Cirrus-hanke edistää julkishallinnon siirtymistä pilveen
Valtiovarainministeriössä käynnistyi viime vuonna julkisten pilvipalvelujen tietosuojan kehittämishanke Cirrus. Ministeriö ohjaa ja rahoittaa hanketta, ja sen toteutuksesta vastaa DigiFinland. Hankkeessa on mukana myös tietosuojan asiantuntijoita eri puolilta Suomea. Kysyimme valtiovarainministeriön erityisasiantuntija Jyri Vuorikalliolta asiasta tarkemmin.
Mistä Cirrus-hankkeessa on kyse?
Valtiovarainministeriön asettaman Cirrus-hankkeen tarkoituksena on julkisten pilvipalvelujen toimintamalleja ja sopimusehtoja kehittämällä edistää pilvisiirtymää tietosuoja huomioiden. Tavoitteen toteutuminen edistää julkishallinnon pilvisiirtymää vähentämällä ja poistamalla pilvipalveluiden tietosuojaan liittyviä riskejä sekä luomalla julkishallinnon vaatimuksiin yhteensovitetut julkisten pilvipalveluiden toimintamallit ja sopimusehdot.
Tietosuojan näkökulmasta hankkeen tarkoituksena on varmistaa rekisteröityjen oikeuksien sekä julkishallinnon rekisterinpitäjien osoitusvelvollisuuden toteutuminen julkisten pilvipalveluiden hyödyntämisessä. Hankkeen lopputulokset ovat kansallisesti julkisen sektorin hyödynnettävissä, siten hankkeella voidaan lisäksi saavuttaa merkittäviä toiminnallisia sekä kustannushyötyjä.
Mitä ongelmaa hankkeella ratkotaan?
Yhtenä keskeisenä muutoksena henkilötietojen käsittelyssä on EU:n tietosuojan täsmentynyt kanta EU-kansalaisten henkilötietojen käsittelyyn mm. kolmansissa maissa. Tästä osoituksena on Schrems II -päätös. Päätös käytännössä edellyttää sekä teknisten suojauskeinojen että sopimusehtojen uudelleen tarkastelua silloin, kun palveluja käytetään henkilötietojen käsittelyyn.
Suomen julkisen sektorin pilvisiirtymä ei ole lähtenyt liikkeelle sellaisena kuin ohjeita valmisteltaessa on odotettu. Keskeiset globaalit toimijat ovat siirtäneet kehityspanostuksen onsite-palveluista pilviteknologioihin. Tarve on mahdollistaa näiden kehittyvien palveluiden hyödyntäminen Suomen julkiselle sektorille. Tällä on keskeinen merkitys Suomen julkisen sektorin tehokkuudelle, kun kasvavia palvelumääriä pitää hoitaa pienenevillä henkilöresursseilla.
Lisäksi tuetaan käyttäjäorganisaatioiden pilvisiirtymän toteutumista siten, että pyritään tekemään läpinäkyvämmiksi julkisten pilvipalveluiden palveluprosessit ja sopimusehdot.
Mitä on saatu ratkaistua ja mitä vielä on jäljellä?
On saatu selvitettyä, että pilvipalveluiden tuotantoprosessit mahdollistavat kohtuullisen hyvin alustojen osalta henkilötietojen vaatimustenmukaisuuden. Jäljellä on vielä toimittajien kanssa palveluprosessien selvittäminen hyödyntäen palveluprosessien sertifiointeja. Lisäksi käydään läpi toimittajien sopimusehdot ja pyritään selventämään toimittajien sopimusehtoja palvelualustojen osalta.
Kuumin aihe ovat tietosuojakysymykset. Onko tietosuojaan liittyvät vaatimukset saatu ratkaistua?
Julkisten pilvipalveluiden hyödyntämisen yksi keskeisistä haasteista on tiedonsiirrot kolmansiin maihin. Tähän helpotusta toi EU-US Data Privacy Framework, joka mahdollistaa tiedonsiirtoja Yhdysvaltoihin. Useilta muilta osin on kuitenkin edelleen haasteita, mm vaatimustenmukaisuuden ja kansallisen tulkinnan välillä.
Tietosuojaan liittyviä kaikkia haasteita ei tulla hankkeen aikana ratkaisemaan. Merkittävää kuitenkin on, että Cirrus-hanke tuottaa tietosuojaan liittyvien haasteiden ratkaisujen lisäksi menettelytapoja, joilla julkisten pilvipalveluiden tietosuojaan liittyviä ongelmia voidaan yhteistyössä palveluntuottajien kanssa ratkoa.