SlideShare une entreprise Scribd logo

Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012

Tomppa Järvinen
Tomppa Järvinen

,Pilvipalvelut lainsäädännön näkökulmasta, palveluiden hankinta, sopimukset, tietosuoja

Formation
1  sur  23
Télécharger pour lire hors ligne
Pilvipalvelut Lainsäädäntö ja sopimukset Tomi Järvinen 31.01.2012 Aalto yliopiston IT Lähteinä käytetty: Erkko Korhonen, SFS ry esitys 18.11.2010 Arto Linnervuo ja Eija Warma , IDC’s Security Conference 21.9.2010
PILVIPALVELUT YLEISTÄ Pilvipalvelut ovat paikasta riippumattomia verkon kautta käytettäviä palveluja, joissa organisaation tai yksityisen henkilön tarvitsemat sovellukset sijaitsevat ”pilvessä” eli esim. palveluntarjoajan palvelimilla. Yliopiston käytössä tärkeimmät pilvipalveluiden ominaisuudet ovat dynaamisuus, nopea resurssien allokointi ja kustannusten muodostuminen todellisen käytön mukaan. Tyypillisimpiä palveluita ovat vuokratut ohjelmistot, ohjelmistoihin kuuluvat sovelluspalvelut ja alustat sekä dynaamiset palvelininstanssit. Yksityishenkilöille tyypillisimpiä pilvipalveluita ovat sosiaalisen median palvelut kuten Facebook, Twitter tai Gmail. 26.1.2012 2
PILVIPALVELUT – MIKÄ PILVI? "Pilvipalvelu" terminä on käsite tai kielikuva, jolla tarkoitetaan verkon kautta käytettäviä palveluita. Toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita Yliopiston kannalta palveluiden ominaisuuksista ja myyntitavoista aiheutuu uusia haasteita liittyen lainsäädäntöön ja sopimuksiin. Tyypillinen pilvipalvelu on: •dynaaminen (hinnoittelu sekä tekninen) •käyttö paikasta riippumatonta •palvelulähtöinen toimintamalli •maantieteellisesti hajautettu Accenture: ”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille. 26.1.2012 3
PILVIPALVELUIDEN HAASTEET Pilvipalveluiden merkittävimmät haasteet asiakkaalle • sopimusriskit • tietoturvakysymykset •auditointi, tietovuoto, poikkeamat, tunnusten hallinta, jaettu alusta.. • toimittajien luotettavuus •lukematon määrä ylläpitäjiä ja alihankkijoita Päätös pilvipalvelun käyttöönotosta Aalto-yliopistossa tulee perustua riskienhallintaprosessiin ja periaatteisiin, jotka pohjautuvat tiedon luokitteluun luottamuksellisuuden ja eheyden sekä viranomaisvaatimusten perusteella • Ehkäpä hankalin, PowerPointin aihe, lainsäädäntö ja sopimukset 26.1.2012 4
LAINSÄÄDÄNTÖ Pilvipalveluiden käyttöön liittyvät haasteet juridisesta tai direktiivien näkökulmasta 1. ei ole juurikaan ennakkotapauksia, jotain kuitenkin* 2. muutoksia lainsäädäntöön on vasta valmisteilla, jotain kuitenkin** 3. nykyinen lainsäädäntö on vaikeasti sovellettavissa pilvipalveluihin: • tietosuoja: henkilötietojen käsittelyä ja siirtoa koskevat kysymykset, • palvelun tietoturva • sopimusoikeudelliset vastuu- ja muut kysymykset • liikesalaisuuksien suoja ja toimittajan oikeus hyödyntää palvelun dataa * GoogleApps vs. Tanskan tietosuojaviranomainen: http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution/ **EU Commission draft, new ”EU General Data Protection Regulation and Directive” (korvaa 95/46) 1.2.2012 5
LAINSÄÄDÄNTÖ Soveltuva tietosuojalainsäädäntö Henkilötietolaki (523/1999) soveltuu, kun: •rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä • jos sama rekisterinpitäjä on sijoittautunut myös muun EU/ETA:n jäsenvaltion kuin Suomen alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita • toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta… •rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin nimettävä Suomessa oleva edustaja. sovellettuna pilvipalveluihin: •Suomalaiseen rekisterinpitäjään sovelletaan Suomen tietosuojalainsäädäntöä huolimatta käsittelijän (=palveluntarjoajan) kotipaikasta •käytettäessä Suomen alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” Suomessa. (käsittelijää) -> Suomen tietosuojalainsäädäntö soveltuu myös käsittelijään •käytettäessä EU/ETA:n alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” EU/ETA alueella (käsittelijää) -> kyseisen jäsenvaltion tietosuojalainsäädäntö soveltuu 1.2.2012 6
LAINSÄÄDÄNTÖÄ Tietosuoja, Suomessa perustuslaillinen oikeus! Perustuslain 7 § Yksityisyyden suoja liittyy jokaisen oikeuteen henkilökohtaiseen vapauteen ja koskemattomuuteen Yksityisyyden suoja kattaa fyysisen vapauden lisäksi tahdon vapauden ja itsemääräämisoikeuden (Tämä koskee myös ihmisten tietoa, tieto-omaisuutta) Suomen perustuslaki 10 §: "Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton” 2008 Suomi joutui ihmisoikeustuomioistuimeen koska ei voitu osoittaa lokitiedoista kuka oli syyllinen (nettiin oli ladattu yksityisen henkilön arkaluontoista materiaalia) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009): palvelun käyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa Henkilötietolaki 22.4.1999/523 ”Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta” 1.2.2012 7
LAINSÄÄDÄNTÖ Sovellettava laki •mikäli sopimuksessa ei ole määritelty sovellettavaa lakia pätee usein ”Rooma 1” asetus (EY) No 593/2008 – palvelun suorittamista koskevaan sopimukseen sovelletaan sen maan lakia, jossa palvelunsuorittajan asuinpaikka on (4 (1) (b) artikla) – sopimus laitteiston tai ohjelmiston online-käytöstä • jos sopimus ei kuulu 1 kohdan piiriin tai jos sopimuksen osiot kuuluisivat useamman kuin yhden 1 kohdan a–h alakohdan piiriin, – sopimukseen sovelletaan sen maan lakia, jossa on sen osapuolen asuinpaikka, joka vastaa sopimuksen luonteenomaisesta suorituksesta (4 (2) artikla) • palveluntarjoajan valtion lakia sovelletaan 26.1.2012 8
”Rekisterinpitäjä” tai ”Henkilötietojen käsittelijä” rekisterinpitäjä: • osapuoli, joka määrittelee materiaalin käsittelyn tarkoituksen ja keinot •henkilötietojen käsittelijä, ainoastaan sopimukseen perustuva vastuu palveluntarjoaja Erottelu on tärkeä pilvipalvelun vastuunjaon kannalta! •Henkilötietolain mukaan rekisterinpitäjä on vastuussa, mutta voi ulkoistaa henkilötietojen käsittelyn, jolloin kolmas osapuoli käsittelee henkilötietoja rekisterinpitäjän lukuun. •rekisterinpitäjän tulee turvata rekisteröityjen oikeudet sopimusteitse •rekisterinpitäjällä on ilmoitusvelvollisuus Tietosuojavaltuutetulle jos henkilötietojen käsittely ulkoistetaan. (toimintailmoitus) 1.2.2012 9
TIETOSUOJASTA •molemmat, asiakas ja erityisesti palveluntarjoaja, määrittelevät henkilötietojen käsittelyn perusteet •lakisääteinen olettama on, että rekisterinpitäjä yksin vastaa henkilötietojen käsittelystä •pilvipalveluiden tarkoituksena on vähentää suoraa kontrollia, kun taas lainsäädäntö edellyttää, että rekisterinpitäjä kontrolloi henkilötietojen käsittelyä •tietojen siirtämiseen liittyvät kysymykset, rekisterinpitäjän tulee tietää, missä tiedot sijaitsevat. • Henkilötietoja saa siirtää EU:n ulkopuolelle, mikäli riittävä tietosuojan taso pystytään takaamaan – ”adequate level of protection” (mm. Argentiina, Canada, Sveitsi, pian Israel) 26.1.2012 10
MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle Periaate: • Henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan riittävä tietosuojan taso • Näitä maita ei käytännössä ole montaa, mm. Kanada, Sveitsi (2001/497/EC) • Poikkeuksia mm: – rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon; – siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; – siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöön panemiseksi; – siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; – Siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; – rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta; – siirto tapahtuu Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen 26.1.2012 11
MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle •käytä silti pilvipalveluntarjoajaa, jonka Palvelu (teknologia, fyysinen sijainti) on sijoitettu EU/ETA:n alueelle, tai •sopimuksessa pilvipalveluntarjoajan kanssa olisi hyvä käyttää komission hyväksymiä mallilausekkeita (EU Standard Contractual Clause*) •lausekkeista löytyy sopimuksiin hyviä esimerkkejä • käytä vain USA – Safe Harbor sertifioituja yrityksiä, (lista Safe Harbor yrityksistä) *Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES 1.2.2012 12
SOPIMUKSET Sopimuskysymykset •sopimukset ovat yhtä tärkeitä (tai tärkeämpiä) kuin missä tahansa perinteisessä IT- ratkaisussa •ohjelmistolisenssi vai ohjelmiston vuokraus •ulkoistussopimus •palvelusopimus yhdessä palvelutasosopimuksen (SLA) kanssa •Muista huomioida alihankinta 26.1.2012 13
SOPIMUSTEN LUOKITTELU Sopimusten oikeudellinen luokittelu. Pilvipalveluissa voidaan käyttää eri sopimustyyppejä, sen takia niihin voidaan soveltaa useata eri pakottavaa lakia Vuokrasopimus soveltuu, jos esimerkiksi: • ohjelmistojen online käyttö • Saksan liittovaltion tuomioistuimessa käytetty nimitystä: application service providing (ASP) -> vuokrasopimus • verkkosovellukset pilvipalveluna samaistettavissa ASP:iin • laitteiston online-käyttö (esim. Palvelininstanssi) • varastotilan online-käyttö (esim. tallennustilaa) 26.1.2012 14
PALVELUSOPIMUS Palvelusopimus soveltuu, jos kyseessä esimerkiksi : • materiaalin arkistointipalvelu • materiaalin varastointipalvelu • sovelluksien hallintapalvelu • tiedon varastointipalvelu • tukipalvelu • ylläpitopalvelut 26.1.2012 15
Pohdittavaa • useat pilvipalvelut tarjoavat matalan kynnyksen sisäänpääsyyn sekä helpottavat palvelun mitoittamismahdollisuuksia • useimmat tarjolla olevat pilvipalvelusopimukset rajoittavat palveluntarjoajan vastuuta niin, ettei se ole missään suhteessa mahdolliseen riskiin • pilvipalvelusopimukset vastaavat tyypillisesti ohjelmistolisenssejä, vaikka mahdolliset riskit ovatkin paljon suurempia • Vendor lock-in, toimittajariippuvuus – myyjällä ei ole lakiin perustuvaa velvollisuutta tarjota tiedonsiirtopalvelua, jos halutaan vaikka siirtää palvelu -> Huomioitava sopimuksessa • Yksipuoliset purkamismahdollisuudet – pilvipalveluiden tarjoaja varaa usein yksipuolisen oikeuden palvelusopimuksen irtisanomiseen 1.2.2012 16
SOPIMUKSIIN MUKAAN Sopimuksiin tulee sisällyttää • tarkastus- / auditointioikeus* • monet sopimukset säätävät tarkastuksesta, joka pitää sisällään fyysisen tarkastuksen • miten säädöksiä sovelletaan kun pilvipalvelut maantieteellisesti hajautettuja? • kirjanpitolaki ja aineiston säilyttäminen • sovellettava laki ja toimivaltainen tuomioistuin • mikäli oikeudenkäynti tapahtuu kotivaltion ulkopuolella voi oikeudenkäynti tulla kohtuuttoman kalliiksi • huomioitava palveluntarjoajan mahdollinen konkurssi Pilvipalveluiden tarjoajien kanssa tulee sopimuksiin sisällyttää asioita, jotka eivät useinkaan sisälly standardisopimusehtoihin. Niin ikään on tärkeää motivoida sopimuskumppani täyttämään velvollisuutensa. *Auditointi, Tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen puolueeton taho. 26.1.2012 17
ASIAKAS VS TOIMITTAJA Toimittaja haluaa tarjota: • yhtenäistetyt palvelut • mahdollisimman pitkä sopimus • dynaaminen nopea hinnantarkistus • pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja Asiakas toivoo •räätälöitävät, helposti muokattavat ratkaisut •varmuus mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu. •vakaa hinnoittelu, •palvelutasosopimuksen (SLA) turvaama käyttö ja sovittu palvelutaso 26.1.2012 18
HUOMIOI! Sopimuksissa on aina huomioitava , tapauskohtaisesti roolit ja vastuut •aina lakimieskonsultaatio •selkeä palvelukuvaus • (SLA) palvelutaso • kirjallisesti ja tarkat sanktiot. • rajapintojen määritelmät • Materiaalin erottelu pilvessä muiden asiakkaiden materiaalista • auditointi- ja tarkastusoikeus • alueelliset rajoitukset • vaatimusmäärittely, ydinkohdat esim. tiedon palauttaminen, omistajuus • tietojen siirto/palautus ”vendor lock-in” välttämiseksi • neuvottele riittävä siirtymäaika • sovellettavat lait ja lainkohdat • hinnoittelu • sopimustyyppi, varo takuuehtojen poikkeuksia, hinnan muutokset 26.1.2012 19
SUMMA SUMMARUM MUISTA VIELÄ • SLA – ylläpitotaso • auditointi, tarkistetaan palvelun turvallisuus ja toiminta. • vastuu henkilötietojen käsittelystä on AINA rekisterinpitäjällä • voidaanko soveltaa standardeja (turvallisuus-, laatu- tai teknisiä) • kenellä pääsy/omistus -> huomioi myös alihankinta • materiaalin maantieteellinen sijainti • ”Force majeure” määrittely • palvelun lopetus- tai siirtomahdollisuus • hinnantarkistus kesken sopimuskauden 26.1.2012 20
PILVIPALVELUT Linkkejä •Julkisuuslaki(JulkL, 621/1999) •Henkilötietolaki (HetiL, 523/1999) •Sähköisen viestinnän tietosuojalaki (SVTSL, 516/2004) •Tekijänoikeuslaki (404/1961) •(EY) No 593/2008 Sopimusvelvoitteisiin soveltuva asetus •Henkilötietolain mukainen ilmoitusvelvollisuus •EU:n päätös henkilötietojen siirto kolmansiin maihin, Asiaa tietosuojasta 1/2005 •Luonnos valtion ICT-hankintojen tietoturvaohjeeksi •U.S.-EU & U.S.-Swiss Safe Harbor Frameworks •Cloud Computing Contracts, (Educause) •Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES 31.1.2012 21
PILVIPALVELUT Yhteystietoja IT-asiakkuuspäälliköt http://www.aalto.fi/fi/about/contact/services/#it Hankinta https://inside.aalto.fi/display/talouspalvelut/Hankintojen+ohjeistus Tietoturva tietoturvapaallikko@aalto.fi IT https://servicedesk.aalto.fi Pilvipalveluiden Wiki-sivut 26.1.2012 22
Kiitos! 26.1.2012 23

Recommandé

Update on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityUpdate on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's Liability
Jan Lindberg
 
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Vihreä Sivistys- ja Opintokeskus Visio
 
Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...
Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...
Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...
Sonera
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
Tiia Rantanen
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Sonera
 
Juridiset reunaehdot teknologian ja datan kaytossa
Juridiset reunaehdot teknologian ja datan kaytossaJuridiset reunaehdot teknologian ja datan kaytossa
Juridiset reunaehdot teknologian ja datan kaytossa
Eläketurvakeskus
 
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaHenkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Loihde Advisory
 
Jussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulma
Jussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulmaJussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulma
Jussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulma
FiCom_ry
 

Recommandé

Update on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityUpdate on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's Liability
Jan Lindberg
 
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Vihreä Sivistys- ja Opintokeskus Visio
 
Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...
Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...
Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - ...
Sonera
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
Tiia Rantanen
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Sonera
 
Juridiset reunaehdot teknologian ja datan kaytossa
Juridiset reunaehdot teknologian ja datan kaytossaJuridiset reunaehdot teknologian ja datan kaytossa
Juridiset reunaehdot teknologian ja datan kaytossa
Eläketurvakeskus
 
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaHenkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Loihde Advisory
 
Jussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulma
Jussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulmaJussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulma
Jussi Mäkinen: Tekijänoikeuskirjeet - operaattorin näkökulma
FiCom_ry
 
EU:n tietosuoja-asetus
EU:n tietosuoja-asetusEU:n tietosuoja-asetus
EU:n tietosuoja-asetus
Finanssiala ry - Finance Finland
 
Kuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaistaKuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaista
Hallintoakatemia
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
Harto Pönkä
 
Sosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävät
Sosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävätSosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävät
Sosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävät
THL
 
Pilvipalvelut
PilvipalvelutPilvipalvelut
Pilvipalvelut
Elias Aarnio
 
Tietoyhteiskuntaan liittyvästä juridisesta sääntelystä
Tietoyhteiskuntaan liittyvästä juridisesta sääntelystäTietoyhteiskuntaan liittyvästä juridisesta sääntelystä
Tietoyhteiskuntaan liittyvästä juridisesta sääntelystä
Panu Moilanen
 
Urkinta on lailla rakennettava
Urkinta on lailla rakennettavaUrkinta on lailla rakennettava
Urkinta on lailla rakennettava
Jyrki Kasvi
 
AamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettava
AamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettavaAamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettava
AamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettava
TIEKE Finnish Information Society Development Centre
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Jan Lindberg
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
Jyrki Kasvi
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynäEU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
propilvipalvelut
 
Suomesta datatalouden kärkimaa
Suomesta datatalouden kärkimaaSuomesta datatalouden kärkimaa
Suomesta datatalouden kärkimaa
Jyrki Kasvi
 
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo AarnioEU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
FCG Koulutus
 
Tietoturvaesitys1
Tietoturvaesitys1Tietoturvaesitys1
Tietoturvaesitys1
Mertalan koulu
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Julkisuuslaki sihteereille
Julkisuuslaki sihteereilleJulkisuuslaki sihteereille
Julkisuuslaki sihteereille
Hallintoakatemia
 
5278201 management-control-systems-introduction-1
5278201 management-control-systems-introduction-15278201 management-control-systems-introduction-1
5278201 management-control-systems-introduction-1
Ankit Kauntia
 
Age of exploration
Age of explorationAge of exploration
Age of exploration
chynnaratliff
 

Contenu connexe

Tendances

EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynäEU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
propilvipalvelut
 

Tendances (20)

EU:n tietosuoja-asetus
EU:n tietosuoja-asetusEU:n tietosuoja-asetus
EU:n tietosuoja-asetus
 
Kuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaistaKuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaista
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Sosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävät
Sosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävätSosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävät
Sosiaalihuollon asiakastiedon arkiston käyttöönottoa valmistelevat tehtävät
 
Pilvipalvelut
PilvipalvelutPilvipalvelut
Pilvipalvelut
 
Tietoyhteiskuntaan liittyvästä juridisesta sääntelystä
Tietoyhteiskuntaan liittyvästä juridisesta sääntelystäTietoyhteiskuntaan liittyvästä juridisesta sääntelystä
Tietoyhteiskuntaan liittyvästä juridisesta sääntelystä
 
Urkinta on lailla rakennettava
Urkinta on lailla rakennettavaUrkinta on lailla rakennettava
Urkinta on lailla rakennettava
 
AamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettava
AamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettavaAamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettava
AamuAreena: Tiedustelulaki ja ICT - Urkinta on lailla rakennettava
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynäEU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
EU:n yleinen tietosuoja-asetus (GDPR): Tässä ydinasiat tiiviisti esitettynä
 
Suomesta datatalouden kärkimaa
Suomesta datatalouden kärkimaaSuomesta datatalouden kärkimaa
Suomesta datatalouden kärkimaa
 
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo AarnioEU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
 
Tietoturvaesitys1
Tietoturvaesitys1Tietoturvaesitys1
Tietoturvaesitys1
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Julkisuuslaki sihteereille
Julkisuuslaki sihteereilleJulkisuuslaki sihteereille
Julkisuuslaki sihteereille
 

En vedette

5278201 management-control-systems-introduction-1
5278201 management-control-systems-introduction-15278201 management-control-systems-introduction-1
5278201 management-control-systems-introduction-1
Ankit Kauntia
 
Fashion prestenation
Fashion prestenationFashion prestenation
Fashion prestenation
CallumHiggins
 
Psych unit.4 pre-test
Psych unit.4 pre-testPsych unit.4 pre-test
Psych unit.4 pre-test
Jake Jensen
 

En vedette (6)

5278201 management-control-systems-introduction-1
5278201 management-control-systems-introduction-15278201 management-control-systems-introduction-1
5278201 management-control-systems-introduction-1
 
Age of exploration
Age of explorationAge of exploration
Age of exploration
 
Fashion prestenation
Fashion prestenationFashion prestenation
Fashion prestenation
 
Genetica2
Genetica2Genetica2
Genetica2
 
Mera medicare
Mera medicareMera medicare
Mera medicare
 
Psych unit.4 pre-test
Psych unit.4 pre-testPsych unit.4 pre-test
Psych unit.4 pre-test
 

Similaire à Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012

EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
Teemu Tiainen
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuus
Nixu Corporation
 

Similaire à Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012 (20)

Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavat
 
Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitys
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
Lupapiste Kauppa
Lupapiste KauppaLupapiste Kauppa
Lupapiste Kauppa
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavat
 
EU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössäEU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössä
 
Tietosuojaselosteen malli
Tietosuojaselosteen malliTietosuojaselosteen malli
Tietosuojaselosteen malli
 
Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskitKuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuus
 
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiSuccess Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Avoimet ohjelmistot julkisessa hallinnossa 2011-05-26
Avoimet ohjelmistot julkisessa hallinnossa 2011-05-26Avoimet ohjelmistot julkisessa hallinnossa 2011-05-26
Avoimet ohjelmistot julkisessa hallinnossa 2011-05-26
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
Coss koulutus 20161124 avaus ja jit2015 20161124 final
Coss koulutus 20161124 avaus ja jit2015 20161124 finalCoss koulutus 20161124 avaus ja jit2015 20161124 final
Coss koulutus 20161124 avaus ja jit2015 20161124 final
 

Plus de Tomppa Järvinen

Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
Tomppa Järvinen
 

Plus de Tomppa Järvinen (13)

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research data
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in Practice
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloud
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_sh
 

Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012

  • 1. Pilvipalvelut Lainsäädäntö ja sopimukset Tomi Järvinen 31.01.2012 Aalto yliopiston IT Lähteinä käytetty: Erkko Korhonen, SFS ry esitys 18.11.2010 Arto Linnervuo ja Eija Warma , IDC’s Security Conference 21.9.2010
  • 2. PILVIPALVELUT YLEISTÄ Pilvipalvelut ovat paikasta riippumattomia verkon kautta käytettäviä palveluja, joissa organisaation tai yksityisen henkilön tarvitsemat sovellukset sijaitsevat ”pilvessä” eli esim. palveluntarjoajan palvelimilla. Yliopiston käytössä tärkeimmät pilvipalveluiden ominaisuudet ovat dynaamisuus, nopea resurssien allokointi ja kustannusten muodostuminen todellisen käytön mukaan. Tyypillisimpiä palveluita ovat vuokratut ohjelmistot, ohjelmistoihin kuuluvat sovelluspalvelut ja alustat sekä dynaamiset palvelininstanssit. Yksityishenkilöille tyypillisimpiä pilvipalveluita ovat sosiaalisen median palvelut kuten Facebook, Twitter tai Gmail. 26.1.2012 2
  • 3. PILVIPALVELUT – MIKÄ PILVI? "Pilvipalvelu" terminä on käsite tai kielikuva, jolla tarkoitetaan verkon kautta käytettäviä palveluita. Toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita Yliopiston kannalta palveluiden ominaisuuksista ja myyntitavoista aiheutuu uusia haasteita liittyen lainsäädäntöön ja sopimuksiin. Tyypillinen pilvipalvelu on: •dynaaminen (hinnoittelu sekä tekninen) •käyttö paikasta riippumatonta •palvelulähtöinen toimintamalli •maantieteellisesti hajautettu Accenture: ”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille. 26.1.2012 3
  • 4. PILVIPALVELUIDEN HAASTEET Pilvipalveluiden merkittävimmät haasteet asiakkaalle • sopimusriskit • tietoturvakysymykset •auditointi, tietovuoto, poikkeamat, tunnusten hallinta, jaettu alusta.. • toimittajien luotettavuus •lukematon määrä ylläpitäjiä ja alihankkijoita Päätös pilvipalvelun käyttöönotosta Aalto-yliopistossa tulee perustua riskienhallintaprosessiin ja periaatteisiin, jotka pohjautuvat tiedon luokitteluun luottamuksellisuuden ja eheyden sekä viranomaisvaatimusten perusteella • Ehkäpä hankalin, PowerPointin aihe, lainsäädäntö ja sopimukset 26.1.2012 4
  • 5. LAINSÄÄDÄNTÖ Pilvipalveluiden käyttöön liittyvät haasteet juridisesta tai direktiivien näkökulmasta 1. ei ole juurikaan ennakkotapauksia, jotain kuitenkin* 2. muutoksia lainsäädäntöön on vasta valmisteilla, jotain kuitenkin** 3. nykyinen lainsäädäntö on vaikeasti sovellettavissa pilvipalveluihin: • tietosuoja: henkilötietojen käsittelyä ja siirtoa koskevat kysymykset, • palvelun tietoturva • sopimusoikeudelliset vastuu- ja muut kysymykset • liikesalaisuuksien suoja ja toimittajan oikeus hyödyntää palvelun dataa * GoogleApps vs. Tanskan tietosuojaviranomainen: http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution/ **EU Commission draft, new ”EU General Data Protection Regulation and Directive” (korvaa 95/46) 1.2.2012 5
  • 6. LAINSÄÄDÄNTÖ Soveltuva tietosuojalainsäädäntö Henkilötietolaki (523/1999) soveltuu, kun: •rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä • jos sama rekisterinpitäjä on sijoittautunut myös muun EU/ETA:n jäsenvaltion kuin Suomen alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita • toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta… •rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin nimettävä Suomessa oleva edustaja. sovellettuna pilvipalveluihin: •Suomalaiseen rekisterinpitäjään sovelletaan Suomen tietosuojalainsäädäntöä huolimatta käsittelijän (=palveluntarjoajan) kotipaikasta •käytettäessä Suomen alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” Suomessa. (käsittelijää) -> Suomen tietosuojalainsäädäntö soveltuu myös käsittelijään •käytettäessä EU/ETA:n alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” EU/ETA alueella (käsittelijää) -> kyseisen jäsenvaltion tietosuojalainsäädäntö soveltuu 1.2.2012 6
  • 7. LAINSÄÄDÄNTÖÄ Tietosuoja, Suomessa perustuslaillinen oikeus! Perustuslain 7 § Yksityisyyden suoja liittyy jokaisen oikeuteen henkilökohtaiseen vapauteen ja koskemattomuuteen Yksityisyyden suoja kattaa fyysisen vapauden lisäksi tahdon vapauden ja itsemääräämisoikeuden (Tämä koskee myös ihmisten tietoa, tieto-omaisuutta) Suomen perustuslaki 10 §: "Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton” 2008 Suomi joutui ihmisoikeustuomioistuimeen koska ei voitu osoittaa lokitiedoista kuka oli syyllinen (nettiin oli ladattu yksityisen henkilön arkaluontoista materiaalia) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009): palvelun käyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa Henkilötietolaki 22.4.1999/523 ”Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta” 1.2.2012 7
  • 8. LAINSÄÄDÄNTÖ Sovellettava laki •mikäli sopimuksessa ei ole määritelty sovellettavaa lakia pätee usein ”Rooma 1” asetus (EY) No 593/2008 – palvelun suorittamista koskevaan sopimukseen sovelletaan sen maan lakia, jossa palvelunsuorittajan asuinpaikka on (4 (1) (b) artikla) – sopimus laitteiston tai ohjelmiston online-käytöstä • jos sopimus ei kuulu 1 kohdan piiriin tai jos sopimuksen osiot kuuluisivat useamman kuin yhden 1 kohdan a–h alakohdan piiriin, – sopimukseen sovelletaan sen maan lakia, jossa on sen osapuolen asuinpaikka, joka vastaa sopimuksen luonteenomaisesta suorituksesta (4 (2) artikla) • palveluntarjoajan valtion lakia sovelletaan 26.1.2012 8
  • 9. ”Rekisterinpitäjä” tai ”Henkilötietojen käsittelijä” rekisterinpitäjä: • osapuoli, joka määrittelee materiaalin käsittelyn tarkoituksen ja keinot •henkilötietojen käsittelijä, ainoastaan sopimukseen perustuva vastuu palveluntarjoaja Erottelu on tärkeä pilvipalvelun vastuunjaon kannalta! •Henkilötietolain mukaan rekisterinpitäjä on vastuussa, mutta voi ulkoistaa henkilötietojen käsittelyn, jolloin kolmas osapuoli käsittelee henkilötietoja rekisterinpitäjän lukuun. •rekisterinpitäjän tulee turvata rekisteröityjen oikeudet sopimusteitse •rekisterinpitäjällä on ilmoitusvelvollisuus Tietosuojavaltuutetulle jos henkilötietojen käsittely ulkoistetaan. (toimintailmoitus) 1.2.2012 9
  • 10. TIETOSUOJASTA •molemmat, asiakas ja erityisesti palveluntarjoaja, määrittelevät henkilötietojen käsittelyn perusteet •lakisääteinen olettama on, että rekisterinpitäjä yksin vastaa henkilötietojen käsittelystä •pilvipalveluiden tarkoituksena on vähentää suoraa kontrollia, kun taas lainsäädäntö edellyttää, että rekisterinpitäjä kontrolloi henkilötietojen käsittelyä •tietojen siirtämiseen liittyvät kysymykset, rekisterinpitäjän tulee tietää, missä tiedot sijaitsevat. • Henkilötietoja saa siirtää EU:n ulkopuolelle, mikäli riittävä tietosuojan taso pystytään takaamaan – ”adequate level of protection” (mm. Argentiina, Canada, Sveitsi, pian Israel) 26.1.2012 10
  • 11. MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle Periaate: • Henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan riittävä tietosuojan taso • Näitä maita ei käytännössä ole montaa, mm. Kanada, Sveitsi (2001/497/EC) • Poikkeuksia mm: – rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon; – siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; – siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöön panemiseksi; – siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; – Siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; – rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta; – siirto tapahtuu Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen 26.1.2012 11
  • 12. MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle •käytä silti pilvipalveluntarjoajaa, jonka Palvelu (teknologia, fyysinen sijainti) on sijoitettu EU/ETA:n alueelle, tai •sopimuksessa pilvipalveluntarjoajan kanssa olisi hyvä käyttää komission hyväksymiä mallilausekkeita (EU Standard Contractual Clause*) •lausekkeista löytyy sopimuksiin hyviä esimerkkejä • käytä vain USA – Safe Harbor sertifioituja yrityksiä, (lista Safe Harbor yrityksistä) *Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES 1.2.2012 12
  • 13. SOPIMUKSET Sopimuskysymykset •sopimukset ovat yhtä tärkeitä (tai tärkeämpiä) kuin missä tahansa perinteisessä IT- ratkaisussa •ohjelmistolisenssi vai ohjelmiston vuokraus •ulkoistussopimus •palvelusopimus yhdessä palvelutasosopimuksen (SLA) kanssa •Muista huomioida alihankinta 26.1.2012 13
  • 14. SOPIMUSTEN LUOKITTELU Sopimusten oikeudellinen luokittelu. Pilvipalveluissa voidaan käyttää eri sopimustyyppejä, sen takia niihin voidaan soveltaa useata eri pakottavaa lakia Vuokrasopimus soveltuu, jos esimerkiksi: • ohjelmistojen online käyttö • Saksan liittovaltion tuomioistuimessa käytetty nimitystä: application service providing (ASP) -> vuokrasopimus • verkkosovellukset pilvipalveluna samaistettavissa ASP:iin • laitteiston online-käyttö (esim. Palvelininstanssi) • varastotilan online-käyttö (esim. tallennustilaa) 26.1.2012 14
  • 15. PALVELUSOPIMUS Palvelusopimus soveltuu, jos kyseessä esimerkiksi : • materiaalin arkistointipalvelu • materiaalin varastointipalvelu • sovelluksien hallintapalvelu • tiedon varastointipalvelu • tukipalvelu • ylläpitopalvelut 26.1.2012 15
  • 16. Pohdittavaa • useat pilvipalvelut tarjoavat matalan kynnyksen sisäänpääsyyn sekä helpottavat palvelun mitoittamismahdollisuuksia • useimmat tarjolla olevat pilvipalvelusopimukset rajoittavat palveluntarjoajan vastuuta niin, ettei se ole missään suhteessa mahdolliseen riskiin • pilvipalvelusopimukset vastaavat tyypillisesti ohjelmistolisenssejä, vaikka mahdolliset riskit ovatkin paljon suurempia • Vendor lock-in, toimittajariippuvuus – myyjällä ei ole lakiin perustuvaa velvollisuutta tarjota tiedonsiirtopalvelua, jos halutaan vaikka siirtää palvelu -> Huomioitava sopimuksessa • Yksipuoliset purkamismahdollisuudet – pilvipalveluiden tarjoaja varaa usein yksipuolisen oikeuden palvelusopimuksen irtisanomiseen 1.2.2012 16
  • 17. SOPIMUKSIIN MUKAAN Sopimuksiin tulee sisällyttää • tarkastus- / auditointioikeus* • monet sopimukset säätävät tarkastuksesta, joka pitää sisällään fyysisen tarkastuksen • miten säädöksiä sovelletaan kun pilvipalvelut maantieteellisesti hajautettuja? • kirjanpitolaki ja aineiston säilyttäminen • sovellettava laki ja toimivaltainen tuomioistuin • mikäli oikeudenkäynti tapahtuu kotivaltion ulkopuolella voi oikeudenkäynti tulla kohtuuttoman kalliiksi • huomioitava palveluntarjoajan mahdollinen konkurssi Pilvipalveluiden tarjoajien kanssa tulee sopimuksiin sisällyttää asioita, jotka eivät useinkaan sisälly standardisopimusehtoihin. Niin ikään on tärkeää motivoida sopimuskumppani täyttämään velvollisuutensa. *Auditointi, Tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen puolueeton taho. 26.1.2012 17
  • 18. ASIAKAS VS TOIMITTAJA Toimittaja haluaa tarjota: • yhtenäistetyt palvelut • mahdollisimman pitkä sopimus • dynaaminen nopea hinnantarkistus • pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja Asiakas toivoo •räätälöitävät, helposti muokattavat ratkaisut •varmuus mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu. •vakaa hinnoittelu, •palvelutasosopimuksen (SLA) turvaama käyttö ja sovittu palvelutaso 26.1.2012 18
  • 19. HUOMIOI! Sopimuksissa on aina huomioitava , tapauskohtaisesti roolit ja vastuut •aina lakimieskonsultaatio •selkeä palvelukuvaus • (SLA) palvelutaso • kirjallisesti ja tarkat sanktiot. • rajapintojen määritelmät • Materiaalin erottelu pilvessä muiden asiakkaiden materiaalista • auditointi- ja tarkastusoikeus • alueelliset rajoitukset • vaatimusmäärittely, ydinkohdat esim. tiedon palauttaminen, omistajuus • tietojen siirto/palautus ”vendor lock-in” välttämiseksi • neuvottele riittävä siirtymäaika • sovellettavat lait ja lainkohdat • hinnoittelu • sopimustyyppi, varo takuuehtojen poikkeuksia, hinnan muutokset 26.1.2012 19
  • 20. SUMMA SUMMARUM MUISTA VIELÄ • SLA – ylläpitotaso • auditointi, tarkistetaan palvelun turvallisuus ja toiminta. • vastuu henkilötietojen käsittelystä on AINA rekisterinpitäjällä • voidaanko soveltaa standardeja (turvallisuus-, laatu- tai teknisiä) • kenellä pääsy/omistus -> huomioi myös alihankinta • materiaalin maantieteellinen sijainti • ”Force majeure” määrittely • palvelun lopetus- tai siirtomahdollisuus • hinnantarkistus kesken sopimuskauden 26.1.2012 20
  • 21. PILVIPALVELUT Linkkejä •Julkisuuslaki(JulkL, 621/1999) •Henkilötietolaki (HetiL, 523/1999) •Sähköisen viestinnän tietosuojalaki (SVTSL, 516/2004) •Tekijänoikeuslaki (404/1961) •(EY) No 593/2008 Sopimusvelvoitteisiin soveltuva asetus •Henkilötietolain mukainen ilmoitusvelvollisuus •EU:n päätös henkilötietojen siirto kolmansiin maihin, Asiaa tietosuojasta 1/2005 •Luonnos valtion ICT-hankintojen tietoturvaohjeeksi •U.S.-EU & U.S.-Swiss Safe Harbor Frameworks •Cloud Computing Contracts, (Educause) •Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES 31.1.2012 21