Effi antoi seuraavan lausunnon julkiseen lausuntopyyntöön. Lukuohje: lihavoidut tekstit ovat lausunnossa esitettyjä kohtia ja niiden alla on Effin lausuma kyseisestä asiasta.
Lausunto
10.03.2023
Asia: VN/3115/2023
Valtionhallinnon pilvipalvelulinjauksien päivittäminen
Valtionhallinnon pilvilinjaukset
1. Ensisijaisesti pilveen (Cloud 1st) strategia: Pilvipalvelu tai pilvipalveluteknologia tulee olla ensisijainen
valinta, mikäli estäviä perusteita valintaan ei ole
Electronic Frontier Finland – Effi ry kiittää mahdollisuudesta lausua asiassa.
Teknologisen toteutustavan itsessään ei tule olla ensisijainen kriteeri. Valinnan tulee perustua muihin tekijöihin, tärkeimpinä tietoturvallisuus ja tietosuoja, toimintavarmuus ja luotettavuus. Pilvipalveluiden käyttämisessä on hyviä ja huonoja puolia. Eri ratkaisujen välillä ei tulisi kuitenkaan tehdä kategorista suosintaa tuotantomalliin perustuen vaan todellisiin hyötyihin. Pilvipalvelun tai minkä tahansa muun tuotantomallin paremmuuden tulee perustua valintaprosessiin, jossa valinta perustuu todellisiin, auki kirjattuihin kriteereihin.
Pilvipalveluiden kohdalla tulee muistaa että pilvi on vain jonkun muun tietokone. Moisten käytössä tulee harjoittaa kriittistä harkintaa. Ei ole mitään syytä ehdoin tahdoin valita pilvipalvelua, jos se on huonompi kuin kilpailevat vaihtoehdot.
Erityisesti tulee kiinnittää huomiota palvelun tuottamisen teknisen tason auditointi- ja testausmahdollisuuksiin. Nykyiset, yleisesti käytetyt sopimusmallit eivät täytä tätä kriteeriä.
2. Pilvi- ja ekosysteemiratkaisut tulee tuottaa lähtökohtaisesti EU/ETA –alueelta
Jos päädytään käyttämään pilvipalveluita, tämän tulee olla itsestäänselvyys. Se ei kuitenkaan riitä. Lisäksi tulee kiinnittää erityistä huomiota siihen että kaikki henkilötiedon käsittely tapahtuu vain EU/ETA-alueella. Tämä vaatimus ei toteudu nykyään käytössä olevissa, valtion viranomaisten
käytössä olevissa, yhdysvaltalaisyritysten tuottamissa pilvipalveluissa. Huomiotta jätetty yksityiskohta on sopimusten tietojenkäsittelyliitteiden kohdat joissa varataan palveluntarjoajalle“tietyissä tilanteissa käsitellä tietoa myös muissa maissa”. Tämä poikkeus on sopimuksissa siksi että näiden yritysten on noudatettava Yhdysvaltain lainsäädäntöä ja mahdollistettava sikäläisten viranomaisten pääsy dataan. Tämä vaatimus on sovittamattomassa ristiriidassa EU:n
tietosuojalainsäädännön kanssa. Viime kädessä tämän huomiotta jättäminen vaikuttaa huomattavasti valtiomme suvereniteettiin. Jo nykyisellä mallilla tilannekuva suomalaisesta yhteiskunnasta on paremmin muiden kuin omassa tiedossamme. Tämä ei ole kestävä tila.
3. Valtion yhteisten pilvi- ja ekosysteemiratkaisujen tulee olla ensisijainen valinta, mikäli estäviä perusteita valinnalle ei ole
Tähän ei ole mitään itsestään selvää perustetta. Useimmissa tapauksissa haetaan joko vain halvinta hintaa seurauksista välittämättä tai vaihtoehtona ei ole enää palveluiden tuottaminen itse johtuen palvelumuutosten aiheuttamasta osaamispaosta. Tarkastelussa tulee olla vain se, minkälaisia vaatimuksia palveluille asetetaan.
4. Pilvialustapalveluihin liittyvät kilpailutukset ja hankinnat tulee tehdä ensisijaisesti valtionhallinnon yleisillä hankintasopimuksilla
Periaatteessa keskitetty malli on paremmin hallittavissa mutta nykytilan perusteella vaikuttaa siltä
että ongelmia syntyy nimenomaan siitä että keskitetty hankintaorganisaatio ei ole tehtäviensä
tasalla.
5. Pilvipalveluiden hankintaa, käyttöönottoa ja hyödyntämistä tulee käsitellä kuin mitä tahansa muutakin palvelun hankintaa tai muutosta
Juuri näin. Tästä samasta syystä ei ole syytä asettaa pilvipalveluita mitenkään eri asemaan.
6. Julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä
Tietämättä mitä käsite “julkinen tieto” tarkoittaa tässä, pidämme tätä linjausta periaatteessa hyvänä. Riskiperustaisen päätöksenteon velvoitteen lisäksi tarvitsemme muutoksen kansalliseen tietosuojalakiin: myös viranomaisille ja julkisen sektorin toimijoille on voitava langettaa EU:n yleisen
tietosuoja-asetuksen tarkoittamia hallinnollisia seuraamusmaksuja.
7. Salassa pidettävää turvallisuusluokittelematonta tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä
Kyllä voi jos kriteeristö täyttyy. Tällä hetkellä emme tiedä yhtään EU/ETA-alueen ulkopuolisen
yrityksen tuottamaa pilvipalvelua jossa kohtuulliset kriteerit täyttyisivät.
8. Henkilötietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä.
9. Turvallisuusluokan IV tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä
Kyllä voi jos kriteeristö täyttyy. Tällä hetkellä emme tiedä yhtään EU/ETA-alueen ulkopuolisen yrityksen tuottamaa pilvipalvelua jossa kohtuulliset kriteerit täyttyisivät.
Pilvilinjauksien jatkovalmistelua tukevat kysymykset
1. Ovatko ehdotetut linjaukset rajoittavia? Ovatko ehdotut linjaukset mahdollistavia?
Kysymys pitää sisällään ennakko-oletuksen, jota pidämme vääränä. Pilvipalveluiden ei tule olla erikoisasemassa muiden palveluntuotantomallien kanssa vaan samalla viivalla. Valinnan perusteiden tulee olla muita kuin tuotantotapaan liittyviä.
2. Miten ehdotetut linjaukset vaikuttavat edelläkävijävirastojen pilvipalvelujen hyödyntämiseen? Miten ehdotetut linjaukset vaikuttavat pilvipalvelujen käytön hyödyntämistä suunnitteleville virastoille?
Jos edelläkävijävirastoilla tarkoitetaan niitä virastoja joiden pilvipalveluiden käyttötavoissa on laillisia
epäselvyyksiä jo nyt, toivomme jonkinlaista kontrollia ja tolkkua toimintaan.
3. Miten tiedon ulkomaille sijoittamiseen liittyviä riskejä voidaan vähentää ja miten riskien vähentäminen voitaisiin ottaa huomioon linjauksissa?
Noudattamalla lainsäädäntöä ja lukemalla sopimukset ja vieläpä tarkkaan ja kaikkine liitteineen.
Suojattavan tiedon osalta käsittelyn tulisi mielestämme tapahtua Suomen rajojen sisäpuolella.
4. Mitä esteitä pilvipalvelujen hyödyntämisessä on tietosuojan ja henkilötiedonkäsittelyn osalta? Ja miten näitä esteitä voitaisiin käytännössä poistaa?
Pysyvä poliittinen ongelma on Pohjois-Amerikan Yhdysvaltojen toiminta. EU-tuomioistuimen nk. Schrems II -päätöksen kova ydin on se, että Yhdysvaltojen harjoittama EU-kansalaisiin kohdistuva massavalvonta on EU-lainsäädännön vastaista. Tästä ongelmasta ei päästä eroon ennenkuin Yhdysvallat muuttaa omaa asennoitumistaan ja lainsäädäntöään niin että sillä ei ole oikeutta nuuskia toisten maisten kansalaisten tietoja maantieteellisen alueensa ulkopuolella. Siihen saakka on pakko toimia ottaen tämä huomioon.
5. Mitkä ovat muut merkittävimmät esteet pilvipalvelujen laajemmalle hyödyntämiselle? Ja miten esteitä voitaisiin poistaa?
EU/ETA-alueelta niin teknisesti kuin hallinnollisestikin tarjottavien pilvipalveluiden tarjonta on hyvin rajallinen. Tämän ratkaisemiseksi voisi koittaa yritysten ja viranomaisten välistä vuoropuhelua. Teknologiset komponentit ovat olemassa ja vieläpä avoimena lähdekoodina.
6. Mitä muita toimenpiteitä, ehdotettujen linjauksien lisäksi, voitaisiin käynnistää pilvipalvelujen hyödyntämisen edistämiseksi?
Effi ry:n kanta on se, että kaiken viranomaisten harjoittaman tietojenkäsittelyn tulisi toimia avoimen lähdekoodin ohjelmistoilla. Jos tämä asetettaisiin vaatimukseksi, kaikki palveluntarjoajat olisivat samalla viivalla ja kilpailu lisääntyisi.
Aarnio Elias
Electronic Frontier Finland – Effi ry