16.9.2015
Voiko pilvipalveluja käyttää?
Sain tehtäväksi selvittää, voiko pilvipalveluja käyttää. Aluksi voidaan avata itse kysymystä ja miettiä sitä vähän erilaisesta kulmasta: Miksei pilvipalveluja voisi käyttää?
Pilvipalvelut (cloud computing) ovat tietotekniikan resurssipalveluja, jotka toimivat verkkoyhteyden välityksellä. Resurssipalvelut tarjoavat tietojenkäsittely-, tallennus-, että tietoliikennepalveluita. Palvelussa usean käyttäjän kesken jaettuja tietoteknisiä resursseja tarjotaan tietoverkon yli. Pilvipalvelun voi käsittää laajana, esimerkiksi nykyiset Some-palvelut (Facebook, twitter yms.) voisivat hyvinkin kuulua pilvipalveluihin, koska niitä tarjotaan verkkoyhteyden ylitse.
Käsittelen itse tässä tekstissä vain ja ainoastaan tallentamiseen ja ohjelmien käyttöön tarkoitettuja pilvipalveluita. Nykyisin pilvipalveluja käytetään esimerkiksi sähköpostien kanssa ja muun muassa Microsoft Outlook tarjoaa tallennustilat ja ohjelmat selaimen kautta käyttöösi. (Wordin ja Powerpointin käyttö on mahdollista ja tiedostoja voi tallentaa Microsoft Onedriveen.) Yleisesti pilvipalvelut ovat ilmaisia kuluttajille (paitsi jos haluat laajentaa pilven kokoa, silloin palveluntarjoaja antaa sinulle mahdollisuuden maksaa uudesta tilasta), mutta yrityksien käyttämät pilvipalvelut maksavat. Yrityksien käyttämät pilvipalvelut eroavat jonkin verran kuluttajien käyttämistä palveluista.
Pilvipalvelut helpottavat tiedostojen tallentamista ja ne saadaan helposti käyttöön, eikä sinun tarvitse käyttää muistitikkua tai muita tallennusvälineitä. Tietysti aina on syytä varmuuskopioida kaikki tärkeät tiedostot fyysiselle kovalevylle, jos jostain syystä pilvipalvelu pettää ja menetät tiedostosi. Pilvipalveluita voi käyttää normaaliin tiedostojen tallentamiseen, mutta henkilötietojen kanssa pitää olla paljon tarkempi.
Onko henkilötietojen tallennus pilveen suotavaa?
Jos pilveen tallennetaan henkilötietoja, tulee huomioida henkilötietojen käsittelyyn liittyvät säännökset ja miettiä mihin kyseiset henkilötiedot menevät, kun niitä tallennetaan pilveen. Pilvi ei koskaan ole turvallisin vaihtoehto, koska pilvipalveluihin on pääsy helppoa niin kotikoneelta, kuin työpaikalta. Varmuutta pilvipalveluiden turvallisuudesta ei koskaan ole ja sen takia pilveen tallennetut henkilötiedot voivat olla vaarassa joutua vääriin käsiin. Yleisesti pilvipalveluiden tarjoajat ovat panostaneet turvallisuuteen ja esimerkiksi yrityksien voivat valita mihin maahan heidän tallentamansa tiedot ja data menevät. Muun muassa Microsoftin tarjoamat pilvipalvelut tallentavat tietosi joko Amsterdamiin tai Dubliniin.
Pilvipalvelun käytön näkökulmasta henkilötietojen käsittely on ulkoistamista ja esimerkiksi alihankkijoiden avulla rekisterinpitäjä voi käyttää suorittamaansa toimenpiteitä, joita hän on itse oikeutettu käyttämään. Ulkoistamisella voi laajentaa rekisterinpitäjän oikeuksia tai sivuuttaa asetettuja velvoiteita. Rekisterinpitäjän tulee sopimusteitse määritellä ulkoiselta palveluntarjoajalta hankittavat toimenpiteet ja valvottava sopimuksen noudattamista.
Pilvipalvelujen haasteet liittyvät usein säännöksiin henkilötietojen siirrosta Euroopan talousalueen ulkopuolelle sekä henkilötietojen käsittelyn tietoturvallisuudesta huolehtimiseen. Esim. Euroopan komission ja Yhdysvaltojen välisen Safe Harbor- järjestelyyn ilmoittautuneen yhdysvaltalaisen yrityksen välillä. Rekisterinpitäjällä on aina vastuu henkilötietojen suojaamisesta, joka kattaa myös alihankintana hankitut toimet. Rekisterinpitäjän tulee ennen tietojenkäsittelyn ulkoistamista varmistua siitä, että käytättävä palvelu on tietoturvallinen. Tämä edellyttää ulkoistamiseen liittyvien riskien arvioimista. Kysymys on aina tapauskohtaisesta harkinnasta, kun arvioidaan onko pilvipalvelun käyttäminen suotavaa vai ei.
Artikkeli: Pilveen vai ei? Selvitä ennen kuin siirrät!
Luin tietosuoja-verkkolehdestä Antti J. Laguksen kirjoittaman tekstin siitä, mitä rekisterinpitäjä voi tallentaa pilveen. Kaikki tieto ei tietysti sovi pilveen ja rekisterinpitäjän täytyy olla tietoinen henkilötietoja käsittelevistä lainpykälistä. Asiakkaiden on syytä tietää mihin heidän tietonsa tallennetaan. Artikkelissa Lagus lainaa Hannu Järvisen lauseita ja Järvisen esimerkissä on, että normaali lehtikauppiaan luoma asiakasrekisteri ei ole suuri ongelma tietojen tallentamisen kanssa, mutta korkean teknologian yritystä hän kehottaisi miettimään tarkkaan ja harkitusti, haluaako se siirtää liikesalaisuuksiaan ja muita tärkeitä tietoja pilveen.
Kaikki tiedot on syytä jakaakin kolmeen erilaiseen kategoriaan: yksityiseen, julkiseen pilveen ja hybridiin. Hybridimallissa osa pilvipalveluista pidetään omilla palvelimilla ja osa ostetan julkisesta pilvestä. Suojaustasojen kanssa on syytä olla todella tarkkana, jotta tärkeät tiedot eivät vahingossakaan lipsahda vääriin käsiin.
Rekisterinpitäjä on aina vastuussa henkilötietojen suojaamisesta. Perusasiana on varmistaa, että tietojen suojaus on kunnossa. Pilvipalveluissa ongelmallista on se, että rekisterinpitäjän on vaikeaa, jopa mahdotonta saada selville, missä maassa- ja minkä lainsäädännön nojalla- tietoja käsitellään. Viime kädessä suurin kysymys onkin siitä, kuinka luotettavana palveluntarjoajaa voi pitää. Laguksen mukaan asian voi varmistaa auditoinneilla (määrämuotoinen ja objektiivinen arviointi sen havaitsemiseksi, onko auditoinnin kohteelle asetetut vaatimukset täytetty), joista vastuu on taas rekisterinpitäjällä. Rekisterinpitäjä voi tosin keventää omaa taakkaansa jossain määrin sopimuksilla alihankkijan kanssa, mutta lopullista vastuutaan hän ei voi kiertää.
Euroopan unionin tai talousalueen ulkopuolella henkilötietoja saa siirtää ja käsitellä vain, jos käsittelymaassa taataan tietosuojan riittävä taso.
Artikkelissa tuli hyvin esille se, että henkilötietojen tallentaminen pilveen on aina turvallisuusriski ja rekisterinpitäjän on syytä olla varovainen siirtäessään tietoja verkkoon. Pilvipalvelujen omistajasta ei välttämättä ole varmaa tietoa, jonka nojalla tiedot voivat joutua vääriin käsiin.
Itse artikkelin ja tietojen perusteella mitä löysin, voi vastauksena kysymykseen sanoa: pilvipalveluita voi käyttää, mutta henkilötietojen tallentaminen pilveen on aina suuri riski. Tiedostojen, kuvien ja videoiden tallentaminen pilveen on aina hyvä varmuuskopio, mutta 100 % varmuutta ei ole pilvipalvelujen toimivuudesta ja siitä, voivatko tiedostot kadota bittiavaruuteen ikuisiksi ajoiksi.
Artikkelin osoite: https://www.tietosuoja-lehti.fi/index.php?mid=2&pid=32&aid=3361
Lähteet:
http://www.tietosuoja.fi/fi/index/useinkysyttya.html
http://www.tietosuoja.fi/fi/index/useinkysyttya/pilvipalvelut.html
http://www.sulava.com/2012/04/pilvipalvelut-kymmenen-kysymysta-joita-et-ole-koskaan-kehdannut-kysya/
