MyFondia VirtuaaliLakimies
15. kesäkuuta, 2016

3 asiaa, joita tulisi pohtia, ennen tiedon tallennusta pilvipalveluun

Tiedonhallintaa ja -käsittelyä koskevat roolit ja vastuut on helppo konstruoida perinteisiä ajattelumalleja seuraten. Ero tiedon hallinnoijan ja käsittelijän välillä, samoin kuin heidän tehtäviensä määrittely, on usein suhteellisen helposti sisäistettävissä. Tämä ei kuitenkaan päde pilvipalveluiden kohdalla. Niiden osalta vastuiden ymmärtäminen voi olla monimutkaista ja haastavaa. Osapuolille saattaa olla epäselvää esimerkiksi se, kenellä on velvollisuus suojata pilvessä olevaa tietoa. Tämä voi johtaa ei-toivottuihin tilanteisiin, joissa kukaan ei ole täysi tilivelvollinen sääntörikkomuksista.

Jaetun vastuun tilanteessa on yleisesti ottaen jokaisen osapuolen oma tehtävä tehdä parhaansa tiedon suojaamiseksi. Pilvipalvelun kuluttajan näkökulmasta on kyse enimmäkseen siitä, miten tiedostoja voidaan tallentaa pilveen ja miten varmistaa, etteivät ne joudu kolmansien osapuolten oikeudettomaan käyttöön. Pilvipalvelujen tuottajan näkökulmasta taas keskeistä on käyttäjien luottamus, joka edellyttää tietojen salassapitoa. Lisäksi palveluntarjoajan tehtävänä on rakentaa turvallinen infrastruktuuri palvelulle sekä täyttää muut lainmukaiset velvoitteet.

Molempien osapuolien intressissä on siis hyödyntää pilveä parhaalla mahdollisella tavalla. Suhteisiin, joissa on kyseessä ihmisen ja virtuaaliavaruuden välinen yhteistyö, kohdistuu kuitenkin myös uhkia. Siksi molemmilta osapuolilta vaaditaan vaivannäköä edellä kuvattujen tulosten saavuttamiseksi. Pelkkään lain tarjoamaan suojaan luottaminen ei todennäköisesti riitä. Osapuolten vastuiden kohdentamiseen liittyvät vaikeudet ja siitä seuraavat riskit voidaan minimoida erilaisin keinoin. Pilvipalvelujen erityisestä luonteesta johtuvan ”riittämättömän vastuun” ongelman välttämiseksi tulisikin huomioida muun muassa seuraavat seikat:

  1. Valitse palveluntarjoajasi huolellisesti . Pikainen due diligence on avain pilvipalvelun tarjoajan vahvuuksien ja heikkouksien hahmottamiseksi. Tarpeista riippuen saattaa olla hyvä idea käyttää useampaa palveluntarjoajaa samanaikaisesti eri tietokannoille paremman suojan saavuttamiseksi ja tietovuodon mahdollisuuden minimoimiseksi.
  2. Käy läpi pilvipalvelun tarjoajan käyttämät palveluehdot . Yleisesti pilvipalvelun palveluehtojen esittäminen on palveluntarjoajan tehtävä. Jos palveluntarjoaja ei toimita sopimusehtoja, on varauduttava mahdollisiin ongelmiin, jotka seuraavat siitä, että tiettyjä kysymyksiä ei käsitellä riittävässä laajuudessa. Joka tapauksessa huomiota on kiinnitettävä erityisesti tietosuojaa koskevien vaatimusten täyttöön sekä vastuukysymysten kohdentamiseen.
  3. Luo yhtiön sisäinen policy koskien pilvipalvelun käyttöä . Emme voi estää inhimillistä tekijää tiedonkäsittelyssä, mutta voimme määritellä ne säännöt, joiden mukaisesti tietoja on käsiteltävä. Riippuen yksityiskohdista, luokittelu voidaan perustaa muun muassa tietojen arkaluontoisuuteen. Voidaan esimerkiksi sopia, ettei arkaluontoista materiaalia tallenneta pilveen. Kaiken kaikkiaan kyse on riskinhallinnasta, päivittäisestä seurannasta ja päätöksenteosta tietojen turvaamista koskien.

Uusien teknologioiden hyödyntäminen liiketoiminnassa, mukaan lukien pilvipalvelut, on asia, joka voi edistää tehokkuutta. Totta on kuitenkin myös se, ettei laki aina pysy teknologian kehityksen perässä, mikä aiheuttaa pullonkaulaefektin nopeisiin muutoksiin liittyvien ongelmien tunnistamisessa. Kiinnittämällä riittävää huomiota edellä esitettyihin kysymyksiin on mahdollista vähentää riskejä. Tähän on syytä ryhtyä vaikka pilvipalvelut olisivatkin jossain määrin lain sääntelystä piittaamattomia.