Jos Google Analytics on laiton, entäs muu pilvi sitten?
Itävallan tietosuojavaltuutettu repäisi tammikuun alussa julistamalla, että Google Analyticsin käyttö oli GDPR:n vastaista. Radikaali ratkaisu herättää keskustelua muidenkin pilvipalveluiden kohtalosta. Tilanne on hallinnassa, mutta huolellisuuteen on syytä – edelleen.
Googlen analytiikkapalveluiden kohtalo vaikuttaa tietysti lähes kaikkeen verkkopalvelutekemiseen, mutta Devisioonan näkökulmasta kiinnostavampi kysymys on ratkaisun vaikutus henkilötietojen varastoimiseen pilvessä yleisemmin. Tilanne antaa mahdollisuuden käsitellä samalla hieman yleisemminkin Azurea, datan sijaintia Microsoftin pilvipalveluissa ja asiaan liittyvää oikeudellista problematiikkaa – asioita, jotka ovat meidänkin asiakkaitamme viime vuosina kovasti askarruttaneet. Entä mikä ihme on EU Data Boundary for Microsoft Cloud?
Mitä tapauksessa oikeastaan päätettiin?
Itävallan tietosuojavaltuutettu linjasi, että Google Analyticsin käyttö on GDPR:n vastaista, koska Google kerää mittauksen yhteydessä henkilötietoja – IP-osoitteet ja muut evästeissä kertyvät henkilötiedot katsottiin siis sellaisiksi – ja vie niitä Yhdysvaltoihin. Googlen ei katsottu huolehtivan riittävän vahvasti siitä, etteivät yhdysvaltaiset tiedustelupalvelut voisi käyttää näin kertyvää tietoa yksilöiden seurantaan.
Selvää on, että Itävallan päätöstä tullaan puimaan vielä erilaisissa oikeusasteissa. GDPR:n soveltaminen käytäntöön ei ole yksioikoista, ja Keski-Euroopan tiukka yksityisyyskulttuuri on ennenkin tuottanut varsin kireitä tulkintalinjauksia. GDPR ei kiellä tietojen siirtämistä EU:n ulkopuolelle, mutta Itävallan päätös seuraa vuoden 2020 Schrems II -ratkaisua, jonka mukaan yleisesti käytettyjä vakiosopimuslausekkeita (Standard Contractual Clauses, SCC) ei voida pitää riittävinä, vaan henkilötietojen käsittelyssä EU:n ulkopuolella on lisäksi noudatettava riittäviä turvatoimenpiteitä.
Nyt käytävän keskustelun takana on ennen muuta USA:n tiedustelupalveluiden tekemä varsin laajaksi paljastunut yksityishenkilöiden seurantatoiminta. EU-tietosuojaviranomaisten perusajatus on, että kaikki USA:sta kotoisin olevat yritykset ovat lähtökohtaisesti enemmän tai vähemmän Yhdysvaltain hallinnon ikeessä, ja jotta ne voisivat tarjota eurooppalaisille riittävää yksityisyyden suojaa, niiden on taivutettava itsensä aivan erityiselle mutkalle – käytännössä tarjoamalla sekä teknisiä että organisatorisia erityiskeinoja, joilla urkintamahdollisuuksia olennaisesti vähennetään.
Miten tämä liittyy Microsoftin pilveen?
”Jos varastoin jo tietoni Azuren Euroopan datakeskuksiin, eikös kaikki ole kunnossa?” – tämä on ehkä tyypillisin ajatusketju Schrems-päätösten tiimoilta. Perusidea on kyllä oikea, mutta siihen liittyy pari käytännön näkökulmaa, jotka on hyvä huomioida.
Ensinnäkin osassa Azuren palveluista jotain tietoa tarkoituksellisesti replikoidaan myös Yhdysvaltoihin – Azure AD tunnetuimpana esimerkkinä, mutta näitä on muitakin. Toisekseen datan sijoittaminen eurooppalaiseen palvelinkeskukseen ei välttämättä tarkoita sitä, etteikö sitä voitaisi käsitellä USA:sta käsin. Jos yhdysvaltalainen Microsoftin tukiteknikko voi halutessaan käsitellä asiakkaan dataa, voidaanko tietojen varmasti sanoa olevan USA:lta turvassa?
Microsoft sanoo pilvipalveluidensa olevan GDPR-yhteensopivia, ja väitteen tueksi on hyviä perusteita. Microsoftin pyrkimys suojata henkilötietoja Yhdysvaltain hallinnolta on ollut varsin vahvaa, ja yksittäisiä tiedonluovutuspyyntöjä on haastettu korkeimpaan oikeuteen asti. Silti tietty epävarmuus on ymmärrettävää, sillä henkilötietojen suojaa koskevan lainsäädännön noudattaminen vaatii jatkuvaa pyrkimystä huolehtia tiedoista aina paremmin – yhteiskunnassa vallitsevat odotukset tietosuojan tasosta jatkavat kiristymistään. Vain hyvin harvassa tilanteessa henkilötietojen käsittelytapaa voi luonnehtia ”ikuisesti riittäväksi”, ja eilisen hyväksyttävä menettely voi olla huomisen hyljeksittävää huolimattomuutta.
Devisioonan tulkinta tilanteesta on edelleen varovaisen optimistinen: henkilötietoja tulee käsitellä huolellisesti, kumppanit tulee valita harkiten ja tietovarastoinnissa on hyvä tähdätä eurooppalaisiin palveinkeskuksiin. Vaikka GDPR ei kielläkään datan siirtämistä pois ETA-alueelta, oikeuskäytännön muuttumisen aiheuttamaa päänsärkyä voi vältellä eurooppakeskeisyydellä. Järkevästi menetellen suuret pilvipalvelut ovat kuitenkin edelleen turvallinen ja kokonaisuutena perusteltu järjestelmäalusta useimmille järjestelmille.
Eurooppalaistuminen on selvä tulevaisuudennäkymä
Julkisen pilven tarjoajien näkökulmasta on selvää, että ristiriita EU:n ja Yhdysvaltain lainsäädännön välillä johtaa asteittain siihen, että tietojen säilöminen nimenomaan ETA-alueen sisällä on jonkin ajan kuluttua selkeä kilpailuvaltti, ellei suorastaan pakollinen vaatimus. Microsoftilla tämä hanke tunnetaan nimellä EU Data Boundary for Microsoft Cloud.
EUDB:n ideana on, että vuoden 2022 loppuun mennessä kaikki Microsoftin pilvipalvelut on mahdollista hankkia siten, että dataa varastoidaan ja käsitellään vain Euroopassa. Muutos nykyiseen ei useimpien palveluiden osalta ole konkreettisen arjen kannalta suuri, mutta taustaprosesseille muutos on merkittävä.
Yksi olennaisimpia askelia on se, että Microsoft pyrkii kasvattamaan eurooppalaista tukiorganisaatiotaan siten, että yhä useampi eurooppalaisen asiakkaan tukitiketti pystyttäisiin hoitamaan ”paikallisesti”. Jos tuki- tai vianselvitystarkoituksissa apuun joudutaan kutsumaan ehta Redmondin sankari, hänet päästetään dataan vain asiakkaan nimenomaisella luvituksella ja hyvin rajatun etätyöpöydän kautta. Ratkaisu ei tietenkään ole täydellinen, mutta ainakin se estää hallitsemattomat massasiirrot Yhdysvaltoihin: etäyhteyden kautta voi vuotaa vain se data, jota näytölle on jossain vaiheessa piirretty.
Tuen lisäksi käsittelyä Euroopan ulkopuolella voi tapahtua muissakin olosuhteissa: Ehkä suomalaisen yrityksen työntekijä soittaa Teams-puhelun USA:han, tai peräti lentää sinne itse ja lukee sähköpostinsa. Molemmissa esimerkeissä on selvää, että yritys haluaakin avata osan käsittelystä myös Euroopan ulkopuolelle. Nämäkin esimerkit muistuttavat siitä, ettei EU Data Boundary -hankkeellakaan ole tarkoitus luoda muureja Euroopan ja muun maailman välille, vaan vahvistaa henkilötietojen suoja sellaiselle tasolle, että julkisen pilven luotettavuus säilyy – amerikkalaisista taustanäkökulmista huolimatta.
EUDB tulee kattamaan niin Microsoft 365:n, Dynamicsin kuin Azurenkin. Tietyt tiedot virtaavat jatkossakin USA:han, mutta vain vahvasti anonymisoituna. Näistä tarpeista päällimmäisin esimerkki on tietoturva-analyysi, jossa Microsoftin tavoitteena on edelleen pystyä tunnistamaan ja torjumaan hyökkäyksiä yhtäläisesti koko maailmasta.
Tietosuoja pysyy työlistalla jatkossakin
GDPR:n voimaantulo keväällä 2018 pullautti henkilötietojen käsittelyn kaikkien pöydille. Hetken aikaa tuntui, että tietosuojan uusi standardi tuli asetettua, kun vanhat järjestelmät saatiin muokattua uusia vaatimuksia vastaavaksi.
Kuluneet vuodet ovat osoittaneet, että GDPR:n voimaantulo ei ollut mikään päätepiste, vaan vahva suuntaviitta sille kehitykselle, joka sai vauhtinsa Edward Snowdenin paljastuksista lähes vuosikymmen sitten. Sen jälkeen fokus on laajentunut myös enenevissä määrin suurten teknologiayritysten, erityisesti Facebookin ja Googlen, datankeruuseen. Joka sivustolle pullahtaneet evästekyselyt ovat hyvä esimerkki siitä, miten monialaiseksi tietosuojan huomiointitarve on kasvanut järjestelmäkehityksessä.
Julkiset isot pilvipalveluntarjoajat – Amazon, Google ja Microsoft – kilpailevat vahvasti myös sillä, miten pystyvät takaamaan yksityisyydensuojan. Microsoftin pilvipalveluiden käyttäjien onneksi Redmondin ote näihin kysymyksiin on vahva, ja Azuren takeet sekä tietoturvan että yksityisyydensuojan osalta kestävät vertailun mihin tahansa vastaavaan palveluun.
Microsoft on julkaissut mainion Trusted Cloud -whitepaperin, joka erittelee Azure-ympäristöihin sovellettavia suojauskäytäntöjä. Nämä ulottuvat teknisistä ratkaisuista oikeudellisiin käytäntöihin – esimerkiksi siihen, että Microsoft sitoutuu vastustamaan tuomioistuimessa viranomaisten tietopyyntöjä, ja pyrkii julkaisemaan niiden sisällön mahdollisimman laajasti.
EU Data Boundary for Microsoft Cloud on tärkeä tapa tehdä amerikkalaisvalmisteisesta pilvestä entistä hyväksyttävämpi eurooppalaisten alati kriittisemmissä silmissä. Tämä on hyvä askel eteenpäin, mutta ei varmasti viimeinen sellainen. Google Analytics -tapaus osoittaa, etteivät isot ja vakiintuneet toimijatkaan ole muutokselta turvassa. Yksityisyydestä on tulossa enemmän ja enemmän kriittinen kilpailutekijä. Tällä hetkellä näyttää siltä, että ainakin Microsoftin pilven käyttäjänä voi suhtautua tulevaisuuteen melko rauhallisesti.
Mietityttääkö tietosuoja Azuressa? Ota yhteyttä!
Jounin lähes 30 vuoden IT-uran ydin on ollut koodaamisessa, mutta nykyisin hän keskittyy teknologiastrategiaan, auditointeihin ja hankemäärittelyihin. Jouni on Devisioonan toimitusjohtaja ja yksi maailman 180 Microsoft Regional Directorista. Hänet on myös palkittu vuoden 2023 Microsoft-vaikuttajana työstään Azure-pilven ja tekoälyn parissa.