12.03.2024

EU:n datastrategia 2020-luvulla ja sen vaikutukset pilvipalveluihin

Strateginen kumppanimme UpCloud on johtava eurooppalainen pilvipalveluntarjoaja, jonka globaali pilvi-infrastruktuuri ulottuu neljälle mantereelle. UpCloud tarjoaa luotettavan ja eurooppalaiset tietosuojavaatimukset täyttävän modernin tuotevalikoiman, joka on saatavilla 13 datakeskuksesta.

Tämä vieraskynäkirjoitus käsittelee Euroopan Unionin (EU) lainsäädännön mukaisia pilvipalveluita ja avaa, kuinka UpCloud edistää EU-vaatimusten mukaista liiketoiminnan kehittämistä omilla pilviratkaisuillaan.

EU:n datastrategia

Euroopan unionin vuonna 2020 käynnistämän datastrategian tavoitteena on luoda reilut ja kilpailukykyiset sisämarkkinat datalle sekä rakentaa vahva oikeudellinen kehys tietosuojan, perusoikeuksien, turvallisuuden ja kyberturvallisuuden alalla. Datastrategiaan nojaten Euroopan komissio on käynnistänyt useita lainsäädäntöhankkeita datan ja digitaalisten palveluiden sääntelemiseksi. Tulevan lainsäädännön lisäksi jo aiemmin voimaantullut EU:n yleinen tietosuoja-asetus (GDPR) sekä hiljattain päivitetty kyberturvallisuusdirektiivi (NIS2) kuuluvat EU:n datastrategian peruspilareihin.

Uusista lainsäädäntöhankkeista digimarkkinasäädös (Digital Markets Act, DMA), datahallintosäädös (Data Governance Act, DGA) ja datasäädös (Data Act) pyrkivät luomaan tehokkaasti toimivat ja kilpaillut sisämarkkinat datalle ja digitaalisille palveluille mm. avaamalla yritysten datavirtoja loppukäyttäjien ja muiden tahojen hyödynnettäväksi, kieltämällä epäreilujen sopimusehtojen yksipuolisen asettamisen määrätyissä sopimussuhteissa, sekä kieltämällä sopimuksellisten ja teknisten esteiden asettamisen datan siirtämiselle palveluntarjoajalta toiselle.

Digipalvelusäädös (DSA) puolestaan asettaa verkkopalveluiden tarjoajille, mukaan lukien pilvipalvelutarjoajille, velvollisuuden ottaa vastaaan ilmoituksia lainvastaisesta sisällöstä sekä velvollisuuden ryhtyä toimiin lainvastaisen sisällön poistamiseksi palvelustaan tultuaan sellaisesta tietoiseksi.

Tässä kirjoituksessa tarkastelemme yleisellä tasolla EU:n dataa ja digitaalisia palveluita koskevan lainsäädännön vaikutuksia pilvipalveluihin.

Vaikutukset pilvipalveluihin

Pilvipalvelutarjoajien kannalta keskeisimmät EU:n dataregulaatioon perustuvat vaatimukset muodostuvat tietosuoja-asetuksen, kyberturvallisuusdirektiivin sekä datasäädöksen asettamista velvoitteista.

Tietosuoja-asetus

Pilvipalvelutarjoajan, joka käsittelee henkilötietoja osana palveluaan jonkin toisen tahon puolesta, tulee täyttää tietosuoja-asetuksen henkilötietojen käsittelijälle asettamat vaatimukset sekä huolehtia mm. siitä, että palvelun ominaisuudet tukevat rekisteröityjen oikeuksien toteuttamista. Pilvipalvelutarjoajan kannattaa kiinnittää huomiota erityisesti seuraavien vaatimusten täyttymiseen ja niiden arviointiin.

Palveluntarjoajan ja asiakkaan tulee sopia kirjallisesti henkilötietojen käsittelystä tietosuoja-asetuksen mukaisella henkilötietojenkäsittelysopimuksella (data processing agreement, DPA). Tietosuoja-asetus määrittelee melko tarkasti henkilötietojenkäsittelysopimuksen sisällön, ja tavanomaista onkin, että palveluntarjoaja sisällyttää vaaditut sopimuslausekkeet omiin palveluehtoihinsa.

Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolelle vaatii aina tietosuoja-asetuksessa määritellyn siirtoperusteen olemassaoloa. Pilvipalvelutarjoajan on tärkeää ymmärtää omaan palveluun liittyvät datavirrat, datan säilyttämiseen käytettävien palvelinten fyysinen sijainti, sekä data käsittelyyn mahdollisesti osallistuvat alihankkijat ja muut kolmannet tahot. Vain tämän pohjalta on mahdollista uskottavasti vastata mahdollisiin dataan ja sen sijaintiin liittyviin asiakasvaatimuksiin.

Henkilötietojen käsittelijä on velvollinen toteuttamaan henkilötietojen suojaamiseksi tarvittavat tekniset ja organisatoriset suojatoimenpiteet, kuten pääsynhallintajärjestelmän käyttöönotto, palomuuri- ja antivirus-ohjelmistojen ajantasaisuudesta huolehtiminen sekä käsiteltävien tietojen kryptaaminen. Vaikka tietosuoja-asetus ei tarkemmin määrittele, mitä nimenomaisia toimenpiteitä palveluntarjoajien on toteutettava, on selvää, että tietoturvan vaatimustaso on nykymaailmassa asetettava korkealle.

NIS2

Kyberturvallisuudesta huolehtiminen ei jatkossa rajoitu pelkästään henkilötietojen käsittelyyn. Tuoreen kyberturvallisuusdirektiivin (NIS2) kansallinen täytäntöönpano Suomessa etenee aikataulun mukaisesti. Lain kyberturvallisuuden riskienhallinnasta on määrä astua voimaan lokakuussa 2024. Kyberturvallisuuslaki tulee asettamaan korkeatasoiset kyberturvallisuuden riskienhallintavaatimukset sekä raportointivelvoitteet muun muassa digitaalisen infrastruktuurin ja digitaalisten palveluiden tarjoajille, joihin pilvipalvelut luonnollisesti luetaan mukaan. Käytännössä vaatimusten täyttäminen edellyttää yrityksissä tietoturvanhallintajärjestelmän luomista.

Data Act

Vuonna 2025 voimaanastuva EU:n datasäädös tulee vaikuttamaan merkittävästi pilvipalveluntarjoajien ja asiakkaiden väliseen suhteeseen. Datasäädöksen tarkoituksena on estää ja purkaa toimittajaloukkuja, joissa pilvipalvelutarjoaja pyrkii estämään asiakasta vaihtamasta toimittajaa erinäisin sopimuksellisin tai teknisin keinoin. Datasäädös kieltää yksipuolisesti asetetut epäreilut sopimusehdot ja velvoittaa pilvipalvelutarjoajat tukemaan asiakasta palveluntarjoajan vaihtamistilanteissa.

Yhteenveto

Vaikka dataa ja digitaalisia palveluita koskevan EU-regulaation määrä voi hetkittäin tuntua päätähuimaavalta, pitkällä aikavälillä regulaation tuomat muutokset data- ja digimarkkinoihin sekä alan yritysten kyberturvallisuuden parantaminen on kaikkien eurooppalaisten etu. Selvää on ainakin, että EU:n datastrategiaan sisältyvien lainsäädäntöhankkeiden mukanaan tuomien velvoitteiden toteuttaminen vaatii pilvipalveluntarjoajilta merkittäviä panostuksia compliance- ja tietoturvatoimintoihin.

Eurooppalainen pilviratkaisu

UpCloud on suomalainen, moderneja pilvipalveluita tarjoava yritys, joka haastaa ulkomaiset jätit tarjoamalla uskottavan ratkaisun datan sijainti- ja käsittelyvaatimuksiin ja panostamalla eurooppalaiseen yksityisyydensuojaan ja korkeatasoiseen tietoturvaan. Keskeisimpiin tuoteominaisuuksiin kuuluvat kilpailukykyiset hinnat ja ripeä asiakaspalvelu ongelmatilanteissa.

UpCloudin lähestymistapa ja selkeä vastuunjako korostaa asiakkaan omaa omistajuutta ja hallintaa datalle ja mahdollistaa vaatimusten mukaisen liiketoiminnan kehittämisen. Asiakkaat hallitsevat pilvi-infrastruktuurissamme säilyttämiään tietoja, valitsemassaan maassa ja datakeskuksessa. UpCloudin lisäpalvelut helpottavat EU-vaatimusten mukaisen liiketoiminnan kehittämisen joustavasti ja kustannustehokkaasti laadusta tai nopeudesta tinkimättä.

Sertifioitua tietoturvaa

Kun liiketoimintaa rakennetaan pilvipalveluiden varaan on tärkeää hahmottaa koko alihankintaketju ja sen tuomat riskit ja vastuut. Valitsemalla yhteistyökumppaniksi sertifioidun palveluntarjoajan, jota arvioidaan jatkuvasti kolmansien osapuolien toimesta, voit varmistua siitä, että toimitusketjusi on myös jatkuvasti kehittyvien vaatimusten mukainen.

UpCloud sekä käyttämämme datakeskukset ovat ISO 27001 -sertifioituja. Tämä kansainvälinen standardi merkitsee korkeatasoisen tietoturvanhallintajärjestelmän ylläpitämistä ja sitoutumista sen kehittämiseen.

Olemme myös CISPE:n jäseniä ja täytämme CISPE:n eurooppalaisille pilvipalvelutarjoajille asettamat vaatimukset. Cloud Infrastructure Services Providers in Europe (CISPE) on voittoa tavoittelematon järjestö, jonka vaatimukset keskittyvät jatkuvasti kehittyviin EU:n tietosuoja- ja tietoturvaperiaatteisiin.

Jatkuvaa parantamista

UpCloudilla on käytössään haavoittuvuuksien tunnistamiseen palkkio-ohjelma tietoturvatutkijoille, ja tarjoamme kaikille kanavan mahdollisten ongelmien raportointiin. Uskomme avoimeen vuoropuheluun asiakkaidemme kanssa turvallisuuskäytäntöjemme osalta – jos sinulla on kysyttävää, vastaamme mielellämme.

Suoritamme säännöllisesti ulkoisia testauksia, tarkastuksia ja auditointeja pyrkien jatkuvasti parantamaan ja mukauttamaan palveluamme vastaamaan kehittyviä uhkakuvia. Sitoutumisemme sisältää kokonaisvaltaisen lähestymistavan riskienhallintaan. Emmekä keskity vain tuotteisiin; turvallisuuden kehitysohjelmamme kattaa ihmiset, prosessit ja teknologian.

Kirjoittajat
Jukka Seppänen, CISO, UpCloud
Janne Silvonen, General Counsel, DPO, UpCloud

28.02.2024

Miksi palvelumuotoilun tulee olla kiinteä osa verkkopalvelu-uudistusta

Tervetuloa lukemaan vieraskynäkirjoitusta, jossa valotamme palvelumuotoilun merkitystä digitaalisessa palvelukehityksessä ja sen roolia räätälöityjen verkkopalveluiden toteuttamisessa. Kirjoittajana toimii palvelumuotoilija Riku Wirta Don & Brancosta, joka tekee tiivistä yhteistyötä kanssamme vaativissa verkkopalveluhankkeissa.

Palvelumuotoilu räätälöityjen verkkopalveluiden kehittämisessä

Digitaalinen palvelukehitys on nykypäivän liiketoiminnassa keskeinen tekijä haluttujen tulosten saavuttamisessa. Yritysten on kyettävä tarjoamaan käyttäjilleen toimivia ja houkuttelevia palveluita, jotka vastaavat heidän tarpeisiinsa ja odotuksiinsa. Palvelumuotoilu on tässä avainasemassa, sillä palvelumuotoilun keinoja hyödyntämällä saadaan tuotettavan palvelun kannalta tärkeimmät elementit selville liiketoiminnallisten tavoitteiden sekä loppukäyttäjän näkökulmasta.

Joustavuus ja ketterä lähestymistapa ovat keskeisiä elementtejä palvelumuotoilussa. Sen avulla voidaan nopeasti reagoida muuttuviin tarpeisiin ja asiakaspalautteeseen, mikä mahdollistaa iteratiivisen kehityksen ja varmistaa, että kehitettävät palvelut vastaavat todellisia käyttäjätarpeita. Tiivis yhteistyö eri sidosryhmien välillä, kuten asiakkaiden, kehittäjien ja suunnittelijoiden välillä, on välttämätöntä parhaiden tulosten saavuttamiseksi.

Druidin tapa hyödyntää avointa lähdekoodia on yksi tapa, jolla voimme toteuttaa laadukkaita verkkopalveluita tehokkaasti ja taloudellisesti. Don & Branco on tärkeä osa Druidin palvelukokonaisuutta, jossa keskitymme olennaiseen eli palveluiden suunnitteluun ja kehittämiseen, samalla kun varmistamme niiden teknisen toteutettavuuden ja yhteensopivuuden.

Kenelle palvelumuotoilua tulee oikeasti tehdä?

Vaikkakin tilaajan kannalta olennaisten liiketoiminnallisten tavoitteiden selvittäminen ja erilaisten työpajojen pitäminen ovat usein palvelumuotoiluprojektien keskiössä, niin onnistuneen hankkeen kannalta on hyvä muistaa, että palvelumuotoilua tulee tehdä aina ensisijaisesti loppuasiakkaille eikä itse tilaajalle. Loppuasiakkaat ovat loppujen lopuksi ne, jotka käyttävät palveluita ja joiden tarpeet on tarkoitus täyttää. Tilaajan näkökulmasta on helppo unohtaa loppukäyttäjän tarpeet, mutta palvelumuotoiluun keskittyessämme varmistamme, että lopputulos on käyttäjäystävällinen ja vastaa todellisiin tarpeisiin. Tyytyväiset loppuasiakkaat tarkoittavat pitkäaikaisempia asiakassuhteita, parempaa palvelun käyttöastetta ja lopulta yrityksen menestystä.

Palvelumuotoilu vaatii teknistä taituruutta ja innovatiivista ajattelua. Me Don & Branco -tiimissä olemme ylpeitä siitä, että voimme tarjota asiakkaillemme tinkimättömän laadukkaita palveluita yhdessä Druidin kanssa. Yhdistämällä teknisen osaamisen, luovuuden ja asiakaslähtöisyyden voimme luoda verkkopalveluita, jotka eivät ainoastaan täytä käyttäjien tarpeita, vaan ylittävät niiden odotukset.

Yhteenvetona voidaan todeta, että palvelumuotoilu on olennainen osa digitaalista palvelukehitystä. Se mahdollistaa joustavan, ketterän ja asiakaslähtöisen lähestymistavan, joka säästää rahaa, tekee oikeita asioita ja tuottaa haluttuja palveluita. Yhteistyössä Druidin kanssa voimme varmistaa, että asiakkaidemme tarpeet ovat aina keskiössä ja että lopputuloksena syntyy verkkopalveluita, joita halutaan käyttää.

Riku Wirta
Business Development Director
Don & Branco Oy

Oletko suunnittelemassa verkkosivuston uudistamista?

Lataa Seitsemän vinkkiä mutkattomaan verkkosivusto-uudistukseen -opas

05.02.2024

Kerralla useampi harjoittelija – säästä aikaa ja rahaa!

Harjoittelupaikkojen tarjoaminen opiskelijoille on monille it-alan yrityksille tuttu juttu. Isommilla yrityksillä on tätä varten omat trainee-ohjelmansa, kun taas monessa pienemmässä organisaatiossa on tapana ottaa yksi harjoittelija kerrallaan. Tässä blogikirjoituksessa kerromme miksi useamman harjoittelijan ottaminen kerrallaan voi olla harkitsemisen arvoista myös muille kuin isoille yrityksille.

Oppilaitosyhteistyön kautta uusia devaajia

Yritysten motiivi tehdä oppilaitosyhteistyötä liittyy usein tarpeeseen varmistaa osaavan henkilökunnan riittävyys tulevaisuudessa. Harjoittelujakson aikana opiskelija ja työnantaja voivat tutustua toisiinsa ilman velvoitteita, minkä jälkeen rekrytointipäätöksen tekeminen on puolin ja toisin riskittömämpää kuin tavallisissa avoimien paikkojen rekrytoinneissa.

Business College Helsinki on järjestänyt viiden vuoden ajan aikuisille alanvaihtajille tarkoitettua koodaajakoulutusta (Full Stack Web Developer Program). Koulutuksessa keskeisessä roolissa on projektityöskentely ja asioita opitaan nimenomaan tekemällä. Tärkeää on myös mukana olevan kumppaniyrityksen panos: yritys on vahvasti mukana opintojen loppupuolella toteutettavassa projektissa. Druid on toiminut englanninkielisen koulutuksemme kumppaniyrityksenä useampana vuonna ja ollut mukana sparraamassa opiskelijoitamme heidän projekteissaan.

Projektikumppaniroolin lisäksi Druid on tarjonnut harjoittelumahdollisuuksia Business Collegen opiskelijoille. Suurin osa näistä opiskelijoistamme on työllistynyt yritykseen harjoittelujakson jälkeen.

Yhdessä tekemistä ja tukemista

Koodaajakoulutuksen opiskelijat tottuvat jo koulutuksen aikana tiimimäiseen työskentelytapaan. Intensiivinen ja käytännönläheinen koulutus on täysipäiväistä, joten ryhmä (maksimissaan 30 opiskelijaa) oppii vuoden aikana tuntemaan hyvin toisensa ja työskentelytapansa. Kun useampi opiskelija päätyy samaan harjoittelupaikkaan yhtä aikaa, he pystyvät olemaan toistensa tukena eri tilanteissa. Keskinäinen yhteys on syntynyt jo opintojen aikana. Moni työnantaja onkin kokenut, että useamman harjoittelijan porukka jopa vähentää yrityksen muun henkilöstön opastukseen ja neuvomiseen kuluvaa aikaa.

Tammikuussa 2023 Druidilla aloitti harjoittelun samaan aikaan viisi Business Collegen koodaajakoulutuksen opiskelijaa. Mainiosti sujuneen harjoittelujakson jälkeen he kaikki jatkoivat yrityksen työntekijöinä. Myös seuraavat kolme Business Collegen opiskelijaa aloittivat tammikuussa 2024 Druidin uusina harjoittelijoina.

Uutta intoa ja energiaa

Harjoittelijat vaikuttavat omalta osaltaan heitä ympäröivään organisaatioon. Yksikin uusi ihminen voi tuoda mukanaan uusia ideoita ja näkökulmia, mutta vaikutus on ymmärrettävästi moninkertainen silloin kun tulijoita on useampi. Ryhmä opiskelijoita tuo mukanaan uutta elämää, ja usein näiden tulokkaiden into ja energia herättelevät myös talossa pidempään olleita.

Aina harjoittelujakso ei syystä tai toisesta johda työpaikkaan samassa organisaatiossa. Koulutuksen järjestäjänä haluamme korostaa sitä, että harjoittelupaikkojen tarjoaminen opiskelijoille on jo itsessään erittäin arvokas asia. Se on yritysvastuun kantamista mitä suurimmassa määrin.

Kirjoittajat
Margit Tennosaar, Web Development Teacher, Business College Helsinki
Marja Wallinmaa, Business & Communications Partner, Business College Helsinki

Cookie	Kesto	Kuvaus
_GRECAPTCHA		This cookie is set by Google reCAPTCHA, which protects our site against spam enquiries on contact forms.
cli_user_preference
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
CookieLawInfoConsent
pll_language	1 year	This cookie is set by Polylang plugin for WordPress powered websites. The cookie stores the language code of the last browsed page.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Kesto	Kuvaus
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
_lfa	2 years	This cookie is set by the provider Leadfeeder. This cookie is used for identifying the IP address of devices visiting the website. The cookie collects information such as IP addresses, time spent on website and page requests for the visits.This collected information is used for retargeting of multiple users routing from the same IP address.
AnalyticsSyncHistory	1 month	No description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Cookie	Kesto	Kuvaus
_hjAbsoluteSessionInProgress	30 minutes	No description
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.
_hjid	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInPageviewSample	2 minutes	No description
_hjIncludedInSessionSample	2 minutes	No description

EU:n datastrategia 2020-luvulla ja sen vaikutukset pilvipalveluihin

EU:n datastrategia

Vaikutukset pilvipalveluihin

Tietosuoja-asetus

NIS2

Data Act

Yhteenveto

Eurooppalainen pilviratkaisu

Sertifioitua tietoturvaa

Jatkuvaa parantamista

Muuta kiinnostavaa

Miksi palvelumuotoilun tulee olla kiinteä osa verkkopalvelu-uudistusta

Kerralla useampi harjoittelija - säästä aikaa ja rahaa!

Miksi palvelumuotoilun tulee olla kiinteä osa verkkopalvelu-uudistusta

Palvelumuotoilu räätälöityjen verkkopalveluiden kehittämisessä

Kenelle palvelumuotoilua tulee oikeasti tehdä?

Oletko suunnittelemassa verkkosivuston uudistamista?

Muuta kiinnostavaa

Personoi verkkosivusi Druid Experience Platformin avulla

Uusi Drupal CMS vie sisällönhallinnan uudelle tasolle

Kerralla useampi harjoittelija – säästä aikaa ja rahaa!

Oppilaitosyhteistyön kautta uusia devaajia

Yhdessä tekemistä ja tukemista

Uutta intoa ja energiaa

Muuta kiinnostavaa

Kesytä kaaos Getting Things Done-menetelmällä

Uusi Drupal CMS vie sisällönhallinnan uudelle tasolle