maantieteelliseen sijaintiin esimerkiksi lainsäädännön asettamia vaatimuksia.
Ulkoistettaessa datan omistajuus voi myös vaihtua. Lähtökohtaisesti ulkoistajan tulisi omistaa ulkoistamansa tieto, mutta käytännöt IT-palveluntarjoajien laaja-alaisella kentällä ovat vaihtelevat. Datan omistajuutta selvitettäessä on hyvä huomioida dataan ja esimerkiksi tietojen käsittelyyn liittyvä yksityisyysnäkökulma sekä tiedonsiirron helppous ja mahdollisuudet palvelun käytön päättyessä.
Näiden kolmen asian lisäksi on tietenkin arvioitava myös tarjottavan palvelun soveltuvuutta juuri sinun yrityksesi tarpeeseen. Eikä tietosuoja-asetus GDRP:n soveltamisen voimaanastumisen kynnyksellä sovi unohtaa myöskään tietojenkäsittelyyn liittyviä periaatteita.
Toivottavasti näistä kokonaisuuksista on apua seuraavaan IT-ulkoistukseesi tai nykyiseen palvelusopimukseesi, mikäli jokin mainitsemistani asioista jäi mietityttämään nykyisen palveluntarjoajasi osalta. Mikäli haluat esittää nämä kysymykset minulle, vastaan mielelläni.