H + 12

 

”GDPR-päivä” tuli ja meni. Vai menikö? Tuliko tietosuojamaailma valmiiksi ja kaikki projektit skumpattua valmiiksi?

Ainakin omalta osaltani on helppo kommentoida, ettei tullut. Toki monia projekteja päätettiin ja asioita valmistui, mutta eihän asia mihinkään kadonnut. Eikä pitänytkään. Tosiasiahan on, että käytännön tasolla viranomaisohjeistusta alkaa vasta nyt syntymään laajemmassa määrin, järjestelmien ominaisuudet kehittyvät paremmin GDPR:ää tukeviksi ja tietosuoja ui paremmin  sopimuskäytäntöihin, ilman että puolin ja toisin yritetään vaivihkaa kiristää sopimusehtoja GDPR:n varjolla. Eli valmistautumisaika meni, nyt edetään ajG-ajanlaskua, eli ”aika jälkeen GDPR:n”.

Eräs paljon keskustelua herättänyt GDPR:n tuoma yksittäinen muutos on ilmoitusvelvollisuus tietoturvaloukkauksista (miksi se muuten on nimetty noin, miksi se ei ole ”tietosuojaloukkaus”, kun tietoturvaloukkaus terminä on ainakin jossakin määrin vakiintunut tarkoittamaan hieman eri asiaa?). Ilmoitusvelvollisuus on järkeenkäyvä asia, annetusta aikaikkunasta voisi keskustella, varsinkin kun alkupistettä ei ole täsmällisesti määritelty. Mutta se nyt kuitenkin on voimassa olevaa lainsäädäntöä, joten ei sen kanssa auta kuin elää. Joka tapauksessa pakko on tässäkin asiassa hyvä kirittäjä, tietoturvaloukkauksista on toimintaympäristössämme epäilemättä ilmoitettu aikaisemminkin, ainakin vakavista sellaisista, mutta prosessi ei välttämättä ole ollut kovin määrämuotoinen. Omaa prosessiamme rakentaessa ja sitä koeponnistettaessa on havaittu, että aika usein se ilmoituksen vastaanottaja on yksi nimetty henkilö, puhelimella tai sähköpostilla. Jos ilmoituksen perillemeno edellyttää yhden ihmisen tavoittamista, niin on helppo arvata, että ilmoitus ei välttämättä saavuta tarkoitustaan loma- tai flunssa-aikoina. Kuntien osalta asia pitäisi olla helposti järjestettävissä, kirjaamo voisi olla hyvä apukäsi ilmoitusten vastaanottamisessa ja dokumentoimisessa. Muiden organisaatioiden osalta tarvittaisiin jokin vastaava toiminto, joka ei riipu yhdestä ihmisestä ja jonka normaaleihin työtehtäviin kuuluu erilaisten ilmoitusten vastaanotto ja niiden eteenpäin välittäminen. Meidän itsemme osalta se piste on luonnollisesti eTiski.

GDPR edellyttää henkilötietojen käsittelystä ja sen ehdoista sopimista ihan virallisesti. Aikaisempi oletus, ainakin Suomessa, on ollut, että sovitaan palvelusta ja molemmat osapuolet noudattavat lakeja. GDPR vie asiaa tavallaan pidemmälle, eli asioista pitäisi erikseen sopia, viis siitä, vaikka rajoitteet olisikin kirjattu lakiin. Me päätimme luoda avuksi asiakkaillemme neutraalin tietojenkäsittelysopimusmallin, jolla sovittaisiin tietosuoja-asetuksen edellyttämällä tavalla henkilötietojen käsittelystä, ilman, että sillä yritettäisiin sälyttää ylimääräisiä velvoitteita kummallekaan sopimusosapuolelle. Meillähän on valtaosin se tilanne, että palveluketjut ovat rakentuneet ajan kuluessa, sekä asiakkaiden, alihankkijoiden, palveluiden ja palvelutasojen sekä hinnoittelun osalta. Tässä ketjussa on aika vaikeata alkaa vaatimaan ketään osapuolta tekemään lisätoimia, ilman lisäveloituksia, ellei lainsäädäntö sitä suoraan vaadi. Siispä kuvittelimme, että neutraali malli olisi kaikkien osapuolien hyväksyttävissä. Valitettavasti homma ei ollut ihan niin helppo, erilaisia malleja on syntynyt kuin sieniä sateella; KL:n tarjouspyyntöliite, YSE-liite, JIT-liite, puhumattakaan sitten erilaista eri toimijoiden omista malleista (kuten meidän), joten aika monella on oma mielitietty tässäkin asiassa. Ei tarvita kovin kirkasta kristallipalloa sen ennustamiseen, että tietojenkäsittelysopimusten pykälistä sanaillaan vielä pitkälle ensi vuosikymmenelle, ennen kuin ne vakiintuvat. Toivon mukaan näidenkin sanamuotojen osalta päästäisiin yhteisymmärrykseen ja voitaisiin keskittyä oikeiden tietosuoja-asioiden kehittämiseen.

Tietojenkäsittelysopimuksen yhteydessä eräs intohimoja herättänyt asia on henkilötietojen siirto EU/ETA:n ulkopuolelle. Me päätimme tietoisesti sisällyttää mahdollisuuden tietojen siirtoon vakiosopimuspohjaamme, syitä avaan tuolla vähän alempana. Jotkut asiakkaamme ovat vahvasti protestoineet tätä vastaan, vaikka toki protestia hieman laimentaa, jos se on tullut työsähköpostista, joka on O365-tili. Jotkut ovat myös kysyneet, että miksi tietoja pitää siirtää EU:n ulkopuolelle, miksemme hyödynnä vaikka Microsoftin pilvipalveluja, jolloin ongelmaa ei olisi. Kuten useimmat palveluihimme teknisellä tasolla tutustuneet tietävät, me nojaamme järjestelmissämme vahvasti Microsoftin teknologiaan ja tulevaisuuden roadmapit vievät vahvasti Microsoftin pilvipalveluihin. Tosiasian kuitenkin on, vaikka saan tästä varmaankin taas palautetta yhteystyökumppaneiltamme Microsoftilta, että Microsoftin julkisten pilvipalvelujen käyttäminen on tietojen siirtoa EU/ETA:n ulkopuolelle (ellei käytetä Azure Stack -tyyppisiä tai muita vastaavia muun kuin Microsoftin toimittamia toteutuksia Microsoft-pilviteknologiasta). Mutta koska Microsoft on tehnyt paljon ja hyvää työtä tietosuojan kanssa, sitä tuskin kukaan voi kiistää, niin heidän pilvipalvelujensa käyttäminen on täysin turvallista tietosuojamielessä. Eihän GDPR, tai sen puoleen henkilötietolakikaan, kiellä henkilötietojen siirtämistä EU/ETA:n ulkopuolelle, se vain asettaa sille tietyt ehdot. Microsoft on varmistanut oman ja asiakkaidensa selustan kahdella tavalla, Privacy Shield  ja EU:n mallilausekkeet. Senpä takia O365-palveluita voi turvallisesti käyttää, emmekä mekään sen kummallisempia tietojen siirtoja tavoittele. Sinänsä hassua, että tuo tietojen siirto EU/ETA:n ulkopuolelle herättää niin paljon intohimoja, vaikka uskallan väittää, että lähes joka kunnassa henkilötietoja siirretään, paitsi Microsoftin, niin myös muiden pilvipalvelun kautta EU/ETA:n ulkopuolelle. Kaikki toimijat eivät ole varmistaneet selustaansa yhtä hyvin kuin Microsoft ja voi olla, että joissakin tapauksissa tietojen siirto ei ole laillista. Siihen ei ehkä ole kiinnitetty huomioita, varsinkaan, jos palvelu on käyttökelpoinen ja ilmainen tai lähes ilmainen. Tällaiset palvelut ovat suuressa huudossa siellä, missä tarve on suuri ja rahaa niukalti, eli esimerkiksi sivistystoimessa.

Miksi KuntaPro siis haluaa sisällyttää mahdollisuuden siirtää tietoja EU/ETA:n ulkopuolelle? Mehän toki noudatamme lainsäädäntöä, joten emme missään tapauksessa siirrä tietoja EU:n lainsäädännön ulottumattomiin. Maailma on vain muuttunut, eli voi olla jopa vaikeata määritellä, onko jokin tieto käsiteltävissä EU/ETA:n ulkopuolelta. Sopimus on mahdollisesti tehty globaalin toimijan kanssa, joka ei edes suostu takaamaan, ettei tietoja käsitellä EU/ETA:n ulkopuolelta. He kuitenkin yleensä suostuvat takaamaan, että tietoja käsitellään EU:n lainsäädännön mukaisesti. Tai elleivät suostu, ei heidän palveluitaan voi ottaa käyttöön. Myös järjestelmäarkkitehtuuri on muuttunut, kun aloitin urani, niin data oli tyypillisesti organisaation siiv…teknisessä tilassa olevan palvelimen levyllä. Nyt se voi olla hajallaan eri paikoissa. Tai sitä voi käydä joskus käsittelemässä robotti, joka tulee jostakin pilvipalvelun syövereistä. Tietojen siirtäminen ”ulkomaille” ei ole itsetarkoitus, mutta sitä voidaan tarvita tietojen käsittelyn tehostamiseen ja siihen me pyrimme. Se aika, jolloin palvelin oli kunnantalon kellarissa meni jo, heti sen reikäkorttiajan perään. Datan tai järjestelmän sijainti ei ole oleellista. Oleellista on, että asioista ja tietojenkäsittelystä on sovittu lainsäädännön mukaisesti ja tarvittavat palvelut pystytään tuottamaan tehokkaasti. On toki tilanteita, joissa varautumis- tms syistä on tarve pitää järjestelmä ja/tai data fyysisesti lähellä, mutta silloin vaikuttavatkin eri tekijät kuin puhdas kustannustehokkuus. Joka tapauksessa pyrimme varaamaan tuon mahdollisuuden tietojen siirtoon EU:n ulkopuolelle, käytännössä siis Microsoftin pilvipalveluin. Ellette ole jo sitä tehneet, suosittelisin selvittämään, että minne kaikkialle tietoa organisaatiossanne siirretään eri pilvipalveluiden kautta, voi olla, että sieltä löytyy yllätyksiä. Kuten sanottua, kaikki palveluntarjoajat eivät ole varmistaneet tietojen laillista siirrettävyyttä yhtä hyvin kuin Microsoft.

Matti Aho
ICT-johtaja
KuntaPro Oy