Tulostusversio

4/2013

Asiantuntijalta: Hyvä hallinto koskee myös pilvipalveluita

Teksti: Tomi Voutilainen

Julkisen sektorin tiedot ovat pilvessä, mutta onko tietosuoja huomioitu sopimuksissa?

Pilvipalvelut luovat uusia vaatimuksia tietosuojan toteuttamiselle. Nämä tietoverkon yli käytettävät ohjelmistopalvelut eivät ole enää rekisterinpitäjän tietokoneissa ja muissa päätelaitteissa, vaan niitä käytetään päätelaiteriippumattomasti.

Ohjelmiston hankkija hallinnoi ohjelmiston käyttöä vain käyttöoikeuksien hallinnan avulla. Pilvipalveluiden hallittavuus on otettava huomioon, kun palveluissa käsitellään henkilötietoja.

Tietojenkäsittelyssä on turvattava perusoikeudet

Julkisen hallinnon toiminta on hyvin tietointensiivistä. Jos tieto ei ole käytettävissä silloin, kun sitä tarvitaan esimerkiksi potilaalle hoitoa annettaessa, on se paitsi uhka potilasturvallisuudelle, myös hoitoa antavien terveydenhuollon ammattihenkilöiden oikeusturvalle.

Tästä syystä monissa organisaatioiden tietojenkäsittelypalveluissa tiedon käytettävyys ja sen turvaaminen on keskeinen suojaamisen kohde. Kun tietojenkäsittely ulkoistetaan, rekisterinpitäjän täytyy huomioida tiedon suojaamisen ja käytettävyyden vaatimukset palveluja hankkiessaan.

Eduskunnan oikeusasiamiehen laillisuusvalvonnassa on toistuvasti katsottu, ettei viranomainen voi perustella poikkeamista hyvästä hallinnosta ja oikeusturvasta tietojärjestelmiin liittyvillä syillä. Viranomaisten tulisikin kiinnittää huomiota myös siihen, että tietojärjestelmät mahdollistavat hyvän hallinnon ja oikeusturvan sekä muiden perusoikeuksien turvaavat toimintatavat. Julkisen hallinnon rekisterinpitäjien on huolehdittava, että tietojenkäsittelyssä turvataan yksilöiden oikeudet tietosuojaan, hallinnon toiminnan tehokkuuteen ja muihin oikeusturvan takeisiin sekä tietoturvallisuuteen osana julkisuusperiaatteen toteuttamista.

Pilvipalvelun vaikutukset on selvitettävä etukäteen

Julkisessa hallinnossa tietoturvallisuuden keskeisimmistä vaatimuksista on säädetty julkisuuslain 18 §:ssä. Siinä edellytetään, että tietojärjestelmän hankintaa suunniteltaessa viranomainen ryhtyy tarpeellisiin toimiin tietoon liittyvien oikeuksien ja tiedon laadun turvaamiseksi sekä asiakirjojen, tietojärjestelmien ja niissä olevien tietojen suojan järjestämiseksi. Järjestelmän käyttöönottoa valmisteltaessa viranomaisen tulee selvittää vaikutukset asiakirjojen julkisuuteen, salassapitoon ja suojaan sekä tietojen laatuun.

Julkisuuslain säännös tarkoittaa, että jo hankintaa valmisteltaessa viranomaisen on selvitettävä, mikä vaikutus pilvipalvelun käyttöönotolla on tietoon liittyviin oikeuksiin, kuten asiakirjojen julkisuuteen, salassapitoon, tietosuojaan ja tiedonsaantioikeuksiin sekä miten nämä otetaan huomioon hankintasopimuksissa. Keskeisiä kysymyksiä ovat erityisesti se, muuttuvatko tiedonhallinnan vastuut, miten palveluntarjoaja sitoutetaan noudattamaan asetettuja tietoturvavaatimuksia ja miten näiden vaatimusten mukainen toiminta todennetaan. Myös tietojen saatavuus sekä rekisterinpitäjän oikeus tiedon siirrettävyyteen palvelusopimuksen päättyessä pitää pystyä turvaamaan sopimuksissa.

Viime kädessä vastuu on rekisterinpitäjällä

Kaikkia rekisterinpitäjiä koskevat henkilötietolain 32 §:n vaatimukset henkilötietojen suojaamisesta. Rekisterinpitäjä vastaa aina viime kädessä henkilötietojen käsittelystä eikä voi ulkoistaa tätä viimekätistä vastuutaan.

Henkilötietolain säännöksen mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja laittomalta käsittelyltä. Pilvipalveluissa keskeisiä suojaustoimia ovat tiedonsiirron salaaminen, käyttäjä- ja käyttöoikeushallinnan järjestäminen ja ajan tasalla pitäminen sekä lokitietojen kerääminen ja hallinta.

Lainkohdassa säädetään myös tietojenkäsittelyn ulkoistamisesta. Rekisterinpitäjän on huolehdittava siitä, että ulkoistamissopimuksissa otetaan huomioon tietosuojavaatimukset. Tietosuojavaatimukset on syytä laatia jo ennen hankintamenettelyn käynnistämistä, jotta rekisterinpitäjä ei hanki sellaista pilvipalvelua, joka ei täytä lainsäädännöstä johdettavia vaatimuksia.

Rekisterinpitäjän lukuun toimivan yrityksen on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset henkilötietojen suojaamisesta tietoturvajärjestelyillä. Rekisterinpitäjän pitää varmistaa auditoinneilla ja tarkastuksilla, että palveluntarjoaja noudattaa sovittuja menettelytapoja.

----

[KIRJOITTAJA]

Tomi Voutilainen on dosentti ja informaatio- ja tietoteknologiaoikeuden professori Itä-Suomen yliopistossa.

 

Lue myös

Pilvipalvelun ostajan muistilista »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.