12.03.2024

EU:n datastrategia 2020-luvulla ja sen vaikutukset pilvipalveluihin

Strateginen kumppanimme UpCloud on johtava eurooppalainen pilvipalveluntarjoaja, jonka globaali pilvi-infrastruktuuri ulottuu neljälle mantereelle. UpCloud tarjoaa luotettavan ja eurooppalaiset tietosuojavaatimukset täyttävän modernin tuotevalikoiman, joka on saatavilla 13 datakeskuksesta.

Tämä vieraskynäkirjoitus käsittelee Euroopan Unionin (EU) lainsäädännön mukaisia pilvipalveluita ja avaa, kuinka UpCloud edistää EU-vaatimusten mukaista liiketoiminnan kehittämistä omilla pilviratkaisuillaan.

EU:n datastrategia

Euroopan unionin vuonna 2020 käynnistämän datastrategian tavoitteena on luoda reilut ja kilpailukykyiset sisämarkkinat datalle sekä rakentaa vahva oikeudellinen kehys tietosuojan, perusoikeuksien, turvallisuuden ja kyberturvallisuuden alalla. Datastrategiaan nojaten Euroopan komissio on käynnistänyt useita lainsäädäntöhankkeita datan ja digitaalisten palveluiden sääntelemiseksi. Tulevan lainsäädännön lisäksi jo aiemmin voimaantullut EU:n yleinen tietosuoja-asetus (GDPR) sekä hiljattain päivitetty kyberturvallisuusdirektiivi (NIS2) kuuluvat EU:n datastrategian peruspilareihin.

Uusista lainsäädäntöhankkeista digimarkkinasäädös (Digital Markets Act, DMA), datahallintosäädös (Data Governance Act, DGA) ja datasäädös (Data Act) pyrkivät luomaan tehokkaasti toimivat ja kilpaillut sisämarkkinat datalle ja digitaalisille palveluille mm. avaamalla yritysten datavirtoja loppukäyttäjien ja muiden tahojen hyödynnettäväksi, kieltämällä epäreilujen sopimusehtojen yksipuolisen asettamisen määrätyissä sopimussuhteissa, sekä kieltämällä sopimuksellisten ja teknisten esteiden asettamisen datan siirtämiselle palveluntarjoajalta toiselle.

Digipalvelusäädös (DSA) puolestaan asettaa verkkopalveluiden tarjoajille, mukaan lukien pilvipalvelutarjoajille, velvollisuuden ottaa vastaaan ilmoituksia lainvastaisesta sisällöstä sekä velvollisuuden ryhtyä toimiin lainvastaisen sisällön poistamiseksi palvelustaan tultuaan sellaisesta tietoiseksi.

Tässä kirjoituksessa tarkastelemme yleisellä tasolla EU:n dataa ja digitaalisia palveluita koskevan lainsäädännön vaikutuksia pilvipalveluihin.

Vaikutukset pilvipalveluihin

Pilvipalvelutarjoajien kannalta keskeisimmät EU:n dataregulaatioon perustuvat vaatimukset muodostuvat tietosuoja-asetuksen, kyberturvallisuusdirektiivin sekä datasäädöksen asettamista velvoitteista.

Tietosuoja-asetus

Pilvipalvelutarjoajan, joka käsittelee henkilötietoja osana palveluaan jonkin toisen tahon puolesta, tulee täyttää tietosuoja-asetuksen henkilötietojen käsittelijälle asettamat vaatimukset sekä huolehtia mm. siitä, että palvelun ominaisuudet tukevat rekisteröityjen oikeuksien toteuttamista. Pilvipalvelutarjoajan kannattaa kiinnittää huomiota erityisesti seuraavien vaatimusten täyttymiseen ja niiden arviointiin.

Palveluntarjoajan ja asiakkaan tulee sopia kirjallisesti henkilötietojen käsittelystä tietosuoja-asetuksen mukaisella henkilötietojenkäsittelysopimuksella (data processing agreement, DPA). Tietosuoja-asetus määrittelee melko tarkasti henkilötietojenkäsittelysopimuksen sisällön, ja tavanomaista onkin, että palveluntarjoaja sisällyttää vaaditut sopimuslausekkeet omiin palveluehtoihinsa.

Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolelle vaatii aina tietosuoja-asetuksessa määritellyn siirtoperusteen olemassaoloa. Pilvipalvelutarjoajan on tärkeää ymmärtää omaan palveluun liittyvät datavirrat, datan säilyttämiseen käytettävien palvelinten fyysinen sijainti, sekä data käsittelyyn mahdollisesti osallistuvat alihankkijat ja muut kolmannet tahot. Vain tämän pohjalta on mahdollista uskottavasti vastata mahdollisiin dataan ja sen sijaintiin liittyviin asiakasvaatimuksiin.

Henkilötietojen käsittelijä on velvollinen toteuttamaan henkilötietojen suojaamiseksi tarvittavat tekniset ja organisatoriset suojatoimenpiteet, kuten pääsynhallintajärjestelmän käyttöönotto, palomuuri- ja antivirus-ohjelmistojen ajantasaisuudesta huolehtiminen sekä käsiteltävien tietojen kryptaaminen. Vaikka tietosuoja-asetus ei tarkemmin määrittele, mitä nimenomaisia toimenpiteitä palveluntarjoajien on toteutettava, on selvää, että tietoturvan vaatimustaso on nykymaailmassa asetettava korkealle.

NIS2

Kyberturvallisuudesta huolehtiminen ei jatkossa rajoitu pelkästään henkilötietojen käsittelyyn. Tuoreen kyberturvallisuusdirektiivin (NIS2) kansallinen täytäntöönpano Suomessa etenee aikataulun mukaisesti. Lain kyberturvallisuuden riskienhallinnasta on määrä astua voimaan lokakuussa 2024. Kyberturvallisuuslaki tulee asettamaan korkeatasoiset kyberturvallisuuden riskienhallintavaatimukset sekä raportointivelvoitteet muun muassa digitaalisen infrastruktuurin ja digitaalisten palveluiden tarjoajille, joihin pilvipalvelut luonnollisesti luetaan mukaan. Käytännössä vaatimusten täyttäminen edellyttää yrityksissä tietoturvanhallintajärjestelmän luomista.

Data Act

Vuonna 2025 voimaanastuva EU:n datasäädös tulee vaikuttamaan merkittävästi pilvipalveluntarjoajien ja asiakkaiden väliseen suhteeseen. Datasäädöksen tarkoituksena on estää ja purkaa toimittajaloukkuja, joissa pilvipalvelutarjoaja pyrkii estämään asiakasta vaihtamasta toimittajaa erinäisin sopimuksellisin tai teknisin keinoin. Datasäädös kieltää yksipuolisesti asetetut epäreilut sopimusehdot ja velvoittaa pilvipalvelutarjoajat tukemaan asiakasta palveluntarjoajan vaihtamistilanteissa.

Yhteenveto

Vaikka dataa ja digitaalisia palveluita koskevan EU-regulaation määrä voi hetkittäin tuntua päätähuimaavalta, pitkällä aikavälillä regulaation tuomat muutokset data- ja digimarkkinoihin sekä alan yritysten kyberturvallisuuden parantaminen on kaikkien eurooppalaisten etu. Selvää on ainakin, että EU:n datastrategiaan sisältyvien lainsäädäntöhankkeiden mukanaan tuomien velvoitteiden toteuttaminen vaatii pilvipalveluntarjoajilta merkittäviä panostuksia compliance- ja tietoturvatoimintoihin.

Eurooppalainen pilviratkaisu

UpCloud on suomalainen, moderneja pilvipalveluita tarjoava yritys, joka haastaa ulkomaiset jätit tarjoamalla uskottavan ratkaisun datan sijainti- ja käsittelyvaatimuksiin ja panostamalla eurooppalaiseen yksityisyydensuojaan ja korkeatasoiseen tietoturvaan. Keskeisimpiin tuoteominaisuuksiin kuuluvat kilpailukykyiset hinnat ja ripeä asiakaspalvelu ongelmatilanteissa.

UpCloudin lähestymistapa ja selkeä vastuunjako korostaa asiakkaan omaa omistajuutta ja hallintaa datalle ja mahdollistaa vaatimusten mukaisen liiketoiminnan kehittämisen. Asiakkaat hallitsevat pilvi-infrastruktuurissamme säilyttämiään tietoja, valitsemassaan maassa ja datakeskuksessa. UpCloudin lisäpalvelut helpottavat EU-vaatimusten mukaisen liiketoiminnan kehittämisen joustavasti ja kustannustehokkaasti laadusta tai nopeudesta tinkimättä.

Sertifioitua tietoturvaa

Kun liiketoimintaa rakennetaan pilvipalveluiden varaan on tärkeää hahmottaa koko alihankintaketju ja sen tuomat riskit ja vastuut. Valitsemalla yhteistyökumppaniksi sertifioidun palveluntarjoajan, jota arvioidaan jatkuvasti kolmansien osapuolien toimesta, voit varmistua siitä, että toimitusketjusi on myös jatkuvasti kehittyvien vaatimusten mukainen.

UpCloud sekä käyttämämme datakeskukset ovat ISO 27001 -sertifioituja. Tämä kansainvälinen standardi merkitsee korkeatasoisen tietoturvanhallintajärjestelmän ylläpitämistä ja sitoutumista sen kehittämiseen.

Olemme myös CISPE:n jäseniä ja täytämme CISPE:n eurooppalaisille pilvipalvelutarjoajille asettamat vaatimukset. Cloud Infrastructure Services Providers in Europe (CISPE) on voittoa tavoittelematon järjestö, jonka vaatimukset keskittyvät jatkuvasti kehittyviin EU:n tietosuoja- ja tietoturvaperiaatteisiin.

Jatkuvaa parantamista

UpCloudilla on käytössään haavoittuvuuksien tunnistamiseen palkkio-ohjelma tietoturvatutkijoille, ja tarjoamme kaikille kanavan mahdollisten ongelmien raportointiin. Uskomme avoimeen vuoropuheluun asiakkaidemme kanssa turvallisuuskäytäntöjemme osalta – jos sinulla on kysyttävää, vastaamme mielellämme.

Suoritamme säännöllisesti ulkoisia testauksia, tarkastuksia ja auditointeja pyrkien jatkuvasti parantamaan ja mukauttamaan palveluamme vastaamaan kehittyviä uhkakuvia. Sitoutumisemme sisältää kokonaisvaltaisen lähestymistavan riskienhallintaan. Emmekä keskity vain tuotteisiin; turvallisuuden kehitysohjelmamme kattaa ihmiset, prosessit ja teknologian.

Kirjoittajat
Jukka Seppänen, CISO, UpCloud
Janne Silvonen, General Counsel, DPO, UpCloud

Cookie	Kesto	Kuvaus
_GRECAPTCHA		This cookie is set by Google reCAPTCHA, which protects our site against spam enquiries on contact forms.
cli_user_preference
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
CookieLawInfoConsent
pll_language	1 year	This cookie is set by Polylang plugin for WordPress powered websites. The cookie stores the language code of the last browsed page.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Kesto	Kuvaus
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
_lfa	2 years	This cookie is set by the provider Leadfeeder. This cookie is used for identifying the IP address of devices visiting the website. The cookie collects information such as IP addresses, time spent on website and page requests for the visits.This collected information is used for retargeting of multiple users routing from the same IP address.
AnalyticsSyncHistory	1 month	No description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Cookie	Kesto	Kuvaus
_hjAbsoluteSessionInProgress	30 minutes	No description
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.
_hjid	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInPageviewSample	2 minutes	No description
_hjIncludedInSessionSample	2 minutes	No description

EU:n datastrategia 2020-luvulla ja sen vaikutukset pilvipalveluihin