Käytännön näkökulmia tietosuojaan ja tietosuoja-asetukseen

Tälle sivulle on koostettu Pro Pilvipalveluiden ja yhteistyökumppaneiden näkemyksiä tietosuojan ja tietosuoja-asetuksen vaikutuksesta ja huomioon ottamisesta pilvipalveluiden, niiden kehittämisen sekä markkinoinnin tiimoilta.

Palvelun kehittäjä ja hallinnoija Pro PK-Pilvipalvelut

Kun aloitimme kehittämään protyöturva.fi -pilvipalvelua kesäkuussa 2016, oli uusi tietosuoja-asetus tullut juuri toukokuussa voimaan. Meillä oli loistava tilaisuus huomioida sen siirtymäaika kehitystyössämme ja ensimmäisissä neuvotteluissa yhteistyökumppaneiden ja asiakkaidemme kanssa. Näissä asiakkaiden kanssa pidetyissä palvelun esittelyissä ja neuvotteluissa meiltä kysyttiin lähes joka kerta, miten palvelumme ottaa huomioon asetuksen ja ”onko se sen mukainen” – eli onko palvelu turvallinen valinta. Koska olimme jo syksyllä 2016 ottaneet mukaan myös juristin, varmistimme koko ajan kaikilta osin sen, ettei asiakkaidemme tarvitse olla huolissaan palvelumme laillisuudesta. Vanhempien palveluiden ja järjestelmien osalta asiakkaalla on velvollisuus ottaa selvää palveluntarjoajan ja heidän tuotteidensa ajantasaisuudesta.

Olemme rakentaneet palvelun kotimaiselle turvalliselle palvelimelle turvallisten kotimaisten toimijoiden kanssa – ja ottaneet koko ajan huomioon 25.5.2018 voimaan tulevat vaatimukset. Myös kaikki sopimukset on teetetty juristilla vastaamaan niihin. Samoin palveluiden rekisteriselosteet ja sopimusehdot ovat ajantasaisia.

On ollut mielenkiintoista seurata, kuinka vakavasti asiakkaat ovat huolissaan asetuksen vaatimusten täyttämisestä. Olemmekin tehneet pk-yritysten, julkisyhteisöiden, yhdistysten ja taloyhtiöiden käyttöön myös Pro Tietosuoja -palvelun, jonka avulla asetuksen vaatimukset täyttävät asiat ja dokumentaatiot on helppoa luoda ja ylläpitää myös tulevaisuudessa. Projektiimme osallistuneet kumppanit ovat tehneet myös omat selvityksensä ja dokumentit sekä kouluttaneet henkilöstönsä sen avulla.

Hannu Hirvonen
yrittäjä
Pro PK-Pilvipalvelut

Palvelun arkkitehtuurista ja ohjelmoinnista vastaava Nolwenture Oy

Pro Pilvipalveluiden arkkitehtuuri pohjautuu viimeisimpiin yleisesti käytössä oleviin teknisiin ratkaisuihin, mikä takaa ajantasaisten tietoturvapäivitysten saatavuuden. Tavoitteena on ollut luoda alusta alkaen tietosuoja-asetuksen (GDPR) vaatimusten mukainen järjestelmä.

Pro Pilvipalvelut on jaettu toimintokohtaisiin palasiin, joista kukin palanen koostuu käyttöliittymä- ja palveluosasta. Näiden osien välinen viestintä on salattua ja autentikoitua. Autentikointi on toteutettu nykyaikaisten käytänteiden mukaisesti käyttäen käyttöoikeustunnistetta (access token), jonka palvelu vahvistaa jokaisen viestin yhteydessä.

Pro Pilvipalveluiden sisältämät tiedot on tallennettu tietokantaan, joka on suojattu asianmukaisesti salasanalla ja joka varmuuskopioidaan ulkoiselle tietovälineelle säännöllisesti. Tietokantaan ei ole pääsyä ulkoverkosta. Palveluiden käyttäjän pääsyä tietoon on mahdollista rajata yksittäisen tietokentän tasolla ABAC-pohjaisella pääsynhallinnalla. Pro Pilvipalveluihin kerätään vain tarvittavia tietoja ja tarpeettomat tiedot poistetaan säännöllisesti. Uusien tallennettavien tietojen osalta käymme suunnitteluvaiheessa läpi tietojen säilytyksen perusteet sekä säilytysajat.

Tuotanto- ja testiympäristöt sijaitsevat suomalaisissa palvelinkeskuksissa. Palveluiden osat paketoidaan konteiksi ennen kohdeympäristöön viemistä. Osat viestivät keskenään virtuaalisessa lähiverkossa, johon ei ole pääsyä ulkopuolelta. Ulkopuolelta on pääsy ainoastaan kuormantasaajalle, jonka tarvitsemat portit on avattu palomuurilta. Tuotanto- ja testiympäristöt on verkkoteknisesti erotettu toisistaan.

Pro Pilvipalveluiden tuotanto- ja testiympäristöjä hallitaan suojatun SSH-yhteyden kautta. Ainoastaan nimetyillä henkilöillä, joilla on työnsä puolesta tarve hallita ympäristöjä, on oikeus ympäristöjen hallintaan. Nämä henkilöt tunnistautuvat ympäristöjen hallintaan heidän yksityisillä SSH-avaimillaan.

Antti Vikman
COO
Nolwenture Oy

Konesalipalveluiden, tietoliikenteen sekä tietoturvan tarjoaja Bittiguru Oy

Bittiguru Oy:n konesalit sijaitsevat vakaassa ja valvotussa ympäristössä. Konesalit on suojattu sähkönsyötön katkeamisen varalta UPS- ja generaattorilaitteistolla sekä asianmukaisella jäähdytyksellä.

Palvelinympäristö koostuu useista vikasietoisista palvelimista sekä levyjärjestelmistä. Palvelimet on klusteroitu keskenään, jolloin laitteistossa toimivat palvelut voidaan siirtää laitteistolta toiselle reaaliajassa hallitusti ilman katkoksia. Palvelinlaitteen mahdollisessa vikatilanteessa palvelut käynnistyvät automaattisesti klusterin muissa palvelinlaitteistoissa.

Levyjärjestelmien levypakat on suojattu yksittäisten levyjen vikaantumisen varalta. Virransyöttö- ja tietoliikennekomponentit ovat kahdennettuja ja näin ollen yksittäisten tallennuslaitteiden tai virtalähteiden hajoaminen ei haittaa laitteiston toimintaa.

Verkkoja sekä siihen kytkettyjä laitteita seurataan automaattisen valvontaohjelmiston avulla. Tietoliikenneyhteydet on toteutettu nopeilla ja luotettavilla valokuituyhteyksillä, joilla voidaan taata riittävä tiedonsiirtokapasiteetti.

Bittiguru Oy tarjoaa kansainvälisesti tunnettujen toimittajien tietoturvaohjelmistoja sekä palomuurilaitteita. Yrityksien tietoturvan osalta palveluissa pyritään keskitettyyn hallintaan, jolla voidaan taata ohjelmistojen toiminta sekä päivityksien ajantasaisuus.

Tietoturvaohjelmistot ja palomuurilaitteet sekä asianmukainen verkon valvonta ovat Bittiguru Oy:n näkökulmasta perusasioita, joista yritysten on huolehdittava jotta tietoturva-asetuksen mukaiset vaatimukset täyttyvät. Tämän vuoksi on tärkeää huomioida, että yrityksissä on käytössä alan standardien mukaiset laitteet ja ohjelmistot, ja että tietoliikenne on suojattu asiaan kuuluvalla tavalla.

Energian kulutuksessa sekä kierrätyksessä pyrimme noudattamaan mahdollisimman pitkälle vihreitä arvoja.

Ari Hakulinen
CEO
Bittiguru Oy

Verkkosivustojen ja markkinointimateriaalin suunnittelija/toteuttaja Purkkaviritys

Pro Pilvipalveluiden verkkosivustojen osalta on otettu tarpeellisilta osilta huomioon tietosuoja-asetuksen asettamat vaatimukset oleellisilta osin.

Verkkosivustoilla ei ole sivuston käyttäjien tietoja käsitteleviä ominaisuuksia lukuun ottamatta yhteydenottolomakkeita, joilla lähetetyt asiakastiedot kerätään sivuston ylläpitäjän sähköpostiin lähetettävien tietojen lisäksi sivuston tietokantaan. Tietokannasta jokaisen asiakkaan tiedot ovat erikseen löydettävissä ja pyydettäessä esitettävissä helposti. Rekisteri ei ole julkinen ja sivuston tietoturva on järjestetty pitäväksi niin julkaisujärjestelmän kuin palvelinympäristönkin puolesta.

Kaikki sivustot on suojattu SSL-sertifikaatilla ja käyttävät suojattua https-yhteyttä, asiakastiedot sijaitsevat turvallisella tietokantapalvelimella ja julkaisujärjestelmään pääsy on käytössä vain tarkkaan rajatulla joukolla käyttäjiä.

Asiakastietoja ei käytetä ilman asiakkaan lupaa tarkoituksiin, joihin he eivät ole tietonsa luovuttaessaan suostuneet erikseen ja asiakastiedot voidaan pyynnöstä myös poistaa rekisteristä vaivatta sekä lopullisesti.

Sivustoilla on käytössä myös Googlen analytiikkatyökalu (Google Analytics), jossa käyttäjiä ei pystytä henkilötasolla tunnistamaan tai yhdistämään sivuston käyttödataa yksittäiseen henkilöön/käyttäjään. Lisäksi analytiikkatyökalun asetuksissa on kielletty työkalun tarjoajan eli Googlen pääsy käyttäjädataan. Lisäksi käytössä on markkinoinnin optimointiin mm. Facebookin seurantapikseli, jonka käytöstä informoidaan käyttäjää sivustolle saavuttaessa hyvän tavan ja asetusten mukaisesti.

Antti Schroderus
yrittäjä
Purkkaviritys

Palveluiden, sopimusten ja muun juridiikan osaaja Legalwise Oy

Tietosuojakysymysten ja sitä koskevan sääntelyn nousu on nykyaikaa, ja edellyttää myös meiltä toimenpiteitä. Jotta henkilötietojen käsittely täyttäisi asetuksen ja muun sääntelyn vaatimukset mahdollisimman hyvin sekä dokumentaation että käytännön tasolla, on kaikkien toimijoiden huomioitava se omalla tontillaan. Se näkyy niin tekniikassa, sisällöissä kuin sopimuksissakin sekä asiakkaille tuotetussa sisällössä että siinä tavassa, millä me itse palveluita hoidamme. Juridiikan osalta se näkyy sopimusehdoissa suoraan ja epäsuorasti siinä, miten palvelussa ja sen tuottaman datan käsittelyssä on huomioitu vaatimukset. Tavoitteenamme on, että palvelu on alusta pitäen tietosuoja-asetuksen vaatimusten mukainen ja siis turvallinen kumppani myös tulevaisuudessa.

Tuomas Liinamaa
OTM, luvan saanut oikeudenkäyntiavustaja
Legalwise Oy

Digitaalisesta markkinoinnista vastaava markkinointitoimisto Tovari Oy

Tietosuoja-asetus vaikuttaa kaikkien markkinointitoimistojen toimintaan merkittävästi. Asetus ei vaikuta vain yrityksen omaan toimintaan omien rekisterien osalta, vaan se asettaa myös vaatimuksia meille henkilötietojen käsittelijänä, kun käsittelemme tietoja asiakkaidemme, eli muiden rekisterinpitäjien lukuun. Jotta voimme tehdä työtämme, meidän tulee käsitellä asiakkaidemme keräämiä henkilötietoja, esimerkiksi sähköpostimarkkinoinnin toteuttamiseksi.

Henkilötietojen käsittelijänä olemme siis toimintamme osalta vastuussa myös meidän asiakkaidemme rekistereistä löytyvistä henkilötiedoista, niiltä osin kuin niitä meidän käytössämme on. Tämän vuoksi ylläpidämme riittäviä teknisiä ja organisatorisia suojausmekanismeja henkilötietojen suojaamiseksi, niin omien henkilötietojen kuin asiakkailtamme saatujen henkilötietojen osalta. Emme myöskään voi henkilötietojen käsittelijänä käyttää haltuumme saamia henkilötietoja mihinkään muuhun tarkoitukseen kuin siihen, johon rekisterinpitäjä on antanut toimeksiannon.

Otamme markkinointitoimistona nämä asiat huomioon palvelusopimuksissa asiakkaidemme kanssa ja varmistamme toiminnallamme sen, että asiakkaidemme asiakkaiden yksityisyyden suoja säilyy, vaikka tietoa ulkopuoliselle toimijalle jaetaankin. 

Joona Kotilainen
yrittäjä, hallituksen puheenjohtaja
Tovari Oy

Julkaistu: 10.04.2018

Palvelua toteuttamassa