Kaikki artikkelit yrityksille

Miten EU:n uusi tietosuoja-asetus vaikuttaa pilvipalveluihin?

2 min

Sonera on nyt Telia.

EU:n uuden, keväällä 2018 voimaan astuvan tietosuoja-asetuksen sääntöjä sovelletaan sekä paikallisille palvelimille että pilvipalvelimille tallennettujen henkilötietojen osalta.

Uuden tietosuoja-asetuksen mukaan rekisterinpitäjien sekä henkilötietojen käsittelijöiden tulee tietää, missä paikassa henkilötietoja käsitellään ja säilytetään. Mahdollisuutta siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle rajoitetaan uudessa asetuksessa ankarasti. Pilvipalvelut saattavat mahdollisesti käyttää ETA:n ulkopuolella sijaitsevia palvelimia. Myös pilvipalvelun tietojenkäsittelylaitteisto voi olla EU:n ulkopuolisen palveluntarjoajan hallinnassa. Tällöin henkilötietojen siirron tulee tapahtua tietosuoja-asetuksen tiedonsiirtosääntöjen mukaisesti.

Rekisterinpitäjän tulee toteuttaa riittävät turvatoimenpiteet suojatakseen henkilötietoja häviämiseltä, muuttamiselta tai luvattomalta käsittelyltä. Rekisterinpitäjän tulee valvoa henkilötietojen käsittelijän tietoturvatoimien täytäntöönpanoa säännöllisten tarkastusten avulla. Pilvipalveluiden tarjoajat eivät kuitenkaan lähtökohtaisesti salli asiakkaidensa antaa tietoturvaa koskevia ohjeistuksia tai tehdä tietoturvatarkastuksia.

Henkilötietoja tulee kerätä niin vähän kuin tarkoituksen kannalta on tarpeen. Lisäksi joidenkin arkaluontoisten ja erityisten tietoryhmien käsittelyä rajoitetaan asetuksessa. Pilvipalveluiden osalta tulisi siis arvioida sovellusten toimivuutta sekä dataelementtejä ennen käyttöönottoa. Monet pilvipalvelut kuitenkin ilmoittavat tietoja sekä toimivuutta koskevat vaatimuksensa kokonaisuudessaan vasta, kun organisaatiot ovat alkaneet käyttää niitä.

Telia Companyn Suomen tytäryhtiö Cygate tarjoaa yrityksille palveluita, joiden avulla yritykset voivat käyttää pilvipalveluita turvallisesti sekä asetusten mukaisesti myös uuden tietosuoja-asetuksen voimaan astumisen jälkeen. Palvelu pitää sisällään:

  1. Yritysten nykytilanteen selvittämisen pilvipalveluiden käytön ja käyttöaktiviteettien osalta
  2. Pilvipalveluanalyysien tekemisen ja analyysiin pohjautuen erilaisten suositusten ja roadmappien antamisen
  3. Kontrollimenetelmien suunnittelun ja konfiguroinnin sellaisiksi, että niillä voidaan havaita tietovuodot EU:n tietosuojalain tarkoittamalla tavalla ja nopeudella.

 

Artikkelin aihealueet

Pilvipalvelut