Tulostusversio

3/2010

Pilvipalvelut: Sopimalla saat turvallisemman

Teksti: Kirsi Castrén

Pilvipalvelut ovat ulkoistamista, jossa lupaus käytön helppoudesta on viety äärimmilleen. Pilvi pitää sisällään kuitenkin joukon uudenlaisia riskejä, joihin on syytä varautua jo sopimusvaiheessa.

Pilvipalvelut sisältävät miltei aina henkilötietoja. Kun yritys tallentaa asiakasrekistereitään pilveen tai julkinen terveydenhuollon laitos ulkoistaa tietojenkäsittelynsä, on viimeistään syytä vilkaista lakikirjaan.

Henkilötietolain vaatimukset henkilötietojen käsittelystä ulottuvat myös ulkoistettuihin palveluihin. Velvoitteita seuraa myös yleisestä sopimusoikeudesta ja sähköisen viestinnän tietosuojalaista.

"Pilvipalvelun tilaajan tulee muistaa, että hän on vastuussa henkilörekistereistä, joita pilveen siirretyt tiedot muodostavat", muistuttaa Pia Ek asianajotoimisto Hannes Snellmanista.

Nykylainsäädäntö jättää monet pilvipalveluiden tietosuoja- ja tietoturvakysymyksistä ratkaisematta. Yksi keskeisimmistä liittyy lainvalintaan, sillä perusajatuksensa mukaisesti pilvipalvelimen sijainti voi vaihdella ja usein vaihteleekin jopa maasta toiseen. Palvelinten sijaintipaikat valitaan muun muassa kustannustehokkuuden perusteella.

Talletettuihin tietoihin pätee sijaintimaan laki

Siirrettäessä henkilötietoja Suomesta ulkomaille on lähtökohtana, että kohdemaassa tulee olla sama tietosuojan taso kuin lähtömaassa, kertoo IT-erityisasiantuntija Lauri Karppinen Tietosuojavaltuutetun toimistosta.

Esimerkiksi Googlella on tiettävästi tietojenkäsittelykeskuksia Yhdysvalloissa, Euroopassa, Venäjällä ja Aasiassa.

"Mikäli Google Inc. voi varmistaa, että tiedot sijaitsevat yhdysvaltalaisilla palvelimilla, ei suomalaisten henkilötietojen siirrossa sinne ole ongelmaa, sillä yhtiö on sitoutunut noudattamaan niin kutsuttua safe harbor -menettelyä, jossa tietosuoja vastaa EU:n vaatimuksia."

Ellei palveluntarjoaja voi varmistaa tietojen säilytyspaikkaa, ollaan tietosuojan kannalta vaarallisessa tilanteessa:

"Koska Google ei käytännössä välttämättä pysty kertomaan, missä tietoja käsitellään, ne voivat sijaita vaikkapa Hong Kongissa sijaitsevalla palvelimella. Ja kun datakeskus on Hong Kongissa, sen on noudatettava Kiinan lainsäädäntöä, jossa ei ole vastaavia tietosuojavelvoitteita kuin meillä", Karppinen havainnollistaa.

Safe harbor -menettely on käytössä siirrettäessä tietoja Yhdysvaltoihin. Muihin EU:n ulkopuolisiin maihin voi henkilötietoja siirtää EU:n valmiiden mallisopimuslausekkeiden avulla.

"Sopimuksilla voidaan paikata lainsäädäntöä tietyssä määrin, kunhan sopimus on tarpeeksi tiukka", Karppinen toteaa.

Mallisopimuslausekkeet uudistuivat maaliskuussa.

"Yrityksiltä on tullut tietosuojavaltuutetun toimistolle pääasiassa palautetta, jonka mukaan mallisopimuslausekkeet on koettu toimiviksi, niiden kanssa on pystytty elämään. Sitähän yritykset usein pelkäävät, että lainsäädännön vaatimukset ovat liian rajoittavia", Karppinen toteaa.

Tarkkuutta sopimuksiin

Pilvipalveluista ja niiden tietosuojasta ja -turvasta sovittaessa vaikeudet ovat pitkälti samat kuin muussakin ulkoistamisessa, Pia Ek näkee.

"Sopimuksissa olisi tärkeää identifioida kaikki palveluketjun toimijat ja muistaa, että tietosuojavelvoitteet koskevat sekä ensisijaista palveluntarjoajaa että alihankkijoita", Ek opastaa.

Henkilötietolaki vaatii muun muassa säilyttämään tietoja niin, etteivät ulkopuoliset pääse niihin käsiksi ja hävittämään ne käytön jälkeen. Ehdot on Ekin mukaan silti hyvä kirjata osaksi pilvipalvelusopimusta.

"Monesti sopimuksista saattaa puuttua olennaisia yksityiskohtia, kuten esimerkiksi sen määrittely, mitä tiedoille tapahtuu palvelusopimuksen päätyttyä.”

Entä onko tietoja, joita ei kannattaisi lainkaan siirtää pilveen?

"Nähdäkseni kaikki yrityksen yrityssalaisuuksiksi luonnehdittavat tiedot ovat sellaisia", Ek vastaa.

"Tietojen siirto pois omalta palvelimelta on aina tietoturvariski. On syytä miettiä myös, käyttääkö avointa vai suljettua pilveä vai niiden välimuotoa."

Tiina Ashorn asianajotoimisto Procopé & Hornborgista neuvoo ottamaan tarkkaan selvää sopimuskumppanin taustasta ja luotettavuudesta. Monilla auditoiduilla yrityksillä on myös esittää sertifikaatteja. 

Tietoturva-ajattelua ei voi kuitenkaan ostaa oman talon ulkopuolelta:

"Ulkoistettaessa on oltava määriteltynä organisaation oma tietoturvapolitiikka, jota noudatetaan ja jota myös muiden odotetaan noudattavan", Ashorn korostaa.

Lakituntemus tarpeen ulkoistuksissa

Suuret organisaatiot turvautuvat tavallisesti joko omaan tai ulkopuoliseen juristiiin ulkoistamista valmistellessaan.

"Pienillä yrityksillä ei useinkaan ole omaa IT- eikä juristiosaamista, ja silloin jää ainoaksi vaihtoehdoksi luottaa palveluntarjoajaan, joka toisaalta ei voi tuntea tilaajan toimintaympäristöä. Tällöin voi moni tärkeä asia jäädä selvittämättä", Ashorn toteaa.

Ashorn mainitsee esimerkkinä tapaukset, joissa pienet lääkäriasemat ovat kyselleet Googlelta mahdollisuutta siirtää potilastietojaan pilveen. Ylikansallinen palveluntarjoaja ei kuitenkaan välttämättä voi taata, että arkaluontoiset terveystiedot pysyvät EU:n rajojen sisäpuolella, kuten laki vaatii. 

Kunnon sopimuskin maksaa

Kuten muussakin ulkoistamisessa, pilvipalveluihin siirtymisen taustalla ovat useimmiten kustannussyyt.

"Pilvipalvelujen perusajatuksenahan on yleensä se, että päästään halvemmalla. Toinen puoli asiassa on, että halvalla hinnalla ei toimittaja välttämättä ole valmis neuvottelemaan ehdoista eikä ottamaan kovinkaan laajoja vastuita", Ek muistuttaa.

Tästä huolimatta moni organisaatio tyytyy standardisopimukseen siirtäessään toimintojaan pilveen.

Heikoimmassa asemassa pilvipalvelumarkkinoilla ovat yksityiset massapalvelujen käyttäjät, joilla ei käytännössä ole mitään mahdollisuutta vaikuttaa sopimuksen sisältöön.

"Isoimmilla toimijoilla huomaa joskus tiettyä piittaamattomuutta asiakkaasta ja oman edun tavoittelua. Pilvisovelluksista esimerkiksi Facebook on laajentuessaan asteittain heikentänyt asiakkaidensa tietosuojaa", huomauttaa toimitusjohtaja Tommi Ullgrén Codento Oy:stä. Codento suunnittelee ja toteuttaa asiakaskohtaisia pilvisovelluksia. 

"Palveluntoimittajan arvioinnissa tarvitaan asiantuntemusta", Ullgrén korostaa.

Etsittäessä säästöä pilvestä hän neuvoo huomioimaan siirrettävien tietojen elinkaaren ja arvioimaan palveluun siirtymisen kokonaiskustannuksia. 

"Organisaation pitää oppia uusia asioita ja tottua uudenlaiseen ulkoistamismalliin, johon liittyy usein uusia sopimus- ja laskutusmalleja. Käyttöönotoissa myös käyttäjäkoulutukset ovat usein tarpeellisia."

Lue myös

Pilvipalvelut: Kauas tiedot karkaavat? »
Pilvipalvelut: Suojakerrokset ohenevat »
Pilvipalvelut: Potilastiedot turvassa pilvessä? »
Pilvipalvelut: Supermatrix on paikallista palvelua »
Pilvipalvelut: Kuka tarvitsee pilvilaskentaa? »
Pilvipalvelut: Hanke vie palvelut pilveen »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.