Tulostusversio

2/2013

Ulkoistus: Ainakin voi auditoida

Teksti: Päivi Männikkö

Tietosuoja kysyi IT-yrityksiltä, miten asiakkaat suhtautuvat henkilötietojen käsittelyyn pilvipalveluissa sekä tietojen käsittelyn tietoturva- ja tietosuojanäkökohtiin.

Halusimme myös tietää, millaiset mahdollisuudet asiakkaalla on varmistua tietojensa turvallisesta ja lainmukaisesta käsittelystä.

Yritysten mukaan asiakkaat hankkivat pilvipalveluja kustannussäästöjen sekä paremman käytettävyyden ja joustavuuden takia. Pilvitoimittajan parempi tietoturvakin voi olla yksi peruste.

Asiakkaat eivät hanki pilvipalvelua nimenomaan henkilötietojen tallennusta varten, eikä henkilötietojen tallentamisesta pilveen saa lisähyötyä. Hankinnassa ratkaisevia tekijöitä ovat sovellustyyppi ja haluttu palvelu.

Fujitsu Finlandin kehitysjohtaja Esa Aho huomauttaa, että pilvipalveluissa on monia mahdollisuuksia:

”Tieto voi olla yhä asiakkaan omassa konesalissa (ns. yksityinen pilvi) tai sitten jossain jopa erikseen määrittelemättömässä paikassa (ns. julkinen pilvi) – ja kaikkea tältä väliltä.”

Jos pilveen viedään henkilötietoja, niiden lainmukaisesta käsittelystä vastaa rekisterinpitäjänä asiakas. IT-talojen mukaan asiakkaat kiinnittävät tietoturvaan ja tietosuojaan paljon huomiota ja osaavat vaatia pilvipalveluilta entistä enemmän.

”Palvelutoimittajalta edellytetään henkilötietojen käsittelyyn liittyvien lakien ja asetusten tuntemista, ja tämä on myös pystyttävä todentamaan”, Atosin tietoturva-asiantuntija Tomi Behm sanoo.

”Asiakkaat osaavat myös vaatia kolmannen osapuolen sertifiointia ja kansainvälisten standardien noudattamista”, huomauttaa Microsoftin tuotemarkkinointipäällikkö Harri Mikkanen.

”Pilvitarjoajan tietoturvasertifioinnit, kuten SOC 2 ja ISO 27001, ovat joissakin tapauksissa vaatimuslistalla. Tietosuojan osalta esille nousee esimerkiksi (kansainvälisissä tiedonsiirroissa käytettävä järjestelmä) Safe Harbor”, sanoo Nordcloudin teknologiajohtaja Ilja Summala.

Erityisen paljon asiakkaat tiedustelevat tietojensa sijaintimaata.

”Lähes aina kysytään, voiko datan sijaintiin vaikuttaa”, vahvistaa Ixonosin markkinointijohtaja Antti Aumo.

”Valtaosa asiakkaista lähtee siitä, että tietoja ei viedä missään vaiheessa EU:n ulkopuolelle”, Summala kertoo.

Microsoft allekirjoittaa EU:n tietojen kansainvälisiä siirtoja koskevat mallisopimuslausekkeet kaikkien pilviasiakkaidensa kanssa. Microsoftin pilvipalvelujen selosteen mukaan asiakkaiden, joiden toimitusosoite on EU:ssa, tietoja säilytetään ensisijaisesti Irlannissa, Alankomaissa ja USA:ssa. Tiedot voidaan kuitenkin siirtää muualle esimerkiksi vianmäärityksen takia.

Asiakas voi kysyä ja vaatia, mutta pilvipalvelun tietoturvallisuudesta hän voi parhaiten varmistua auditoinneilla eli arvioinneilla. Auditointioikeus pitää kuitenkin muistaa kirjata palvelusopimukseen.

 

 

Lue myös

Palkkatoimisto muutti pilveen »
Ulkoistamisen viisi vinkkiä »
Ulkoistus: Tietosuoja kuntoon ennen neuvotteluja »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.