23.02.2023
Tietosuojaraportti: Pilvipalveluiden maailmassa eletään jännittäviä aikoja
Pilvipalveluiden maailmassa eletään tietosuojan kannalta jännittäviä aikoja. Euroopan tietosuojaneuvosto EDPB julkaisi tammikuussa 2023 raportin pilvipalveluiden käytöstä jäsenmaiden julkishallinnon organisaatioissa.
Raportin mukana julkaistiin myös kansalliset raportit osallistuneiden jäsenmaiden selvityksistä. Raportissa EDPB toi esiin samanlaisia haasteita ja suosituksia kuin aiemmissakin ohjeissaan. Sen mukaan julkishallinnon organisaatioiden tulee pilvipalveluiden käyttöönotossa huolehtia mm. riittävien vaikutustenarviointien toteuttamisesta, roolien määrittelystä, alikäsittelijöiden vastustusmahdollisuudesta, tietojen käyttötarkoitussidonnaisuuden varmistamisesta sekä kansainvälisten tiedonsiirtojen lainmukaisuudesta.
Raportissa huomioidaan sopimusneuvottelujen haasteellisuus globaalien pilvitoimijoiden kanssa, ja korostetaan julkishallinnon organisaatioiden yhteistyön merkitystä. Kansainvälisten tiedonsiirtojen suhteen raportissa todetaan, että jos riittävien suojatoimien toteuttaminen ei ole mahdollista, tulisi pilvipalveluntarjoajan kanssa neuvotella uudet ehdot tai etsiä tilalle EU-vaihtoehto.
Pilvipalveluiden kansainvälisiin tiedonsiirtoihin liittyviin tietosuojahaasteisiin on kuitenkin mahdollisesti tulossa EU-tasolta ainakin hetkellistä helpotusta. EU:n ja Yhdysvaltojen välinen tiedonsiirron riittävyyspäätös, Data Privacy Framework, on tällä hetkellä EDPB:n lausuttavana, ja lausuntoa odotetaan lähiaikoina.
Tämän jälkeen päätöksen on läpäistävä vielä komiteakäsittely, ja edellytyksenä on myös tiettyjen muutosten toteuttaminen Yhdysvaltojen viranomaiskäytäntöihin. Tämän jälkeen riittävyyspäätös voidaan hyväksyä, ja tiedonsiirrot Yhdysvaltoihin ovat mahdollisia ilman muita lisätoimenpiteitä. Jäämme jännittyneinä odottamaan, hyväksytäänkö päätösluonnos, ja kuinka pitkäaikainen se tulee lopulta olemaan.
Cirrus-hankkeen katsaus Valtorin Pilvikehittämisen päivässä toukokuussa
Valtiovarainministeriön omistama ja ohjaama, DigiFinlandin toteuttama Cirrus-hanke, vastaa osittain EDPB:n raportissakin esiin nostettuihin haasteisiin. Cirrus, eli ”Pilvipalveluiden tietosuojan kehittämishanke”, käynnistyi kesällä 2022 ja on edennyt vaiheeseen 2.
Kevään 2023 aikana etenevä vaihe 2 sisältää ensimmäisessä vaiheessa selvitettyjen ja määritettyjen erityisen haasteellisten kohteiden sopimusehtoja koskevat neuvottelut nk. hyperscalereiden kanssa. Neuvotteluissa ovat mukana Microsoft, AWS (Amazon Web Services), Google sekä Oracle.
Hankkeen tavoitteena on nopeuttaa julkishallinnon pilvisiirtymää vähentämällä ja poistamalla julkipilvipalveluiden tietosuojaan liittyviä riskejä ja luomalla julkishallinnon vaatimuksiin yhteensovitetut kustannustehokkaat tietosuojan toimintamallit sekä sopimusehtojen tavoitetaso.
Tavoitteena on rekisteröityjen oikeuksien sekä rekisterinpitäjien osoitusvelvollisuuden toteutuminen julkisissa pilvipalveluissa.
Valtori on aktiivisesti mukana hankkeessa edustaen valtionhallinnon asiakkaita ja Valtorin palveluita sopimuksineen. Cirrus-hanke pitää katsauksen 12.5. Valtorin Pilvikehittämisen päivässä, jolloin saamme tilannetietoa kevään tapahtumista, neuvotteluiden etenemisestä sekä aikatauluista jatkolle.
Odotamme Tietosuojavaltuutetun kannanottoja kolmeen pilviselvitykseen
Edellä kuvattiin Euroopan tietosuojaneuvoston EDPB:n julkaisemaa raporttia. Odottelemme tähän raporttiin vielä maaliskuun 2023 aikana Tietosuojavaltuutetun toimiston kannanottoja, jotka koskevat samassa yhteydessä tehtyä kolmea valtionhallinnon organisaation pilviselvitystä sekä niihin liittyviä johtopäätöksiä.
Luonnollisesti käymme näitä tuloksia läpi myös strategisessa pilviyhteistyöryhmässämme ja jaamme tietoa, kun olemme johtopäätöksiin tutustuneet.
Ilmianna oman organisaatiosi DPIA-arviointi
Strateginen pilviyhteistyöryhmä on myös ideoinut DPIA-kokemusten, eli tietosuojaa koskevan vaikutustenarvioinnin, tiedonvaihtoa asiakaskunnan kesken, jotta tiedot ja parhaat käytännöt saadaan yhteisesti valtionhallinnossa käyttöön.
Ilmianna siis oman organisaatiosi esimerkkitoteutus, eli jotakin keskeistä, yhteistä palvelua koskeva DPIA-arviointi. Näin saamme arvokasta osaamista, kokemusta ja näkemystä jakoon. Varsinaista dokumenttia ei kaikessa laajuudessaan tarvitse jakaa, vaan tavoitteena on järjestää valtionhallinnon sisäinen webinaari, jossa kiteytyksiä ja tiivistelmiä tehdyistä arvioinneista voidaan läpikäydä yhdessä.
Näistä voit olla yhteydessä Miraan sähköpostilla: ext.mira.holmroos-kolari@valtori.fi.
Kannustamme kaikkia tuomaan oman kortensa tietosuojakekoon!