Pilvipalvelut ja henkilötiedot Titta Penttilä Senior information security manager Group Security, TeliaSonera
Muuttuva toimintaympäristö Alihankinta, pilvipalvelut Yleisen tietoisuuden ja kiinnostuksen lisääntyminen Sääntely ja sanktiot Tiedon arvon ja laadun korostuminen Tiedon määrän ja käsittelyn valtava kasvu Tietosuoja Lainsäädännön vaatimusten tiukkeneminen ja sanktiot Riskit ja uhat Uhat ja toimintaympäristön haasteet 2
Lainsäädäntö on teknologianeutraalia Pilvipalveluita koskevat samat säännöt kuin muutakin henkilötietojen käsittelyä Pilvipalveluiden haasteita tietosuojan kannalta Pilvet ylittävät rajat henkilötietojen käsittelystä on tullut maailmanlaajuista, mutta lait ovat kansallisia Kontrollin ja avoimuuden puute Monimutkaiset ja dynaamiset alihankintaketjut Käsitellään erittäin suuria määriä tietoa Vakiosopimusehdot 3
Käsitteet ja roolit Asiakas Henkilötieto Tieto, joka voidaan tunnistaa tiettyä henkilöä/hänen perhettä koskevaksi. Henkilötietojen siirto Pilvipalveluntarjoaja Rekisterinpitäjä (controller) Oikeus määrätä tietojen käytöstä ( omistaja ) Vastaa lainsäädännön noudattamisesta Sovellettava laki Käsittelijä (processor) Käsittelee henkilötietoja rekisterinpitäjän lukuun ja tämän ohjeiden mukaan Tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi 4
Henkilötietojen siirron juridiset edellytykset Henkilötietojen käsittelyn laillisuus (Henkilötietolaki) Huolellisuus Suunnittelu Käyttötarkoitussidonnaisuus Laillisuus Tarpeellisuus Virheettömyys Avoimuus Suojaaminen (Tietoturva) Erityislakien vaatimukset (esim. Sähköisen viestinnän tietosuojalaki) EU/ETA ja Komission hyväksymät maat Data transfer agreement Henkilötietolaki: annettava asianmukaiset selvitykset ja sitoumukset Muut maat Tarvitaan erityisiä takeita tietosuojan tasosta Esim. Komission vakiosopimuslausekkeet 5
Suunnittelu ja riskianalyysi Mitä henkilötietoja ollaan siirtämässä? Missä tiedot tulevat sijaitsemaan? Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy? Mikä on kyseisten tietojen merkitys yhtiön kannalta? Uhat ja riskit? Business case? 6
Pilvipalveluntarjoajan arviointi Asianmukainen tietoturvantaso Tekniset ja organisatoriset toimet Todentaminen Sertifikaatit esim. ISO 27001 Auditointi Kyvykkyys vastata vaatimuksiin Oikeudelliset sanktiot ja vahingonkorvaukset Mahdollisuus vaikuttaa tarjottavaan palveluun ja sopimusehtoihin Alihankkijat, tietojen sijainti 7
Sopimus henkilötietojen näkökulmasta Oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan Noudatettava soveltuvaa lainsäädäntöä Varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi Avustettava rekisterinpitäjää lakisääteisten velvollisuuksien hoitamisessa Tietojen sijainti Siirto EU/ETA:n ulkopuolelle? Komission vakiosopimuslausekkeet 8
Sopimus henkilötietojen näkökulmasta Osapuolten roolit, vastuut ja velvollisuudet Salassapitolauseke Alihankkijat ja velvollisuus sisällyttää samat velvoitteet alihankintasopimuksiin Rikkomuksista ja uhista ilmoittaminen Auditointi- ja tiedonsaantioikeus Sanktiot Sopimuksen päättymisen seuraukset 9
Yhteenveto Samat pelisäännöt kuin normaaleissa alihankintatilanteissa Erityiset pilvipalveluiden luonteesta johtuvat riskit huomioitava Osana yrityksen hankintaprosessia ja alihankkijoiden hallintaa Sopimus ja auditoinnit Tekemisen voi ulkoistaa, mutta ei vastuuta Pilvi ei välttämättä sovi kaikelle tiedolle 10
Kysymyksiä? Kommentteja? Kokemuksia? Ajatuksia? KIITOS! Titta Penttilä OTK, CIPP/E Senior information security manager, TeliaSonera titta.penttila@teliasonera.com fi.linkedin.com/in/tpenttila 11
Lukuvinkkejä ENISA: Cloud Computing, Benefits, risks and recommendations for information security, November 2009 WP 29 (Article 29 Data Protection Working Party): Opinion 05/2012 on Cloud Computing, WP 196, July 2012 sonera_security twitter.com/sonera_security International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and Data Protection Issues Sopot Memorandum, April 2012 Council of Europe: Handbook on European data protection law (2014) Lisätietoa valmisteilla olevasta EU:n tietosuoja-asetuksesta: EU Commission EU data protection reform http://ec.europa.eu/justice/data-protection/ 12