Tulostusversio

3/2014

Pilveen vai ei? Selvitä ennen kuin siirrät

Teksti: Antti J. Lagus

Ennen kuin ryhtyy taikomaan tietoja pilveen, on kotityöt tehtävä huolella. Rekisterinpitäjän vastuuta ei voi loihtia pois.

Kun organisaatio siirtää tietojenkäsittelyä verkon yli toimiviin ns. pilvipalveluihin, sen ei tarvitse itse ylläpitää palvelimia, ja päästään myös varmuuskopioinnin vaivasta. Ennen pilvipalvelun hankkimista kannattaa kuitenkin selvittää huolellisesti vastuukysymykset.

1. Kaikki tieto ei sovi pilveen

Asianajaja Hannu Järvinen asianajotoimisto Boreniukselta neuvoo, että ennen kuin ryhtyy miettimään pilvipalveluiden hankkimista, pitää varmistaa, että kerätyt tiedot ovat ylipäätään siirrettävissä. Tässä pätevät henkilötietojen käsittelyä koskevat lait.

Asiakkaiden on syytä tehdä tiedoistansa sisäinen riskianalyysi.

”Jos on vaikkapa lehtimyyjä ja kyseessä on yksinkertainen asiakasrekisteri, ei siinä ole suurempia ongelmia, mutta esimerkiksi korkean teknologian yritystä kehottaisin miettimään pitkään, haluaako se siirtää liikesalaisuuksiaan ja muita tärkeitä tietojaan pilveen”, Järvinen varoittaa.

”Asiakkailla ei välttämättä ole läpinäkyvyyttä toimittajiin, eikä tiedetä, missä tietoja säilytetään tai kuinka kauan niitä säilytetään. Muun muassa nämä asiat pitää selvittää toimittaja-arvioinnissa.”

Pilvipalveluita tarjoavan Sulava Oy:n seniorikonsultti Kimmo Bergius neuvoo organisaatioita luokittelemaan tiedot. Luokittelu kertoo, miten kriittistä tieto on liiketoiminnan kannalta.

”Kolme- tai neliportainen asteikko riittää hyvin”, Bergius sanoo.

Siinäkin on tekemistä, että se saadaan otetuksi käyttöön organisaatiossa. Luokittelusta, kuten tietoturvapolitiikastakin, on hyötyä vasta siten, kun se on oikeasti jalkautettu organisaatioon.

Pilvipalveluita tarjoavan Cloud Solutions Oy:n toimitusjohtaja Mika Ulmanen jakaa erilaiset pilvipalvelut kolmeen ryhmään; yksityiseen ja julkiseen pilveen sekä hybridiin. Hybridimallissa osa pilvipalveluista pidetään omilla palvelimilla ja osa ostetaan julkisesta pilvestä. Kansallisen tietoturvakriteeristön Katakrin mukaan suojaustasoon II ja III luokitellut tiedot voidaan hoitaa itse ja suojaustason IV tiedot käsitellä julkisessa pilvessä.

2. Rekisterinpitäjä vastaa aina

Tietosuojavaltuutetun toimistosta muistutetaan, että henkilötietojen suojaamisen näkökulmasta pilvipalvelut eivät eroa millään lailla ulkoistamisesta. Rekisterinpitäjä vastaa aina viime kädessä pilvipalvelun tiedoista.

Perusasiana on varmistua siitä, että tietojen suojaus on kunnossa. Pilvipalveluissa ongelmallista on, että rekisterinpitäjän on vaikeaa, jopa mahdotonta saada selville, missä maassa – ja minkä lainsäädännön nojalla – tietoja käsitellään. Viime kädessä onkin kysymys siitä, kuinka luotettavana palveluntarjoajaa pidetään. Tämä voidaan varmistaa auditoinneilla, joista vastuu on taas rekisterinpitäjällä. Rekisterinpitäjä voi tosin keventää omaa taakkaansa jossain määrin sopimuksilla alihankkijan kanssa, mutta lopullista vastuutaan hän ei voi kiertää.

Henkilötietoja saa siirtää ja käsitellä Euroopan unionin tai Euroopan talousalueen ulkopuolella ainoastaan, jos käsittelymaassa taataan tietosuojan riittävä taso. Tietyillä menettelyillä voidaan varmistaa, että tietojen siirto ja säilytys tehdään oikein. EU:n komissio on esimerkiksi hyväksynyt henkilötietojen siirtoa koskevat mallisopimuslausekkeet. Niin ikään Safe Harbor -järjestelmä sallii tietojen siirtämisen Yhdysvaltoihin, jos tietojen yhdysvaltalainen käsittelijä noudattaa järjestelmän periaatteita.

Asianajaja Hannu Järvinen ei näe, että EU:n uusi tietosuoja-asetus muuttaisi paljonkaan nykyistä asetelmaa. Asetusluonnoksessa on kuitenkin uutuutena määritelty tietojenkäsittelijän ja rekisterinpitäjän yhteisvastuun käsite. Järvinen kehottaa neuvottelemaan yhteisvastuusta huolellisesti, jotta vältytään myöhemmiltä riidoilta.

3. Ketjutus voi viedä tiedot kauas

Pilvipalvelusta neuvoteltaessa palveluntarjoajan edun mukaista ei välttämättä ole tuoda esille kaikkia henkilötietolainsäädännön kipupisteitä. Myös Euroopan tietosuojaviranomaiset ovat kiinnittäneet huomiota siihen, että pilvipalveluihin liittyy kontrollin ja läpinäkyvyyden puute. Asiakkailla ei siten ole näkyvyyttä siihen, miten asiat käytännössä hoidetaan.

Yksi käytännön toteutuksen kompastuskivistä on alihankkijoiden käyttö palvelujen toteutuksessa. Vaikka palvelimet sijaitsisivatkin Euroopassa, niissä olevia tietoja voidaan käyttää esimerkiksi Intiasta käsin. Tämäkin on syytä ottaa esille sopimusneuvotteluissa.

Urkintaskandaalien jälkeen julkisuudessa ovat olleet esillä riskit, joita tietojen säilyttäminen yhdysvaltalaisten palveluntarjoajien palvelimilla voi sisältää.

”Eräs amerikkalainen tuomioistuin teki huhtikuussa päätöksen siitä, että Yhdysvaltojen viranomaisilla on oikeus päästä katsomaan loppuasiakkaan Irlannissa Microsoftin palvelimella sijaitsevia tietoja”, asianajaja Hannu Järvinen sanoo.

”Tämä sotkee EU-pilven ajatuksen, eikä loppukäyttäjä välttämättä saa tietoa siitä, että viranomaiset ovat käyneet katsomassa tietoja.”

Mika Ulmasen mukaan pilvipalvelun tarjoajan kenttämyyntiorganisaatio ei ole välttämättä perillä siitä, minkälaisia sopimuksia palveluntarjoaja tai laitevalmistaja on joutunut tekemään kotimaansa, etenkin Yhdysvaltojen, viranomaisten kanssa. Näin varastoidut tiedot voivat vuotaa ilman, että rekisterinpitäjä saa siitä tietää.

Jos tietoa halutaan suojella, on aina mahdollista käyttää salausta. Joissakin pilvipalveluissa on jopa mahdollista käyttää sellaista salausta, jossa vain asiakkaalla on pääsy tietoon.

4. Määrittele palvelutasot ja vastuukysymykset

Myös se pitää selvittää, miten tietojen suojaus on toteutettu, ja mitä dokumentaatiota tästä saadaan todisteeksi. Yleisiä kysymyksiä ovat esimerkiksi se, perustuuko palveluntarjoajan toimintamääritys johonkin standardiin sekä missä palveluntarjoaja julkaisee ja ylläpitää tietosuojaan ja tietoturvaan liittyviä määrityksiä.

Auditoinneilla voidaan periaatteessa varmistaa, että palveluntarjoaja toimii niin kuin sanoo toimivansa. Suuret toimittajat eivät kuitenkaan yleensä hyväksy auditointikäyntejä. Sen sijaan ne käyttävät ulkopuolisia auditoijia, joiden raportteja asiakkaat saavat. Tämä on nyt kansainvälisesti kuuma peruna: Voidaanko luottaa siihen, että toimittaja luovuttaa selvitykset, ja riittääkö se kaikissa maissa?

Myös palvelutasot ja vastuukysymykset pitää määritellä: Mitä esimerkiksi tehdään, kun pilvipalveluissa tulee katkos ja koko bisnes seisoo? Järvisen mukaan näihin saattaa liittyä vakiokorvaus ja velvollisuus palauttaa tiedot mahdollisimman nopeasti.

On myös syytä selvittää, mitä tiedoille tapahtuu sopimussuhteen päättymisen jälkeen. Sopimus voi päättyä monista syistä, joita ovat esimerkiksi jommankumman osapuolen konkurssi, liiketoiminnan luovutus tai sopimusajan päättyminen.

IT-alan sopimusten tekemistä helpottamaan laaditut IT2010-ehdot sisältävät liitteen tietoverkon välityksellä tarjottavista palveluista. Tätä voidaan käyttää pilvipalvelusopimusten laadinnassa, mutta käytännössä suuret tarjoajat, kuten Salesforce, Google, Amazon tai Microsoft, käyttävät omia vakiosopimuksiaan.

Organisaatioiden solmiessa pilvipalvelusopimuksia on melko itsestään selvää, että tietojen käyttöoikeus on vain asiakasosapuolella, mutta kuluttajapalveluissa on syytä olla tarkkana. Niissä palveluntarjoaja voi sopimustekstissä pidättää itsellään oikeuden tietojen käyttöön.Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.