Pilvipalvelut

Lainsäädäntö ja sopimukset

Tomi Järvinen 31.01.2012 Aalto yliopiston IT Lähteinä käytetty: Erkko Korhonen, SFS ry esitys 18.11.2010 Arto Linnervuo ja Eija Warma , IDC’s Security Conference 21.9.2010

PILVIPALVELUT YLEISTÄ

Pilvipalvelut ovat paikasta riippumattomia verkon kautta käytettäviä palveluja, joissa

organisaation tai yksityisen henkilön tarvitsemat sovellukset sijaitsevat ”pilvessä” eli

esim. palveluntarjoajan palvelimilla.

Yliopiston käytössä tärkeimmät pilvipalveluiden ominaisuudet ovat dynaamisuus,

nopea resurssien allokointi ja kustannusten muodostuminen todellisen käytön

mukaan. Tyypillisimpiä palveluita ovat vuokratut ohjelmistot, ohjelmistoihin kuuluvat

sovelluspalvelut ja alustat sekä dynaamiset palvelininstanssit.

Yksityishenkilöille tyypillisimpiä pilvipalveluita ovat sosiaalisen median palvelut kuten

Facebook, Twitter tai Gmail.

26.1.2012 2

PILVIPALVELUT – MIKÄ PILVI?

"Pilvipalvelu" terminä on käsite tai kielikuva, jolla tarkoitetaan verkon kautta

käytettäviä palveluita. Toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita

Yliopiston kannalta palveluiden ominaisuuksista ja myyntitavoista aiheutuu uusia

haasteita liittyen lainsäädäntöön ja sopimuksiin.

Tyypillinen pilvipalvelu on:

•dynaaminen (hinnoittelu sekä tekninen)

•käyttö paikasta riippumatonta

•palvelulähtöinen toimintamalli

•maantieteellisesti hajautettu

Accenture:

”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden

dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”.

Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille.

26.1.2012 3

PILVIPALVELUIDEN HAASTEET

Pilvipalveluiden merkittävimmät haasteet asiakkaalle

• sopimusriskit

• tietoturvakysymykset

•auditointi, tietovuoto, poikkeamat, tunnusten hallinta, jaettu alusta..

• toimittajien luotettavuus

•lukematon määrä ylläpitäjiä ja alihankkijoita

Päätös pilvipalvelun käyttöönotosta Aalto-yliopistossa tulee perustua

riskienhallintaprosessiin ja periaatteisiin, jotka pohjautuvat tiedon luokitteluun

luottamuksellisuuden ja eheyden sekä viranomaisvaatimusten perusteella

• Ehkäpä hankalin, PowerPointin aihe, lainsäädäntö ja sopimukset

26.1.2012 4

LAINSÄÄDÄNTÖ

Pilvipalveluiden käyttöön liittyvät haasteet juridisesta tai direktiivien näkökulmasta

1. ei ole juurikaan ennakkotapauksia, jotain kuitenkin*

2. muutoksia lainsäädäntöön on vasta valmisteilla, jotain kuitenkin**

3. nykyinen lainsäädäntö on vaikeasti sovellettavissa pilvipalveluihin:

• tietosuoja: henkilötietojen käsittelyä ja siirtoa koskevat kysymykset,

• palvelun tietoturva

• sopimusoikeudelliset vastuu- ja muut kysymykset

• liikesalaisuuksien suoja ja toimittajan oikeus hyödyntää palvelun dataa

* GoogleApps vs. Tanskan tietosuojaviranomainen:

http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution/

**EU Commission draft, new ”EU General Data Protection Regulation and Directive” (korvaa 95/46)

1.2.2012 5

LAINSÄÄDÄNTÖ

Soveltuva tietosuojalainsäädäntö

Henkilötietolaki (523/1999) soveltuu, kun: •rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön

piirissä

• jos sama rekisterinpitäjä on sijoittautunut myös muun EU/ETA:n jäsenvaltion kuin Suomen

alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin

toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita

• toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja

vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta…

•rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta

rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin

tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin

nimettävä Suomessa oleva edustaja.

sovellettuna pilvipalveluihin: •Suomalaiseen rekisterinpitäjään sovelletaan Suomen tietosuojalainsäädäntöä huolimatta

käsittelijän (=palveluntarjoajan) kotipaikasta

•käytettäessä Suomen alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” Suomessa. (käsittelijää) -> Suomen

tietosuojalainsäädäntö soveltuu myös käsittelijään

•käytettäessä EU/ETA:n alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” EU/ETA alueella (käsittelijää) -> kyseisen

jäsenvaltion tietosuojalainsäädäntö soveltuu

1.2.2012 6

LAINSÄÄDÄNTÖÄ

Tietosuoja, Suomessa perustuslaillinen oikeus!

Perustuslain 7 §

Yksityisyyden suoja liittyy jokaisen oikeuteen henkilökohtaiseen vapauteen ja koskemattomuuteen

Yksityisyyden suoja kattaa fyysisen vapauden lisäksi tahdon vapauden ja itsemääräämisoikeuden (Tämä koskee myös ihmisten tietoa, tieto-omaisuutta)

Suomen perustuslaki 10 §:

"Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton”

2008 Suomi joutui ihmisoikeustuomioistuimeen koska ei voitu osoittaa

lokitiedoista kuka oli syyllinen (nettiin oli ladattu yksityisen henkilön

arkaluontoista materiaalia)

Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä

allekirjoituksista (617/2009):

palvelun käyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset

palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa

Henkilötietolaki 22.4.1999/523

”Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta”

1.2.2012 7

LAINSÄÄDÄNTÖ

Sovellettava laki

•mikäli sopimuksessa ei ole määritelty sovellettavaa lakia pätee

usein ”Rooma 1” asetus (EY) No 593/2008

– palvelun suorittamista koskevaan sopimukseen sovelletaan sen maan lakia,

jossa palvelunsuorittajan asuinpaikka on (4 (1) (b) artikla)

– sopimus laitteiston tai ohjelmiston online-käytöstä

• jos sopimus ei kuulu 1 kohdan piiriin tai jos sopimuksen osiot kuuluisivat

useamman kuin yhden 1 kohdan a–h alakohdan piiriin,

– sopimukseen sovelletaan sen maan lakia, jossa on sen osapuolen

asuinpaikka, joka vastaa sopimuksen luonteenomaisesta suorituksesta (4

(2) artikla)

• palveluntarjoajan valtion lakia sovelletaan

26.1.2012 8

”Rekisterinpitäjä” tai ”Henkilötietojen käsittelijä”

rekisterinpitäjä:

• osapuoli, joka määrittelee materiaalin käsittelyn tarkoituksen ja keinot

•henkilötietojen käsittelijä, ainoastaan sopimukseen perustuva vastuu

palveluntarjoaja

Erottelu on tärkeä pilvipalvelun vastuunjaon kannalta!

•Henkilötietolain mukaan rekisterinpitäjä on vastuussa, mutta voi ulkoistaa

henkilötietojen käsittelyn, jolloin kolmas osapuoli käsittelee henkilötietoja

rekisterinpitäjän lukuun.

•rekisterinpitäjän tulee turvata rekisteröityjen oikeudet sopimusteitse

•rekisterinpitäjällä on ilmoitusvelvollisuus Tietosuojavaltuutetulle jos henkilötietojen

käsittely ulkoistetaan. (toimintailmoitus)

1.2.2012 9

TIETOSUOJASTA

•molemmat, asiakas ja erityisesti palveluntarjoaja, määrittelevät

henkilötietojen käsittelyn perusteet

•lakisääteinen olettama on, että rekisterinpitäjä yksin vastaa henkilötietojen

käsittelystä

•pilvipalveluiden tarkoituksena on vähentää suoraa kontrollia, kun

taas lainsäädäntö edellyttää, että rekisterinpitäjä kontrolloi

henkilötietojen käsittelyä

•tietojen siirtämiseen liittyvät kysymykset, rekisterinpitäjän tulee tietää, missä tiedot

sijaitsevat.

• Henkilötietoja saa siirtää EU:n ulkopuolelle, mikäli riittävä tietosuojan taso pystytään

takaamaan – ”adequate level of protection” (mm. Argentiina, Canada, Sveitsi, pian

Israel)

26.1.2012 10

MATERIAALIN SIIRTO

Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle Periaate:

• Henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä

kolmannessa maassa taataan riittävä tietosuojan taso

• Näitä maita ei käytännössä ole montaa, mm. Kanada, Sveitsi (2001/497/EC)

• Poikkeuksia mm:

– rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon;

– siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen

sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi

rekisteröidyn pyynnöstä;

– siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen

sopimuksen tekemiseksi tai täytäntöön panemiseksi;

– siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;

– Siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen

laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi;

– rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden

yksityisyyden ja oikeuksien suojasta;

– siirto tapahtuu Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen

26.1.2012 11

MATERIAALIN SIIRTO

Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle

•käytä silti pilvipalveluntarjoajaa, jonka Palvelu (teknologia, fyysinen sijainti) on

sijoitettu EU/ETA:n alueelle, tai

•sopimuksessa pilvipalveluntarjoajan kanssa

olisi hyvä käyttää komission hyväksymiä mallilausekkeita

(EU Standard Contractual Clause*)

•lausekkeista löytyy sopimuksiin hyviä esimerkkejä

• käytä vain USA – Safe Harbor sertifioituja yrityksiä, (lista Safe Harbor yrityksistä)

*Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES

1.2.2012 12

SOPIMUKSET

Sopimuskysymykset

•sopimukset ovat yhtä tärkeitä (tai tärkeämpiä) kuin missä tahansa perinteisessä IT-

ratkaisussa

•ohjelmistolisenssi vai ohjelmiston vuokraus

•ulkoistussopimus

•palvelusopimus yhdessä palvelutasosopimuksen (SLA) kanssa

•Muista huomioida alihankinta

26.1.2012 13

SOPIMUSTEN LUOKITTELU

Sopimusten oikeudellinen luokittelu.

Pilvipalveluissa voidaan käyttää eri sopimustyyppejä, sen takia niihin

voidaan soveltaa useata eri pakottavaa lakia

Vuokrasopimus soveltuu, jos esimerkiksi:

• ohjelmistojen online käyttö

• Saksan liittovaltion tuomioistuimessa käytetty nimitystä:

application service providing (ASP) -> vuokrasopimus

• verkkosovellukset pilvipalveluna samaistettavissa

ASP:iin

• laitteiston online-käyttö (esim. Palvelininstanssi)

• varastotilan online-käyttö (esim. tallennustilaa)

26.1.2012 14

PALVELUSOPIMUS

Palvelusopimus soveltuu, jos kyseessä esimerkiksi :

• materiaalin arkistointipalvelu

• materiaalin varastointipalvelu

• sovelluksien hallintapalvelu

• tiedon varastointipalvelu

• tukipalvelu

• ylläpitopalvelut

26.1.2012 15

Pohdittavaa

• useat pilvipalvelut tarjoavat matalan kynnyksen sisäänpääsyyn

sekä helpottavat palvelun mitoittamismahdollisuuksia

• useimmat tarjolla olevat pilvipalvelusopimukset

rajoittavat palveluntarjoajan vastuuta niin, ettei se ole

missään suhteessa mahdolliseen riskiin

• pilvipalvelusopimukset vastaavat tyypillisesti ohjelmistolisenssejä,

vaikka mahdolliset riskit ovatkin paljon suurempia

• Vendor lock-in, toimittajariippuvuus

– myyjällä ei ole lakiin perustuvaa velvollisuutta tarjota

tiedonsiirtopalvelua, jos halutaan vaikka siirtää palvelu

-> Huomioitava sopimuksessa

• Yksipuoliset purkamismahdollisuudet

– pilvipalveluiden tarjoaja varaa usein yksipuolisen oikeuden

palvelusopimuksen irtisanomiseen

1.2.2012 16

SOPIMUKSIIN MUKAAN

Sopimuksiin tulee sisällyttää

• tarkastus- / auditointioikeus*

• monet sopimukset säätävät tarkastuksesta, joka pitää sisällään

fyysisen tarkastuksen

• miten säädöksiä sovelletaan kun pilvipalvelut

maantieteellisesti hajautettuja?

• kirjanpitolaki ja aineiston säilyttäminen

• sovellettava laki ja toimivaltainen tuomioistuin

• mikäli oikeudenkäynti tapahtuu kotivaltion ulkopuolella voi

oikeudenkäynti tulla kohtuuttoman kalliiksi

• huomioitava palveluntarjoajan mahdollinen konkurssi

Pilvipalveluiden tarjoajien kanssa tulee sopimuksiin sisällyttää asioita, jotka eivät useinkaan

sisälly standardisopimusehtoihin. Niin ikään on tärkeää motivoida sopimuskumppani täyttämään

velvollisuutensa.

*Auditointi, Tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen puolueeton taho.

26.1.2012 17

ASIAKAS VS TOIMITTAJA

Toimittaja haluaa tarjota:

• yhtenäistetyt palvelut

• mahdollisimman pitkä sopimus

• dynaaminen nopea hinnantarkistus

• pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja

Asiakas toivoo

•räätälöitävät, helposti muokattavat ratkaisut

•varmuus mutta joustavuus ja irtisanomismahdollisuus. Helppo

palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu.

•vakaa hinnoittelu,

•palvelutasosopimuksen (SLA) turvaama käyttö ja sovittu palvelutaso

26.1.2012 18

HUOMIOI!

Sopimuksissa on aina huomioitava , tapauskohtaisesti roolit ja vastuut

•aina lakimieskonsultaatio

•selkeä palvelukuvaus

• (SLA) palvelutaso

• kirjallisesti ja tarkat sanktiot.

• rajapintojen määritelmät

• Materiaalin erottelu pilvessä muiden asiakkaiden materiaalista

• auditointi- ja tarkastusoikeus

• alueelliset rajoitukset

• vaatimusmäärittely, ydinkohdat esim. tiedon palauttaminen, omistajuus

• tietojen siirto/palautus ”vendor lock-in” välttämiseksi

• neuvottele riittävä siirtymäaika

• sovellettavat lait ja lainkohdat

• hinnoittelu

• sopimustyyppi, varo takuuehtojen poikkeuksia, hinnan muutokset

26.1.2012 19

SUMMA SUMMARUM

MUISTA VIELÄ

• SLA – ylläpitotaso

• auditointi, tarkistetaan palvelun turvallisuus ja toiminta.

• vastuu henkilötietojen käsittelystä on AINA rekisterinpitäjällä

• voidaanko soveltaa standardeja (turvallisuus-, laatu- tai teknisiä)

• kenellä pääsy/omistus -> huomioi myös alihankinta

• materiaalin maantieteellinen sijainti

• ”Force majeure” määrittely

• palvelun lopetus- tai siirtomahdollisuus

• hinnantarkistus kesken sopimuskauden

26.1.2012 20

PILVIPALVELUT

Linkkejä

•Julkisuuslaki(JulkL, 621/1999)

•Henkilötietolaki (HetiL, 523/1999)

•Sähköisen viestinnän tietosuojalaki (SVTSL, 516/2004)

•Tekijänoikeuslaki (404/1961)

•(EY) No 593/2008 Sopimusvelvoitteisiin soveltuva asetus

•Henkilötietolain mukainen ilmoitusvelvollisuus

•EU:n päätös henkilötietojen siirto kolmansiin maihin, Asiaa tietosuojasta 1/2005

•Luonnos valtion ICT-hankintojen tietoturvaohjeeksi

•U.S.-EU & U.S.-Swiss Safe Harbor Frameworks

•Cloud Computing Contracts, (Educause)

•Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES

31.1.2012 21

PILVIPALVELUT

Yhteystietoja

IT-asiakkuuspäälliköt

http://www.aalto.fi/fi/about/contact/services/#it

Hankinta https://inside.aalto.fi/display/talouspalvelut/Hankintojen+ohjeistus

Tietoturva

tietoturvapaallikko@aalto.fi

IT

https://servicedesk.aalto.fi

Pilvipalveluiden Wiki-sivut

26.1.2012 22

Kiitos!

26.1.2012 23