Pilvipalvelut
Lainsäädäntö ja sopimukset
Tomi Järvinen 31.01.2012 Aalto yliopiston IT Lähteinä käytetty: Erkko Korhonen, SFS ry esitys 18.11.2010 Arto Linnervuo ja Eija Warma , IDC’s Security Conference 21.9.2010
PILVIPALVELUT YLEISTÄ
Pilvipalvelut ovat paikasta riippumattomia verkon kautta käytettäviä palveluja, joissa
organisaation tai yksityisen henkilön tarvitsemat sovellukset sijaitsevat ”pilvessä” eli
esim. palveluntarjoajan palvelimilla.
Yliopiston käytössä tärkeimmät pilvipalveluiden ominaisuudet ovat dynaamisuus,
nopea resurssien allokointi ja kustannusten muodostuminen todellisen käytön
mukaan. Tyypillisimpiä palveluita ovat vuokratut ohjelmistot, ohjelmistoihin kuuluvat
sovelluspalvelut ja alustat sekä dynaamiset palvelininstanssit.
Yksityishenkilöille tyypillisimpiä pilvipalveluita ovat sosiaalisen median palvelut kuten
Facebook, Twitter tai Gmail.
26.1.2012 2
PILVIPALVELUT – MIKÄ PILVI?
"Pilvipalvelu" terminä on käsite tai kielikuva, jolla tarkoitetaan verkon kautta
käytettäviä palveluita. Toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita
Yliopiston kannalta palveluiden ominaisuuksista ja myyntitavoista aiheutuu uusia
haasteita liittyen lainsäädäntöön ja sopimuksiin.
Tyypillinen pilvipalvelu on:
•dynaaminen (hinnoittelu sekä tekninen)
•käyttö paikasta riippumatonta
•palvelulähtöinen toimintamalli
•maantieteellisesti hajautettu
Accenture:
”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden
dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”.
Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille.
26.1.2012 3
PILVIPALVELUIDEN HAASTEET
Pilvipalveluiden merkittävimmät haasteet asiakkaalle
• sopimusriskit
• tietoturvakysymykset
•auditointi, tietovuoto, poikkeamat, tunnusten hallinta, jaettu alusta..
• toimittajien luotettavuus
•lukematon määrä ylläpitäjiä ja alihankkijoita
Päätös pilvipalvelun käyttöönotosta Aalto-yliopistossa tulee perustua
riskienhallintaprosessiin ja periaatteisiin, jotka pohjautuvat tiedon luokitteluun
luottamuksellisuuden ja eheyden sekä viranomaisvaatimusten perusteella
• Ehkäpä hankalin, PowerPointin aihe, lainsäädäntö ja sopimukset
26.1.2012 4
LAINSÄÄDÄNTÖ
Pilvipalveluiden käyttöön liittyvät haasteet juridisesta tai direktiivien näkökulmasta
1. ei ole juurikaan ennakkotapauksia, jotain kuitenkin*
2. muutoksia lainsäädäntöön on vasta valmisteilla, jotain kuitenkin**
3. nykyinen lainsäädäntö on vaikeasti sovellettavissa pilvipalveluihin:
• tietosuoja: henkilötietojen käsittelyä ja siirtoa koskevat kysymykset,
• palvelun tietoturva
• sopimusoikeudelliset vastuu- ja muut kysymykset
• liikesalaisuuksien suoja ja toimittajan oikeus hyödyntää palvelun dataa
* GoogleApps vs. Tanskan tietosuojaviranomainen:
http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution/
**EU Commission draft, new ”EU General Data Protection Regulation and Directive” (korvaa 95/46)
1.2.2012 5
LAINSÄÄDÄNTÖ
Soveltuva tietosuojalainsäädäntö
Henkilötietolaki (523/1999) soveltuu, kun: •rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön
piirissä
• jos sama rekisterinpitäjä on sijoittautunut myös muun EU/ETA:n jäsenvaltion kuin Suomen
alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin
toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita
• toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja
vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta…
•rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta
rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin
tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin
nimettävä Suomessa oleva edustaja.
sovellettuna pilvipalveluihin: •Suomalaiseen rekisterinpitäjään sovelletaan Suomen tietosuojalainsäädäntöä huolimatta
käsittelijän (=palveluntarjoajan) kotipaikasta
•käytettäessä Suomen alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” Suomessa. (käsittelijää) -> Suomen
tietosuojalainsäädäntö soveltuu myös käsittelijään
•käytettäessä EU/ETA:n alueella sijaitsevaa palvelua, järjestelmä tai ”teknologia” EU/ETA alueella (käsittelijää) -> kyseisen
jäsenvaltion tietosuojalainsäädäntö soveltuu
1.2.2012 6
LAINSÄÄDÄNTÖÄ
Tietosuoja, Suomessa perustuslaillinen oikeus!
Perustuslain 7 §
Yksityisyyden suoja liittyy jokaisen oikeuteen henkilökohtaiseen vapauteen ja koskemattomuuteen
Yksityisyyden suoja kattaa fyysisen vapauden lisäksi tahdon vapauden ja itsemääräämisoikeuden (Tämä koskee myös ihmisten tietoa, tieto-omaisuutta)
Suomen perustuslaki 10 §:
"Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton”
2008 Suomi joutui ihmisoikeustuomioistuimeen koska ei voitu osoittaa
lokitiedoista kuka oli syyllinen (nettiin oli ladattu yksityisen henkilön
arkaluontoista materiaalia)
Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä
allekirjoituksista (617/2009):
palvelun käyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset
palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa
Henkilötietolaki 22.4.1999/523
”Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta”
1.2.2012 7
LAINSÄÄDÄNTÖ
Sovellettava laki
•mikäli sopimuksessa ei ole määritelty sovellettavaa lakia pätee
usein ”Rooma 1” asetus (EY) No 593/2008
– palvelun suorittamista koskevaan sopimukseen sovelletaan sen maan lakia,
jossa palvelunsuorittajan asuinpaikka on (4 (1) (b) artikla)
– sopimus laitteiston tai ohjelmiston online-käytöstä
• jos sopimus ei kuulu 1 kohdan piiriin tai jos sopimuksen osiot kuuluisivat
useamman kuin yhden 1 kohdan a–h alakohdan piiriin,
– sopimukseen sovelletaan sen maan lakia, jossa on sen osapuolen
asuinpaikka, joka vastaa sopimuksen luonteenomaisesta suorituksesta (4
(2) artikla)
• palveluntarjoajan valtion lakia sovelletaan
26.1.2012 8
”Rekisterinpitäjä” tai ”Henkilötietojen käsittelijä”
rekisterinpitäjä:
• osapuoli, joka määrittelee materiaalin käsittelyn tarkoituksen ja keinot
•henkilötietojen käsittelijä, ainoastaan sopimukseen perustuva vastuu
palveluntarjoaja
Erottelu on tärkeä pilvipalvelun vastuunjaon kannalta!
•Henkilötietolain mukaan rekisterinpitäjä on vastuussa, mutta voi ulkoistaa
henkilötietojen käsittelyn, jolloin kolmas osapuoli käsittelee henkilötietoja
rekisterinpitäjän lukuun.
•rekisterinpitäjän tulee turvata rekisteröityjen oikeudet sopimusteitse
•rekisterinpitäjällä on ilmoitusvelvollisuus Tietosuojavaltuutetulle jos henkilötietojen
käsittely ulkoistetaan. (toimintailmoitus)
1.2.2012 9
TIETOSUOJASTA
•molemmat, asiakas ja erityisesti palveluntarjoaja, määrittelevät
henkilötietojen käsittelyn perusteet
•lakisääteinen olettama on, että rekisterinpitäjä yksin vastaa henkilötietojen
käsittelystä
•pilvipalveluiden tarkoituksena on vähentää suoraa kontrollia, kun
taas lainsäädäntö edellyttää, että rekisterinpitäjä kontrolloi
henkilötietojen käsittelyä
•tietojen siirtämiseen liittyvät kysymykset, rekisterinpitäjän tulee tietää, missä tiedot
sijaitsevat.
• Henkilötietoja saa siirtää EU:n ulkopuolelle, mikäli riittävä tietosuojan taso pystytään
takaamaan – ”adequate level of protection” (mm. Argentiina, Canada, Sveitsi, pian
Israel)
26.1.2012 10
MATERIAALIN SIIRTO
Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle Periaate:
• Henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä
kolmannessa maassa taataan riittävä tietosuojan taso
• Näitä maita ei käytännössä ole montaa, mm. Kanada, Sveitsi (2001/497/EC)
• Poikkeuksia mm:
– rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon;
– siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen
sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi
rekisteröidyn pyynnöstä;
– siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen
sopimuksen tekemiseksi tai täytäntöön panemiseksi;
– siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;
– Siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen
laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi;
– rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden
yksityisyyden ja oikeuksien suojasta;
– siirto tapahtuu Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen
26.1.2012 11
MATERIAALIN SIIRTO
Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle
•käytä silti pilvipalveluntarjoajaa, jonka Palvelu (teknologia, fyysinen sijainti) on
sijoitettu EU/ETA:n alueelle, tai
•sopimuksessa pilvipalveluntarjoajan kanssa
olisi hyvä käyttää komission hyväksymiä mallilausekkeita
(EU Standard Contractual Clause*)
•lausekkeista löytyy sopimuksiin hyviä esimerkkejä
• käytä vain USA – Safe Harbor sertifioituja yrityksiä, (lista Safe Harbor yrityksistä)
*Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES
1.2.2012 12
SOPIMUKSET
Sopimuskysymykset
•sopimukset ovat yhtä tärkeitä (tai tärkeämpiä) kuin missä tahansa perinteisessä IT-
ratkaisussa
•ohjelmistolisenssi vai ohjelmiston vuokraus
•ulkoistussopimus
•palvelusopimus yhdessä palvelutasosopimuksen (SLA) kanssa
•Muista huomioida alihankinta
26.1.2012 13
SOPIMUSTEN LUOKITTELU
Sopimusten oikeudellinen luokittelu.
Pilvipalveluissa voidaan käyttää eri sopimustyyppejä, sen takia niihin
voidaan soveltaa useata eri pakottavaa lakia
Vuokrasopimus soveltuu, jos esimerkiksi:
• ohjelmistojen online käyttö
• Saksan liittovaltion tuomioistuimessa käytetty nimitystä:
application service providing (ASP) -> vuokrasopimus
• verkkosovellukset pilvipalveluna samaistettavissa
ASP:iin
• laitteiston online-käyttö (esim. Palvelininstanssi)
• varastotilan online-käyttö (esim. tallennustilaa)
26.1.2012 14
PALVELUSOPIMUS
Palvelusopimus soveltuu, jos kyseessä esimerkiksi :
• materiaalin arkistointipalvelu
• materiaalin varastointipalvelu
• sovelluksien hallintapalvelu
• tiedon varastointipalvelu
• tukipalvelu
• ylläpitopalvelut
26.1.2012 15
Pohdittavaa
• useat pilvipalvelut tarjoavat matalan kynnyksen sisäänpääsyyn
sekä helpottavat palvelun mitoittamismahdollisuuksia
• useimmat tarjolla olevat pilvipalvelusopimukset
rajoittavat palveluntarjoajan vastuuta niin, ettei se ole
missään suhteessa mahdolliseen riskiin
• pilvipalvelusopimukset vastaavat tyypillisesti ohjelmistolisenssejä,
vaikka mahdolliset riskit ovatkin paljon suurempia
• Vendor lock-in, toimittajariippuvuus
– myyjällä ei ole lakiin perustuvaa velvollisuutta tarjota
tiedonsiirtopalvelua, jos halutaan vaikka siirtää palvelu
-> Huomioitava sopimuksessa
• Yksipuoliset purkamismahdollisuudet
– pilvipalveluiden tarjoaja varaa usein yksipuolisen oikeuden
palvelusopimuksen irtisanomiseen
1.2.2012 16
SOPIMUKSIIN MUKAAN
Sopimuksiin tulee sisällyttää
• tarkastus- / auditointioikeus*
• monet sopimukset säätävät tarkastuksesta, joka pitää sisällään
fyysisen tarkastuksen
• miten säädöksiä sovelletaan kun pilvipalvelut
maantieteellisesti hajautettuja?
• kirjanpitolaki ja aineiston säilyttäminen
• sovellettava laki ja toimivaltainen tuomioistuin
• mikäli oikeudenkäynti tapahtuu kotivaltion ulkopuolella voi
oikeudenkäynti tulla kohtuuttoman kalliiksi
• huomioitava palveluntarjoajan mahdollinen konkurssi
Pilvipalveluiden tarjoajien kanssa tulee sopimuksiin sisällyttää asioita, jotka eivät useinkaan
sisälly standardisopimusehtoihin. Niin ikään on tärkeää motivoida sopimuskumppani täyttämään
velvollisuutensa.
*Auditointi, Tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen puolueeton taho.
26.1.2012 17
ASIAKAS VS TOIMITTAJA
Toimittaja haluaa tarjota:
• yhtenäistetyt palvelut
• mahdollisimman pitkä sopimus
• dynaaminen nopea hinnantarkistus
• pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja
Asiakas toivoo
•räätälöitävät, helposti muokattavat ratkaisut
•varmuus mutta joustavuus ja irtisanomismahdollisuus. Helppo
palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu.
•vakaa hinnoittelu,
•palvelutasosopimuksen (SLA) turvaama käyttö ja sovittu palvelutaso
26.1.2012 18
HUOMIOI!
Sopimuksissa on aina huomioitava , tapauskohtaisesti roolit ja vastuut
•aina lakimieskonsultaatio
•selkeä palvelukuvaus
• (SLA) palvelutaso
• kirjallisesti ja tarkat sanktiot.
• rajapintojen määritelmät
• Materiaalin erottelu pilvessä muiden asiakkaiden materiaalista
• auditointi- ja tarkastusoikeus
• alueelliset rajoitukset
• vaatimusmäärittely, ydinkohdat esim. tiedon palauttaminen, omistajuus
• tietojen siirto/palautus ”vendor lock-in” välttämiseksi
• neuvottele riittävä siirtymäaika
• sovellettavat lait ja lainkohdat
• hinnoittelu
• sopimustyyppi, varo takuuehtojen poikkeuksia, hinnan muutokset
26.1.2012 19
SUMMA SUMMARUM
MUISTA VIELÄ
• SLA – ylläpitotaso
• auditointi, tarkistetaan palvelun turvallisuus ja toiminta.
• vastuu henkilötietojen käsittelystä on AINA rekisterinpitäjällä
• voidaanko soveltaa standardeja (turvallisuus-, laatu- tai teknisiä)
• kenellä pääsy/omistus -> huomioi myös alihankinta
• materiaalin maantieteellinen sijainti
• ”Force majeure” määrittely
• palvelun lopetus- tai siirtomahdollisuus
• hinnantarkistus kesken sopimuskauden
26.1.2012 20
PILVIPALVELUT
Linkkejä
•Julkisuuslaki(JulkL, 621/1999)
•Henkilötietolaki (HetiL, 523/1999)
•Sähköisen viestinnän tietosuojalaki (SVTSL, 516/2004)
•Tekijänoikeuslaki (404/1961)
•(EY) No 593/2008 Sopimusvelvoitteisiin soveltuva asetus
•Henkilötietolain mukainen ilmoitusvelvollisuus
•EU:n päätös henkilötietojen siirto kolmansiin maihin, Asiaa tietosuojasta 1/2005
•Luonnos valtion ICT-hankintojen tietoturvaohjeeksi
•U.S.-EU & U.S.-Swiss Safe Harbor Frameworks
•Cloud Computing Contracts, (Educause)
•Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES
31.1.2012 21
PILVIPALVELUT
Yhteystietoja
IT-asiakkuuspäälliköt
http://www.aalto.fi/fi/about/contact/services/#it
Hankinta https://inside.aalto.fi/display/talouspalvelut/Hankintojen+ohjeistus
Tietoturva
IT
https://servicedesk.aalto.fi
Pilvipalveluiden Wiki-sivut
26.1.2012 22
Kiitos!
26.1.2012 23