Keväällä 2022 käynnistynyt Cirrus-hanke kehittää pilvipalveluiden tietosuojaa
Cirruksen tavoitteena on nopeuttaa julkishallinnon pilvisiirtymää vähentämällä ja poistamalla julkipilvipalveluiden tietosuojaan liittyviä riskejä sekä luomalla julkishallinnon vaatimuksiin yhteensovitetut toimintamallit. Cirrusta ohjaa ja rahoittaa valtiovarainministeriö. Hankkeen sidosryhmiin kuuluu laajasti suomen julkisen sektorin toimijoita. DigiFinland vastaa hankkeen hallinnoinnista ja koordinoi työtä.
Cirrus käynnistyi keväällä 2022 ja kestää vuoden 2023 loppuun (optio 2024). Hankkeen ensimmäisessä vaiheessa keskityttiin kartoittamaan pilvipalveluiden tietosuojaan liittyviä konkreettisia muutostarpeita kansallisen kartoituksen avulla. Kartoituksen analyysissa teemoiksi nousivat muun muassa lokalisaatioon liittyvät vaatimukset, sisäänrakennettu ja oletusarvoinen tietosuoja sekä toimijoiden roolit, vastuut ja velvollisuudet.
Analyysin johtopäätöksenä tunnistettiin, että julkisten pilvipalveluiden ja tietosuojan haasteita tulee tarkastella kokonaisvaltaisesti eikä pelkästään juridisesta näkökulmasta. Tämän vuoksi hankkeessa hyödynnetään tietosuojan hallintamallia. Julkisen sektorin tietosuojan osaamista tulee kehittää merkittävästi, jotta pilvisiirtymää voidaan edistää. Lisäksi julkisen sektorin tietosuojan tulkinnoissa on toimialakohtaista vaihtelua.
Hankepäällikkö Anssi Virtanen (DigiFinland) ja tietosuojavastaava Aapo Immonen (Valtori) osallistuivat marraskuussa Brysselissä IAPP-konferenssiin ja tapasivat Euroopan komission edustajia aiheen tiimoilta. Tapaamisessa vahvistui käsitys siitä, että EU-tasolla jäsenvaltioiden yhteistyö ratkaisuvaihtoehtojen etsimiseksi on vähäistä. Lisäksi tiedonsiirtoon ja pilvipalveluiden käyttöön liittyvä EU-tason sääntely-ympäristö ja tulkinnat kehittyvät nopeasti. Muun muassa seuraavissa kokonaisuuksissa tapahtuu muutosta: Privacy Shieldin, European Cloud Cybersecurity Certification Scheme (EUCS) sekä Data Act.
Tukeakseen Cirruksen toimintaa ja kehittämistä DigiFinland kilpailutti tutkimus- ja analytiikkapalvelut sekä näihin liittyvät konsultointipalvelut Hansel Oy:n hankintajärjestelmän kautta. Toimittajaksi valikoitui Gartner Finland Oy, joka täyttää hankkeen edellyttämän toimittajariippumattomuuden. Nyt Cirruksessa ollaan ensimmäisen vaiheen loppupuolella, aloittamassa vuoropuhelua pilvitoimittajien kanssa esiin nousseista teemoista. Gartnerin tehtävänä on ensisijaisesti tarjota tukea näissä vuoropuheluissa ja niitä seuraavissa neuvotteluissa.