Digitalisaation myötä pilvipalvelut ovat tulleet yhä keskeisemmäksi osaksi jokaisen arkipäivää. Pilvipalvelut tarjoavat joustavuutta, skaalautuvuutta ja tehokkuutta, mutta herättävät samalla kysymyksiä yksityisyyden suojasta. Tietosuoja ei ole este pilvipalveluiden käytölle, vaan yksi huomioitava asia muiden joukossa. Yksin näiden kysymysten kanssa ei tarvitse olla, sillä tietyt asiat toistuvat hankinnasta riippumatta.
Ensimmäinen askel kohti pilvipalvelujen tietosuojan varmistamista on valita luotettava palveluntarjoaja. On tärkeää tehdä taustatutkimusta ja varmistaa, että palveluntarjoaja noudattaa alan parhaita käytäntöjä ja lainsäädäntöä, kuten EU:n yleistä tietosuoja-asetusta (GDPR). Tietojen käsittelyn ja siirron turvaaminen ovat keskeisiä kysymyksiä.
Hyvä hankinnan suunnittelu ja valmistelu antavat hyvän pohjan varsinaisille sopimusneuvotteluille ja sitä kautta hyvin toimivalle palvelulle. Sopimuksin ja hallinnollisilla menettelyillä pystytään turvaamaan osa palvelusta, mutta teknisillä ratkaisuilla on myös tärkeä rooli tietosuojassa. Kaksivaiheinen tunnistautuminen, salaus, pääsynhallinta ja lokienhallinta ovat muutamia esimerkkejä teknisistä ratkaisuista. Moni yhdistää nämä tietoturvaan ja näin onkin, tietosuojaa toteutetaan hyvin pitkälle tietoturvan keinovalikoimalla.
Valtiovarainministeriö ja DigiFinland julkaisivat yhdessä pilvipalveluiden tietosuojahankkeen (Cirrus) teknisen oppaan tässä kuussa. Lisää tukimateriaalia laaditaan parhaillaan. Tämän lisäksi neuvottelemme neljän kansainvälisen pilvitoimijan kanssa julkisen hallinnon tietosuojaehdoista. Cirrus-hankkeen etenemisestä ja tuloksista viestitään lisää toukokuun aikana.
Kirsi Janhunen
Kehityspäällikkö, Cirrus-projektipäällikkö
DigiFinland