Pilvipalvelut Lainsäädäntö ja sopimukset Tomi Järvinen 31.01.2012 Aalto yliopiston IT Lähteinä käytetty: Erkko Korhonen, SFS ry esitys 18.11.2010 Arto Linnervuo ja Eija Warma, IDC s Security Conference 21.9.2010
PILVIPALVELUT YLEISTÄ Pilvipalvelut ovat paikasta riippumattomia verkon kautta käytettäviä palveluja, joissa organisaation tai yksityisen henkilön tarvitsemat sovellukset sijaitsevat pilvessä eli esim. palveluntarjoajan palvelimilla. Yliopiston käytössä tärkeimmät pilvipalveluiden ominaisuudet ovat dynaamisuus, nopea resurssien allokointi ja kustannusten muodostuminen todellisen käytön mukaan. Tyypillisimpiä palveluita ovat vuokratut ohjelmistot, ohjelmistoihin kuuluvat sovelluspalvelut ja alustat sekä dynaamiset palvelininstanssit. Yksityishenkilöille tyypillisimpiä pilvipalveluita ovat sosiaalisen median palvelut kuten Facebook, Twitter tai Gmail. 2
PILVIPALVELUT MIKÄ PILVI? "Pilvipalvelu" terminä on käsite tai kielikuva, jolla tarkoitetaan verkon kautta käytettäviä palveluita. Toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita Yliopiston kannalta palveluiden ominaisuuksista ja myyntitavoista aiheutuu uusia haasteita liittyen lainsäädäntöön ja sopimuksiin. Tyypillinen pilvipalvelu on: dynaaminen (hinnoittelu sekä tekninen) käyttö paikasta riippumatonta palvelulähtöinen toimintamalli maantieteellisesti hajautettu Accenture: Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä. Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille. 3
PILVIPALVELUIDEN HAASTEET Pilvipalveluiden merkittävimmät haasteet asiakkaalle sopimusriskit tietoturvakysymykset auditointi, tietovuoto, poikkeamat, tunnusten hallinta, jaettu alusta.. toimittajien luotettavuus lukematon määrä ylläpitäjiä ja alihankkijoita Päätös pilvipalvelun käyttöönotosta Aalto-yliopistossa tulee perustua riskienhallintaprosessiin ja periaatteisiin, jotka pohjautuvat tiedon luokitteluun luottamuksellisuuden ja eheyden sekä viranomaisvaatimusten perusteella Ehkäpä hankalin, PowerPointin aihe, lainsäädäntö ja sopimukset 4
LAINSÄÄDÄNTÖ Pilvipalveluiden käyttöön liittyvät haasteet juridisesta tai direktiivien näkökulmasta 1. ei ole juurikaan ennakkotapauksia, jotain kuitenkin* 2. muutoksia lainsäädäntöön on vasta valmisteilla, jotain kuitenkin** 3. nykyinen lainsäädäntö on vaikeasti sovellettavissa pilvipalveluihin: tietosuoja: henkilötietojen käsittelyä ja siirtoa koskevat kysymykset, palvelun tietoturva sopimusoikeudelliset vastuu- ja muut kysymykset liikesalaisuuksien suoja ja toimittajan oikeus hyödyntää palvelun dataa * GoogleApps vs. Tanskan tietosuojaviranomainen: http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution/ **EU Commission draft, new EU General Data Protection Regulation and Directive (korvaa 95/46) 1.2.2012 5
LAINSÄÄDÄNTÖ Soveltuva tietosuojalainsäädäntö Henkilötietolaki (523/1999) soveltuu, kun: rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä jos sama rekisterinpitäjä on sijoittautunut myös muun EU/ETA:n jäsenvaltion kuin Suomen alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin nimettävä Suomessa oleva edustaja. sovellettuna pilvipalveluihin: Suomalaiseen rekisterinpitäjään sovelletaan Suomen tietosuojalainsäädäntöä huolimatta käsittelijän (=palveluntarjoajan) kotipaikasta käytettäessä Suomen alueella sijaitsevaa palvelua, järjestelmä tai teknologia Suomessa. (käsittelijää) -> Suomen tietosuojalainsäädäntö soveltuu myös käsittelijään käytettäessä EU/ETA:n alueella sijaitsevaa palvelua, järjestelmä tai teknologia EU/ETA alueella (käsittelijää) -> kyseisen jäsenvaltion tietosuojalainsäädäntö soveltuu 1.2.2012 6
LAINSÄÄDÄNTÖÄ Tietosuoja, Suomessa perustuslaillinen oikeus! Perustuslain 7 Yksityisyyden suoja liittyy jokaisen oikeuteen henkilökohtaiseen vapauteen ja koskemattomuuteen Yksityisyyden suoja kattaa fyysisen vapauden lisäksi tahdon vapauden ja itsemääräämisoikeuden (Tämä koskee myös ihmisten tietoa, tieto-omaisuutta) Suomen perustuslaki 10 : "Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton 2008 Suomi joutui ihmisoikeustuomioistuimeen koska ei voitu osoittaa lokitiedoista kuka oli syyllinen (nettiin oli ladattu yksityisen henkilön arkaluontoista materiaalia) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009): palvelun käyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa Henkilötietolaki 22.4.1999/523 Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta 1.2.2012 7
LAINSÄÄDÄNTÖ Sovellettava laki mikäli sopimuksessa ei ole määritelty sovellettavaa lakia pätee usein Rooma 1 asetus (EY) No 593/2008 palvelun suorittamista koskevaan sopimukseen sovelletaan sen maan lakia, jossa palvelunsuorittajan asuinpaikka on (4 (1) (b) artikla) sopimus laitteiston tai ohjelmiston online-käytöstä jos sopimus ei kuulu 1 kohdan piiriin tai jos sopimuksen osiot kuuluisivat useamman kuin yhden 1 kohdan a h alakohdan piiriin, sopimukseen sovelletaan sen maan lakia, jossa on sen osapuolen asuinpaikka, joka vastaa sopimuksen luonteenomaisesta suorituksesta (4 (2) artikla) palveluntarjoajan valtion lakia sovelletaan 8
Rekisterinpitäjä tai Henkilötietojen käsittelijä rekisterinpitäjä: osapuoli, joka määrittelee materiaalin käsittelyn tarkoituksen ja keinot henkilötietojen käsittelijä, ainoastaan sopimukseen perustuva vastuu palveluntarjoaja Erottelu on tärkeä pilvipalvelun vastuunjaon kannalta! Henkilötietolain mukaan rekisterinpitäjä on vastuussa, mutta voi ulkoistaa henkilötietojen käsittelyn, jolloin kolmas osapuoli käsittelee henkilötietoja rekisterinpitäjän lukuun. rekisterinpitäjän tulee turvata rekisteröityjen oikeudet sopimusteitse rekisterinpitäjällä on ilmoitusvelvollisuus Tietosuojavaltuutetulle jos henkilötietojen käsittely ulkoistetaan. (toimintailmoitus) 1.2.2012 9
TIETOSUOJASTA molemmat, asiakas ja erityisesti palveluntarjoaja, määrittelevät henkilötietojen käsittelyn perusteet lakisääteinen olettama on, että rekisterinpitäjä yksin vastaa henkilötietojen käsittelystä pilvipalveluiden tarkoituksena on vähentää suoraa kontrollia, kun taas lainsäädäntö edellyttää, että rekisterinpitäjä kontrolloi henkilötietojen käsittelyä tietojen siirtämiseen liittyvät kysymykset, rekisterinpitäjän tulee tietää, missä tiedot sijaitsevat. Henkilötietoja saa siirtää EU:n ulkopuolelle, mikäli riittävä tietosuojan taso pystytään takaamaan adequate level of protection (mm. Argentiina, Canada, Sveitsi, pian Israel) 10
MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle Periaate: Henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan riittävä tietosuojan taso Näitä maita ei käytännössä ole montaa, mm. Kanada, Sveitsi (2001/497/EC) Poikkeuksia mm: rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon; siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöön panemiseksi; siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; Siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta; siirto tapahtuu Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen 11
MATERIAALIN SIIRTO Jos palvelussa siirretään materiaalia EU/ETA:n ulkopuolelle käytä silti pilvipalveluntarjoajaa, jonka Palvelu (teknologia, fyysinen sijainti) on sijoitettu EU/ETA:n alueelle, tai sopimuksessa pilvipalveluntarjoajan kanssa olisi hyvä käyttää komission hyväksymiä mallilausekkeita (EU Standard Contractual Clause*) lausekkeista löytyy sopimuksiin hyviä esimerkkejä käytä vain USA Safe Harbor sertifioituja yrityksiä, (lista Safe Harbor yrityksistä) *Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES 1.2.2012 12
SOPIMUKSET Sopimuskysymykset sopimukset ovat yhtä tärkeitä (tai tärkeämpiä) kuin missä tahansa perinteisessä ITratkaisussa ohjelmistolisenssi vai ohjelmiston vuokraus ulkoistussopimus palvelusopimus yhdessä palvelutasosopimuksen (SLA) kanssa Muista huomioida alihankinta 13
SOPIMUSTEN LUOKITTELU Sopimusten oikeudellinen luokittelu. Pilvipalveluissa voidaan käyttää eri sopimustyyppejä, sen takia niihin voidaan soveltaa useata eri pakottavaa lakia Vuokrasopimus soveltuu, jos esimerkiksi: ohjelmistojen online käyttö Saksan liittovaltion tuomioistuimessa käytetty nimitystä: application service providing (ASP) -> vuokrasopimus verkkosovellukset pilvipalveluna samaistettavissa ASP:iin laitteiston online-käyttö (esim. Palvelininstanssi) varastotilan online-käyttö (esim. tallennustilaa) 14
PALVELUSOPIMUS Palvelusopimus soveltuu, jos kyseessä esimerkiksi : materiaalin arkistointipalvelu materiaalin varastointipalvelu sovelluksien hallintapalvelu tiedon varastointipalvelu tukipalvelu ylläpitopalvelut 15
Pohdittavaa useat pilvipalvelut tarjoavat matalan kynnyksen sisäänpääsyyn sekä helpottavat palvelun mitoittamismahdollisuuksia useimmat tarjolla olevat pilvipalvelusopimukset rajoittavat palveluntarjoajan vastuuta niin, ettei se ole missään suhteessa mahdolliseen riskiin pilvipalvelusopimukset vastaavat tyypillisesti ohjelmistolisenssejä, vaikka mahdolliset riskit ovatkin paljon suurempia Vendor lock-in, toimittajariippuvuus myyjällä ei ole lakiin perustuvaa velvollisuutta tarjota tiedonsiirtopalvelua, jos halutaan vaikka siirtää palvelu -> Huomioitava sopimuksessa Yksipuoliset purkamismahdollisuudet pilvipalveluiden tarjoaja varaa usein yksipuolisen oikeuden palvelusopimuksen irtisanomiseen 1.2.2012 16
SOPIMUKSIIN MUKAAN Sopimuksiin tulee sisällyttää tarkastus- / auditointioikeus* monet sopimukset säätävät tarkastuksesta, joka pitää sisällään fyysisen tarkastuksen miten säädöksiä sovelletaan kun pilvipalvelut maantieteellisesti hajautettuja? kirjanpitolaki ja aineiston säilyttäminen sovellettava laki ja toimivaltainen tuomioistuin mikäli oikeudenkäynti tapahtuu kotivaltion ulkopuolella voi oikeudenkäynti tulla kohtuuttoman kalliiksi huomioitava palveluntarjoajan mahdollinen konkurssi Pilvipalveluiden tarjoajien kanssa tulee sopimuksiin sisällyttää asioita, jotka eivät useinkaan sisälly standardisopimusehtoihin. Niin ikään on tärkeää motivoida sopimuskumppani täyttämään velvollisuutensa. *Auditointi, Tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen puolueeton taho. 17
ASIAKAS VS TOIMITTAJA Toimittaja haluaa tarjota: yhtenäistetyt palvelut mahdollisimman pitkä sopimus dynaaminen nopea hinnantarkistus pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja Asiakas toivoo räätälöitävät, helposti muokattavat ratkaisut varmuus mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu. vakaa hinnoittelu, palvelutasosopimuksen (SLA) turvaama käyttö ja sovittu palvelutaso 18
HUOMIOI! Sopimuksissa on aina huomioitava, tapauskohtaisesti roolit ja vastuut aina lakimieskonsultaatio selkeä palvelukuvaus (SLA) palvelutaso kirjallisesti ja tarkat sanktiot. rajapintojen määritelmät Materiaalin erottelu pilvessä muiden asiakkaiden materiaalista auditointi- ja tarkastusoikeus alueelliset rajoitukset vaatimusmäärittely, ydinkohdat esim. tiedon palauttaminen, omistajuus tietojen siirto/palautus vendor lock-in välttämiseksi neuvottele riittävä siirtymäaika sovellettavat lait ja lainkohdat hinnoittelu sopimustyyppi, varo takuuehtojen poikkeuksia, hinnan muutokset 19
SUMMA SUMMARUM MUISTA VIELÄ SLA ylläpitotaso auditointi, tarkistetaan palvelun turvallisuus ja toiminta. vastuu henkilötietojen käsittelystä on AINA rekisterinpitäjällä voidaanko soveltaa standardeja (turvallisuus-, laatu- tai teknisiä) kenellä pääsy/omistus -> huomioi myös alihankinta materiaalin maantieteellinen sijainti Force majeure määrittely palvelun lopetus- tai siirtomahdollisuus hinnantarkistus kesken sopimuskauden 20
PILVIPALVELUT Linkkejä Julkisuuslaki(JulkL, 621/1999) Henkilötietolaki (HetiL, 523/1999) Sähköisen viestinnän tietosuojalaki (SVTSL, 516/2004) Tekijänoikeuslaki (404/1961) (EY) No 593/2008 Sopimusvelvoitteisiin soveltuva asetus Henkilötietolain mukainen ilmoitusvelvollisuus EU:n päätös henkilötietojen siirto kolmansiin maihin, Asiaa tietosuojasta 1/2005 Luonnos valtion ICT-hankintojen tietoturvaohjeeksi U.S.-EU & U.S.-Swiss Safe Harbor Frameworks Cloud Computing Contracts, (Educause) Lex Europa.eu. STANDARD CONTRACTUAL CLAUSES 31.1.2012 21
PILVIPALVELUT Yhteystietoja IT-asiakkuuspäälliköt http://www.aalto.fi/fi/about/contact/services/#it Hankinta https://inside.aalto.fi/display/talouspalvelut/hankintojen+ohjeistus Tietoturva tietoturvapaallikko@aalto.fi IT https://servicedesk.aalto.fi Pilvipalveluiden Wiki-sivut 22
23 Kiitos!