EU:n datastrategia 2020-luvulla ja sen vaikutukset pilvipalveluihin
Strateginen kumppanimme UpCloud on johtava eurooppalainen pilvipalveluntarjoaja, jonka globaali pilvi-infrastruktuuri ulottuu neljälle mantereelle. UpCloud tarjoaa luotettavan ja eurooppalaiset tietosuojavaatimukset täyttävän modernin tuotevalikoiman, joka on saatavilla 13 datakeskuksesta.
Tämä vieraskynäkirjoitus käsittelee Euroopan Unionin (EU) lainsäädännön mukaisia pilvipalveluita ja avaa, kuinka UpCloud edistää EU-vaatimusten mukaista liiketoiminnan kehittämistä omilla pilviratkaisuillaan.
EU:n datastrategia
Euroopan unionin vuonna 2020 käynnistämän datastrategian tavoitteena on luoda reilut ja kilpailukykyiset sisämarkkinat datalle sekä rakentaa vahva oikeudellinen kehys tietosuojan, perusoikeuksien, turvallisuuden ja kyberturvallisuuden alalla. Datastrategiaan nojaten Euroopan komissio on käynnistänyt useita lainsäädäntöhankkeita datan ja digitaalisten palveluiden sääntelemiseksi. Tulevan lainsäädännön lisäksi jo aiemmin voimaantullut EU:n yleinen tietosuoja-asetus (GDPR) sekä hiljattain päivitetty kyberturvallisuusdirektiivi (NIS2) kuuluvat EU:n datastrategian peruspilareihin.
Uusista lainsäädäntöhankkeista digimarkkinasäädös (Digital Markets Act, DMA), datahallintosäädös (Data Governance Act, DGA) ja datasäädös (Data Act) pyrkivät luomaan tehokkaasti toimivat ja kilpaillut sisämarkkinat datalle ja digitaalisille palveluille mm. avaamalla yritysten datavirtoja loppukäyttäjien ja muiden tahojen hyödynnettäväksi, kieltämällä epäreilujen sopimusehtojen yksipuolisen asettamisen määrätyissä sopimussuhteissa, sekä kieltämällä sopimuksellisten ja teknisten esteiden asettamisen datan siirtämiselle palveluntarjoajalta toiselle.
Digipalvelusäädös (DSA) puolestaan asettaa verkkopalveluiden tarjoajille, mukaan lukien pilvipalvelutarjoajille, velvollisuuden ottaa vastaaan ilmoituksia lainvastaisesta sisällöstä sekä velvollisuuden ryhtyä toimiin lainvastaisen sisällön poistamiseksi palvelustaan tultuaan sellaisesta tietoiseksi.
Tässä kirjoituksessa tarkastelemme yleisellä tasolla EU:n dataa ja digitaalisia palveluita koskevan lainsäädännön vaikutuksia pilvipalveluihin.
Vaikutukset pilvipalveluihin
Pilvipalvelutarjoajien kannalta keskeisimmät EU:n dataregulaatioon perustuvat vaatimukset muodostuvat tietosuoja-asetuksen, kyberturvallisuusdirektiivin sekä datasäädöksen asettamista velvoitteista.
Tietosuoja-asetus
Pilvipalvelutarjoajan, joka käsittelee henkilötietoja osana palveluaan jonkin toisen tahon puolesta, tulee täyttää tietosuoja-asetuksen henkilötietojen käsittelijälle asettamat vaatimukset sekä huolehtia mm. siitä, että palvelun ominaisuudet tukevat rekisteröityjen oikeuksien toteuttamista. Pilvipalvelutarjoajan kannattaa kiinnittää huomiota erityisesti seuraavien vaatimusten täyttymiseen ja niiden arviointiin.
Palveluntarjoajan ja asiakkaan tulee sopia kirjallisesti henkilötietojen käsittelystä tietosuoja-asetuksen mukaisella henkilötietojenkäsittelysopimuksella (data processing agreement, DPA). Tietosuoja-asetus määrittelee melko tarkasti henkilötietojenkäsittelysopimuksen sisällön, ja tavanomaista onkin, että palveluntarjoaja sisällyttää vaaditut sopimuslausekkeet omiin palveluehtoihinsa.
Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolelle vaatii aina tietosuoja-asetuksessa määritellyn siirtoperusteen olemassaoloa. Pilvipalvelutarjoajan on tärkeää ymmärtää omaan palveluun liittyvät datavirrat, datan säilyttämiseen käytettävien palvelinten fyysinen sijainti, sekä data käsittelyyn mahdollisesti osallistuvat alihankkijat ja muut kolmannet tahot. Vain tämän pohjalta on mahdollista uskottavasti vastata mahdollisiin dataan ja sen sijaintiin liittyviin asiakasvaatimuksiin.
Henkilötietojen käsittelijä on velvollinen toteuttamaan henkilötietojen suojaamiseksi tarvittavat tekniset ja organisatoriset suojatoimenpiteet, kuten pääsynhallintajärjestelmän käyttöönotto, palomuuri- ja antivirus-ohjelmistojen ajantasaisuudesta huolehtiminen sekä käsiteltävien tietojen kryptaaminen. Vaikka tietosuoja-asetus ei tarkemmin määrittele, mitä nimenomaisia toimenpiteitä palveluntarjoajien on toteutettava, on selvää, että tietoturvan vaatimustaso on nykymaailmassa asetettava korkealle.
NIS2
Kyberturvallisuudesta huolehtiminen ei jatkossa rajoitu pelkästään henkilötietojen käsittelyyn. Tuoreen kyberturvallisuusdirektiivin (NIS2) kansallinen täytäntöönpano Suomessa etenee aikataulun mukaisesti. Lain kyberturvallisuuden riskienhallinnasta on määrä astua voimaan lokakuussa 2024. Kyberturvallisuuslaki tulee asettamaan korkeatasoiset kyberturvallisuuden riskienhallintavaatimukset sekä raportointivelvoitteet muun muassa digitaalisen infrastruktuurin ja digitaalisten palveluiden tarjoajille, joihin pilvipalvelut luonnollisesti luetaan mukaan. Käytännössä vaatimusten täyttäminen edellyttää yrityksissä tietoturvanhallintajärjestelmän luomista.
Data Act
Vuonna 2025 voimaanastuva EU:n datasäädös tulee vaikuttamaan merkittävästi pilvipalveluntarjoajien ja asiakkaiden väliseen suhteeseen. Datasäädöksen tarkoituksena on estää ja purkaa toimittajaloukkuja, joissa pilvipalvelutarjoaja pyrkii estämään asiakasta vaihtamasta toimittajaa erinäisin sopimuksellisin tai teknisin keinoin. Datasäädös kieltää yksipuolisesti asetetut epäreilut sopimusehdot ja velvoittaa pilvipalvelutarjoajat tukemaan asiakasta palveluntarjoajan vaihtamistilanteissa.
Yhteenveto
Vaikka dataa ja digitaalisia palveluita koskevan EU-regulaation määrä voi hetkittäin tuntua päätähuimaavalta, pitkällä aikavälillä regulaation tuomat muutokset data- ja digimarkkinoihin sekä alan yritysten kyberturvallisuuden parantaminen on kaikkien eurooppalaisten etu. Selvää on ainakin, että EU:n datastrategiaan sisältyvien lainsäädäntöhankkeiden mukanaan tuomien velvoitteiden toteuttaminen vaatii pilvipalveluntarjoajilta merkittäviä panostuksia compliance- ja tietoturvatoimintoihin.
Eurooppalainen pilviratkaisu
UpCloud on suomalainen, moderneja pilvipalveluita tarjoava yritys, joka haastaa ulkomaiset jätit tarjoamalla uskottavan ratkaisun datan sijainti- ja käsittelyvaatimuksiin ja panostamalla eurooppalaiseen yksityisyydensuojaan ja korkeatasoiseen tietoturvaan. Keskeisimpiin tuoteominaisuuksiin kuuluvat kilpailukykyiset hinnat ja ripeä asiakaspalvelu ongelmatilanteissa.
UpCloudin lähestymistapa ja selkeä vastuunjako korostaa asiakkaan omaa omistajuutta ja hallintaa datalle ja mahdollistaa vaatimusten mukaisen liiketoiminnan kehittämisen. Asiakkaat hallitsevat pilvi-infrastruktuurissamme säilyttämiään tietoja, valitsemassaan maassa ja datakeskuksessa. UpCloudin lisäpalvelut helpottavat EU-vaatimusten mukaisen liiketoiminnan kehittämisen joustavasti ja kustannustehokkaasti laadusta tai nopeudesta tinkimättä.
Sertifioitua tietoturvaa
Kun liiketoimintaa rakennetaan pilvipalveluiden varaan on tärkeää hahmottaa koko alihankintaketju ja sen tuomat riskit ja vastuut. Valitsemalla yhteistyökumppaniksi sertifioidun palveluntarjoajan, jota arvioidaan jatkuvasti kolmansien osapuolien toimesta, voit varmistua siitä, että toimitusketjusi on myös jatkuvasti kehittyvien vaatimusten mukainen.
UpCloud sekä käyttämämme datakeskukset ovat ISO 27001 -sertifioituja. Tämä kansainvälinen standardi merkitsee korkeatasoisen tietoturvanhallintajärjestelmän ylläpitämistä ja sitoutumista sen kehittämiseen.
Olemme myös CISPE:n jäseniä ja täytämme CISPE:n eurooppalaisille pilvipalvelutarjoajille asettamat vaatimukset. Cloud Infrastructure Services Providers in Europe (CISPE) on voittoa tavoittelematon järjestö, jonka vaatimukset keskittyvät jatkuvasti kehittyviin EU:n tietosuoja- ja tietoturvaperiaatteisiin.
Jatkuvaa parantamista
UpCloudilla on käytössään haavoittuvuuksien tunnistamiseen palkkio-ohjelma tietoturvatutkijoille, ja tarjoamme kaikille kanavan mahdollisten ongelmien raportointiin. Uskomme avoimeen vuoropuheluun asiakkaidemme kanssa turvallisuuskäytäntöjemme osalta – jos sinulla on kysyttävää, vastaamme mielellämme.
Suoritamme säännöllisesti ulkoisia testauksia, tarkastuksia ja auditointeja pyrkien jatkuvasti parantamaan ja mukauttamaan palveluamme vastaamaan kehittyviä uhkakuvia. Sitoutumisemme sisältää kokonaisvaltaisen lähestymistavan riskienhallintaan. Emmekä keskity vain tuotteisiin; turvallisuuden kehitysohjelmamme kattaa ihmiset, prosessit ja teknologian.
Kirjoittajat
Jukka Seppänen, CISO, UpCloud
Janne Silvonen, General Counsel, DPO, UpCloud