Erään suomalaisen iskelmän kertosäe kuuluu: ”Mut kauas pilvet karkaavat, turhaan niitä tavoitat”. Voisiko tämä liittyä jotenkin myös IT-palveluihin? Varmasti. Pilvipalveluista on tullut viime vuosina IT-mantra, taikasana, jota viljellään kaikkialla. Jopa maakuntalehdet kirjoittavat niistä. Pilvipalvelut pelastavat kaiken, tekevät IT:stä kertaheitolla helppoa ja yksinkertaista. Onko todella näin? Saatko pilvet kiinni?
10.9.2014
Tummia pilviä horisontissa
Palvelut
Pilvipalveluiden nopea skaalautuvuus ja elastisuus ovat kaikkien huulilla. Monissa tilanteissa pilvestä onkin tullut salonkikelpoinen vaihtoehto perinteisille IT-palveluille. Myös pilvipalveluiden käyttöön liittyvät hintaedut houkuttelevat: kiinteät kustannukset ovat niissä huomattavasti pienemmät ja paremmin ennustettavissa. Asiakas maksaa vain käytöstä, ei laitteista, koulutuksesta ja henkilöresursseista. Tässä huumassa pilvien tummat reunat jäävät helposti vähemmälle huomiolle. Vaikka etenkin tietoturva ja pilvessä liikkuvat henkilötiedot ovat olleet tapetilla NSA-kohun ja julkimoiden alastonkuvien äskettäin aiheuttaman skandaalin jälkimainingeissa, pilvipalveluiden käyttöön liittyy myös muita käytännön ongelmia. Gartnerin viimeisimmän hype-käyrän mukaan pilvipalvelut ovat lähivuosina tulossa vaiheeseen, jossa niiden on aika lunastaa lupauksensa: kiinnostus pilvipalveluihin heikentyy negatiivisten kokemusten vuoksi, ja lehtijulkisuus on kääntymässä niitä vastaan, mikä tulee muokkaamaan palvelukenttää uudelleen. Tämä muutos tulee varmasti olemaan toivottu.
Järkevä sopimus
Pilvimaailmassa asiakas ei ole kuningas. Pilviasiakas on riippuvainen toimittajasta, eikä liiketoiminnan muutoksia aina ole mahdollista huomioida samalla tavoin kuin perinteisessä vaihtoehdossa – ei edes rahalla. Toimittaja määrittelee palveluiden sisällön ja ominaisuudet. Asiakkaan tulee tällöin sopimusteitse varmistaa, että palvelun käyttäminen voidaan sulavasti lopettaa, mikäli palvelun käyttö ei enää vastaa liiketoiminnan tarpeita.
Kun siirrät tietosi pilveen, siirrät sinne myös kontrollisi. Valitettavan usein näkee tilanteita, joissa asiakas on sidottu valittuun palveluntarjoajaan eikä pilvessä käsiteltäviä tietoja saada palautettua asiakkaalle. Tällaisten vendor lock-in -tilanteiden (joissa asiakas jää toimittajan panttivangiksi) välttämiseksi on hyvä sopimusta tehtäessä miettiä, kuinka tiedot toisaalta teknisesti ja toisaalta juridisesti saadaan kaikissa tilanteissa siirrettyä pilvestä toiseen palveluun.
Useat kansainväliset pilvipalveluyhtiöt suosivat riitatilanteissa yhdysvaltalaisia tuomioistuimia. Onko tämä asiakkaan edun mukaista? Tuskin kovinkaan moni suomalaisyhtiö on halukas riitelemään palveluntarjoajan kanssa esimerkiksi omien tietojensa oikeuksista yhdysvaltalaisessa tuomioistuimessa kotimaisen riidanratkaisuvaihtoehdon sijaan, sillä se lisää asiakkaan kustannuksia ja epävarmuutta riidan lopputuloksesta. Tämäkin ongelma on korjattavissa lyhyellä sopimuslausekkeella.
Henkilötietojen käsittelyn laillisuus
Useiden pilvipalvelun tarjoajien palvelimet sijaitsevat Suomen rajojen ulkopuolella. Toimittaja ei usein ole halukas kiinnittämään tietyllä alueella sijaitsevia palvelimia asiakkaan käyttöön eikä välttämättä edes kykene yksilöimään niitä palvelimia, joilla asiakkaan tietoja käsitellään. Ulkomainen pilvipalvelun tarjoaja määrittelee lisäksi pilvessä liikkuvien henkilötietojen käsittelyn ehdot oman lainsäädäntönsä mukaan. Se, kenen vastuulla henkilötiedot ja niiden luottamuksellisuus viime kädessä ovat, jää tapauskohtaisesti ratkaistavaksi. Vahingosta vastaa aina joku. Asiakkaan näkökulmasta on aina parempi, mikäli lopputulos on ennustettavissa.
Sovellettavissa vakioehdoissa toimittajan vastuu on usein rajattu niin kapeaksi, ettei se enää ole järkevässä suhteessa mahdolliseen riskiin. Siksi henkilötietojen käsittelyn lainmukaisuus tulee varmistaa sopimusteitse ja sisällyttää sopimukseen sopimussakot, jotka puutteista aiheutuvat. NSA-kohu on omalta osaltaan jo pakottanut pilvitoimittajat muuttamaan vakioehtojaan asiakkaalle myönteisempään suuntaan henkilötietojen käsittelyn osalta.
Riskit vastaan hyödyt
Nykyisessä geopoliittisessa ilmastossa nähtäväksi jää sekin, miten palveluntarjoajan ulkomaisissa konesaleissa pyöriviä sovelluksia voidaan käyttää, mikäli tilanne kiristyy ja datayhteydet ulkomaille lakkaavat toimimasta. Palveluntarjoajan vakioehdoissa tällaiset tilanteet määritellään tavallisesti force majeure ‑tilanteiksi, jolloin toimittajan tarjoamat ratkaisuvaihtoehdot voivat olla rajalliset. Tällöin asiakkaalla ei välttämättä ole muuta vaihtoehtoa kuin jäädä tarkkailemaan tilanteen kehittymistä. Mitä teet, kun seuraat maailmanpoliittisen kriisin käänteitä Teksti-TV:stä (joka toimii myös kriisiaikoina!) samalla, kun liiketoiminta seisoo datayhteyksien ollessa poikki?
Asiakkaan tarpeet palvelun eri vaiheissa ja sen käytön päättyessä tulisi huomioida jo pilvipalvelun hankintavaiheessa. Monet riskit kytkeytyvät ennen kaikkea siihen, kuinka kriittistä pilvessä käsiteltävä aineisto liiketoiminnan kannalta on. Kuinka suuren riskin olet valmis ottamaan ja missä määrin palveluntarjoajan riski on myös asiakkaan riski? Jokaisen pilvipalvelua koskevan hankintapäätöksen pitäisi perustua harkittuun riskiarvioon eikä ainoastaan palvelun käytön helppouteen tai edullisuuteen. Kymmenienkin tuhansien eurojen säästöt on äkkiä menetetty, kun säästöhuumassa hankitun sähköpostipilven palvelinyhteydet eivät toimi, sähköposti on alhaalla ja liiketoiminta seisoo. Pilvipalvelussa toimittaja määrää tahdin. Asiakkaan vastuulla on huolehtia, ettei putoa kyydistä kesken matkan. Pilviä ei ehkä voi tavoittaa, mutta mustat pilvet voi oppia tunnistamaan.
Erään suomalaisen pörssiyhtiön toimitusjohtaja totesi kerran, että heidän on otettava pilvipalvelut käyttöön, vaikka ne kannibalisoivat heidän omaa liiketoimintaansa. Tällöin syynä pilvipalveluiden käyttöön ottamiselle oli yhtiön imago. Toivotaan, että muissa yhtiössä palveluiden valinta tapahtuu rationaalisemmilla perusteilla. Usein myös pilvipalvelun käytölle on löydettävissä rationaaliset perusteet, kun sopimusehdot ovat kohtuulliset.
Uusimmat uutiset
Julkaistu 22.8.2025 – Data ja teknologia
Kyberturvallisuus suojaa yrityksen arvokkainta pääomaa – tietoa
Julkaistu 19.5.2025 – Data ja teknologia
NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit
Julkaistu 24.2.2025 – Data ja teknologia
NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Julkaistu 15.11.2024 – Data ja teknologia
Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Eija Warma-Lehtinen & Topi Lusenius
Eija Warma-Lehtinen, Hilma Laamanen & Janne Koivisto
Eija Warma-Lehtinen & Janne Koivisto
Topi Lusenius
Uusimmat referenssit
Lantmännen – Leipurin-liiketoiminnan osto Aspolta
Toimimme Lantmännen ek förin neuvonantajana Leipurin Oyj:n suunnitellussa hankinnassa Aspo Oyj:ltä. Castrén & Snellman on johtava neuvonantaja elintarviketeollisuuden yritysjärjestelyissä. Lantmännen on Pohjois-Euroopan johtava toimija maatalous-, kone-, bioenergia- ja elintarviketoimialalla. Sen omistaa 17 000 ruotsalaista maanviljelijää, ja sillä on 12 000 työntekijää sekä toimintaa yli 20 maassa. Leipurin on pohjoismaiden johtava leivonnan raaka-aineiden, välineiden ja asiantuntijapalveluiden toimittaja leipomoille ja laajemmin elintarviketeollisuudelle. Tytäryhtiöidensä kautta se toimii Suomen lisäksi myös Ruotsissa ja Baltian maissa tarjoten kattavia leipomo- ja konditoriateollisuuden ratkaisuja. Järjestelyn toteutuminen edellyttää vielä viranomaisten hyväksyntöjä.
Julkaistu 25.8.2025
Oomi – Laajentuminen mobiililiiketoimintaan
Avustimme Oomi Oy:tä sen laajentaessa toimintaansa uudelle mobiililiittymien liiketoiminta-alueelle ja uuden Oomi Mobiili -operaattoribrändin lanseeraamisessa. Työmme sisälsi hanketta edeltäneen due diligence -prosessin sekä keskeisten kumppanuussopimusten valmistelun ja neuvottelun, luoden Oomille vahvan perustan uuden liiketoiminnan aloittamiselle. Oomi Mobiili toimii virtuaalioperaattorina (MVNO) ja tarjoaa asiakkaille mahdollisuuden hankkia puhelinliittymän sähkösopimuksen yhteydessä. Palvelun vaiheittainen lanseeraus alkaa syksyllä 2025, ja tavoitteena on valtakunnallinen saatavuus vuoden 2026 alusta.
Julkaistu 15.8.2025
Nevel – Labion liiketoiminnan osto
Neuvoimme Nevel Oy:tä sen hankkiessa Suomen toiseksi suurinta biokaasulaitosta operoivan Labio Oy:n liiketoiminnan. Järjestelyssä Lahti Aqua Oy ja Salpakierto Oy myivät Labion koko osakekannan Nevelille, mikä laajentaa Nevelin jo entuudestaan merkittävää materiaalitehokkuus- ja biokaasuportfoliota. Kauppa ei vaikuta Lahti Aquan vesihuoltotoimintaan tai Salpakierron yhdyskuntajätehuollon palvelutehtäviin. Labion toiminta ja asiakassuhteet jatkuvat ennallaan. ”Yhteistyö on meille luonnollinen askel jatkaessamme investointeja materiaalitehokkuuteen ja kestäviin energiaratkaisuihin. Integroimalla Labion kattavan tarjooman sekä osaamisen voimme tarjota asiakkaille vahvan alustan materiaalin kiertoon. Vahvistamme myös markkina-asemaamme yhtenä Suomen johtavana toimijana materiaalitehokkuuden saralla”, sanoo Nevelin liiketoimintajohtaja Ville Koikkalainen. Nevel on energiainfrayhtiö, joka tarjoaa teollisuuden ja kiinteistöjen kehittyneitä, ilmastopositiiviseen tulevaisuuteen tähtääviä ratkaisuja. Se operoi yli 130:tä energiantuotantolaitosta ja hallinnoi yli 40:tä kaukolämpöverkkoa. Nevelin liikevaihto on 150 miljoonaa euroa, ja sen palveluksessa on 190 asiantuntijaa Suomessa, Ruotsissa ja Virossa.
Julkaistu 16.7.2025
Liikennevakuutuskeskus – Potilastietojen käsittelyä koskeva ennakkopäätös ja seuraamusmaksun kumoaminen
Korkein hallinto-oikeus antoi merkittävän ennakkopäätöksen (KHO:2025:23) asiassa, jossa se katsoi, että Liikennevakuutuskeskus (LVK) käsitteli potilastietoja kohtuullisuutta, tietojen minimointia sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevien vaatimusten mukaisesti korvausasioita ratkaistaessa. Edustimme LVK:ta tässä asiassa, jossa KHO pysytti voimassa hallinto-oikeuden päätöksen kumota Tietosuojavaltuutetun toimiston (TSV) seuraamuskollegion LVK:lle asettama 52 000 euron seuraamusmaksu. KHO vahvisti myös hallinto-oikeuden, tiettävästi Suomessa ensimmäisenä annetun, päätöksen, jossa TSV määrättiin korvaamaan asiakkaamme oikeudenkäyntikuluja. Päätös on erittäin merkittävä koko vakuutustoimialalle. Asiassa oli kyse siitä, että LVK pyytää liikennevakuutuslain nojalla välttämättömiä potilastietoja käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten. Tietyissä tapauksissa laajat potilastiedot voivat olla tarpeellisia ratkaisun tekemisessä. TSV katsoi, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä tietosuoja-asetuksen 5 ja 25 artiklan vastaisesti, ja että tiedot olisi tullut toimittaa lääkärin laatiman erillisen lausunnon muodossa. Hallinto-oikeus kumosi TSV:n päätöksen ja katsoi, että käyntimerkinnät ovat lähtökohtaisesti välttämättömiä syy-yhteyden selvittämiseksi korvaustilanteessa, ja korvausasian harkintaan liittyvät tehtävät ovat nimenomaan vakuutusyhtiön ydintehtäviä, ei potilastietojen rekisterinpitäjän tehtäviä. Hallinto-oikeus ei myöskään löytänyt näyttöä siitä, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä. ”Cassun kanssa yhteistyö oli jälleen saumatonta koko pitkän prosessin ajan ja pystyimme luottamaan siihen, että asiamme on asiantuntevissa käsissä”, sanoo Vakuutuskeskus-ryhmän lakiasiainjohtaja Visa Kronbäck. Lue päätös kokonaisuudessaan KHO:n sivuilta: KHO:2025:23
Julkaistu 18.6.2025