Pilvipalvelut ja

henkilötiedot

Titta Penttilä

Senior information security manager Group Security, TeliaSonera

Muuttuva toimintaympäristö

Tietosuoja Tiedon määrän ja käsittelyn valtava

kasvu

Tiedon arvon ja laadun

korostuminen

Alihankinta, pilvipalvelut

Yleisen tietoisuuden ja kiinnostuksen lisääntyminen

Lainsäädännön vaatimusten

tiukkeneminen ja sanktiot

Riskit ja uhat

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 2

Uhat ja toimintaympäristön haasteet

Säänte

ly ja

sanktio

t

Lainsäädäntö on teknologianeutraalia

• Pilvipalveluita koskevat samat säännöt kuin muutakin henkilötietojen käsittelyä

• Pilvipalveluiden haasteita tietosuojan kannalta

– Pilvet ylittävät rajat – henkilötietojen käsittelystä on tullut maailmanlaajuista, mutta lait ovat kansallisia

– Kontrollin ja avoimuuden puute

– Monimutkaiset ja dynaamiset alihankintaketjut

– Käsitellään erittäin suuria määriä tietoa

– Vakiosopimusehdot

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 3

Käsitteet ja roolit

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 4

Pilvipalveluntarjoaja Asiakas

Henkilötietojen

siirto

Rekisterinpitäjä (controller) • Oikeus määrätä tietojen

käytöstä (”omistaja”)

• Vastaa lainsäädännön

noudattamisesta

• Sovellettava laki

Käsittelijä (processor) • Käsittelee henkilötietoja

rekisterinpitäjän lukuun ja

tämän ohjeiden mukaan

• Tekniset ja organisatoriset

toimenpiteet henkilötietojen

suojaamiseksi

Henkilötieto • Tieto, joka voidaan

tunnistaa tiettyä

henkilöä/hänen perhettä

koskevaksi.

Henkilötietojen siirron juridiset edellytykset

Henkilötietojen käsittelyn laillisuus (Henkilötietolaki)

• Huolellisuus

• Suunnittelu

• Käyttötarkoitussidonnaisuus

• Laillisuus

• Tarpeellisuus

• Virheettömyys

• Avoimuus

• Suojaaminen (Tietoturva)

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 5

EU/ETA ja Komission hyväksymät maat

• “Data transfer agreement”

• Henkilötietolaki: “annettava asianmukaiset selvitykset ja sitoumukset”

Muut maat

• Tarvitaan erityisiä takeita tietosuojan tasosta

• Esim. Komission vakiosopimuslausekkeet

Erityislakien vaatimukset (esim. Sähköisen viestinnän tietosuojalaki)

Suunnittelu ja riskianalyysi

• Mitä henkilötietoja ollaan siirtämässä?

• Missä tiedot tulevat sijaitsemaan ?

• Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy?

• Mikä on kyseisten tietojen merkitys yhtiön kannalta?

• Uhat ja riskit?

• ”Business case”?

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 6

Pilvipalveluntarjoajan arviointi

• Asianmukainen tietoturvantaso

– Tekniset ja organisatoriset toimet

• Todentaminen – Sertifikaatit esim. ISO 27001

– Auditointi

• Kyvykkyys vastata vaatimuksiin

– Oikeudelliset sanktiot ja vahingonkorvaukset

• Mahdollisuus vaikuttaa tarjottavaan palveluun ja sopimusehtoihin

– Alihankkijat, tietojen sijainti

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 7

Sopimus henkilötietojen näkökulmasta

• Oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan

• Noudatettava soveltuvaa lainsäädäntöä

• Varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi

• Avustettava rekisterinpitäjää lakisääteisten velvollisuuksien hoitamisessa

• Tietojen sijainti

– Siirto EU/ETA:n ulkopuolelle ?

– Komission vakiosopimuslausekkeet

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 8

Sopimus henkilötietojen näkökulmasta

• Osapuolten roolit, vastuut ja velvollisuudet

• Salassapitolauseke

• Alihankkijat ja velvollisuus sisällyttää samat velvoitteet alihankintasopimuksiin

• Rikkomuksista ja uhista ilmoittaminen

• Auditointi- ja tiedonsaantioikeus

• Sanktiot

• Sopimuksen päättymisen seuraukset

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 9

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 10

• Samat pelisäännöt kuin ”normaaleissa” alihankintatilanteissa

• Erityiset pilvipalveluiden luonteesta johtuvat riskit huomioitava

• Osana yrityksen hankintaprosessia ja alihankkijoiden hallintaa

• Sopimus ja auditoinnit

• Tekemisen voi ulkoistaa, mutta ei vastuuta

• Pilvi ei välttämättä sovi kaikelle tiedolle

Yhteenveto

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 11

Titta Penttilä OTK, CIPP/E

Senior information security manager,

TeliaSonera

titta.penttila@teliasonera.com

fi.linkedin.com/in/tpenttila

Kysymyksiä?

Kommentteja?

Kokemuksia?

Ajatuksia?

KIITOS!

Lukuvinkkejä • ENISA: Cloud Computing, Benefits, risks and

recommendations for information security, November 2009

• WP 29 (Article 29 Data Protection Working Party): Opinion 05/2012 on Cloud Computing, WP 196, July 2012

• International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and Data Protection Issues ”Sopot Memorandum”, April 2012

• Council of Europe: Handbook on European data protection law (2014)

• Lisätietoa valmisteilla olevasta EU:n tietosuoja-asetuksesta: EU Commission EU data protection reform http://ec.europa.eu/justice/data-protection/

2014-02-11 Tietoturvatapahtuma / Titta Penttilä 12

sonera_security

twitter.com/sonera_security