Erään suomalaisen iskelmän kertosäe kuuluu: ”Mut kauas pilvet karkaavat, turhaan niitä tavoitat”. Voisiko tämä liittyä jotenkin myös IT-palveluihin? Varmasti. Pilvipalveluista on tullut viime vuosina IT-mantra, taikasana, jota viljellään kaikkialla. Jopa maakuntalehdet kirjoittavat niistä. Pilvipalvelut pelastavat kaiken, tekevät IT:stä kertaheitolla helppoa ja yksinkertaista. Onko todella näin? Saatko pilvet kiinni?
10.9.2014
Tummia pilviä horisontissa
Palvelut
Pilvipalveluiden nopea skaalautuvuus ja elastisuus ovat kaikkien huulilla. Monissa tilanteissa pilvestä onkin tullut salonkikelpoinen vaihtoehto perinteisille IT-palveluille. Myös pilvipalveluiden käyttöön liittyvät hintaedut houkuttelevat: kiinteät kustannukset ovat niissä huomattavasti pienemmät ja paremmin ennustettavissa. Asiakas maksaa vain käytöstä, ei laitteista, koulutuksesta ja henkilöresursseista. Tässä huumassa pilvien tummat reunat jäävät helposti vähemmälle huomiolle. Vaikka etenkin tietoturva ja pilvessä liikkuvat henkilötiedot ovat olleet tapetilla NSA-kohun ja julkimoiden alastonkuvien äskettäin aiheuttaman skandaalin jälkimainingeissa, pilvipalveluiden käyttöön liittyy myös muita käytännön ongelmia. Gartnerin viimeisimmän hype-käyrän mukaan pilvipalvelut ovat lähivuosina tulossa vaiheeseen, jossa niiden on aika lunastaa lupauksensa: kiinnostus pilvipalveluihin heikentyy negatiivisten kokemusten vuoksi, ja lehtijulkisuus on kääntymässä niitä vastaan, mikä tulee muokkaamaan palvelukenttää uudelleen. Tämä muutos tulee varmasti olemaan toivottu.
Järkevä sopimus
Pilvimaailmassa asiakas ei ole kuningas. Pilviasiakas on riippuvainen toimittajasta, eikä liiketoiminnan muutoksia aina ole mahdollista huomioida samalla tavoin kuin perinteisessä vaihtoehdossa – ei edes rahalla. Toimittaja määrittelee palveluiden sisällön ja ominaisuudet. Asiakkaan tulee tällöin sopimusteitse varmistaa, että palvelun käyttäminen voidaan sulavasti lopettaa, mikäli palvelun käyttö ei enää vastaa liiketoiminnan tarpeita.
Kun siirrät tietosi pilveen, siirrät sinne myös kontrollisi. Valitettavan usein näkee tilanteita, joissa asiakas on sidottu valittuun palveluntarjoajaan eikä pilvessä käsiteltäviä tietoja saada palautettua asiakkaalle. Tällaisten vendor lock-in -tilanteiden (joissa asiakas jää toimittajan panttivangiksi) välttämiseksi on hyvä sopimusta tehtäessä miettiä, kuinka tiedot toisaalta teknisesti ja toisaalta juridisesti saadaan kaikissa tilanteissa siirrettyä pilvestä toiseen palveluun.
Useat kansainväliset pilvipalveluyhtiöt suosivat riitatilanteissa yhdysvaltalaisia tuomioistuimia. Onko tämä asiakkaan edun mukaista? Tuskin kovinkaan moni suomalaisyhtiö on halukas riitelemään palveluntarjoajan kanssa esimerkiksi omien tietojensa oikeuksista yhdysvaltalaisessa tuomioistuimessa kotimaisen riidanratkaisuvaihtoehdon sijaan, sillä se lisää asiakkaan kustannuksia ja epävarmuutta riidan lopputuloksesta. Tämäkin ongelma on korjattavissa lyhyellä sopimuslausekkeella.
Henkilötietojen käsittelyn laillisuus
Useiden pilvipalvelun tarjoajien palvelimet sijaitsevat Suomen rajojen ulkopuolella. Toimittaja ei usein ole halukas kiinnittämään tietyllä alueella sijaitsevia palvelimia asiakkaan käyttöön eikä välttämättä edes kykene yksilöimään niitä palvelimia, joilla asiakkaan tietoja käsitellään. Ulkomainen pilvipalvelun tarjoaja määrittelee lisäksi pilvessä liikkuvien henkilötietojen käsittelyn ehdot oman lainsäädäntönsä mukaan. Se, kenen vastuulla henkilötiedot ja niiden luottamuksellisuus viime kädessä ovat, jää tapauskohtaisesti ratkaistavaksi. Vahingosta vastaa aina joku. Asiakkaan näkökulmasta on aina parempi, mikäli lopputulos on ennustettavissa.
Sovellettavissa vakioehdoissa toimittajan vastuu on usein rajattu niin kapeaksi, ettei se enää ole järkevässä suhteessa mahdolliseen riskiin. Siksi henkilötietojen käsittelyn lainmukaisuus tulee varmistaa sopimusteitse ja sisällyttää sopimukseen sopimussakot, jotka puutteista aiheutuvat. NSA-kohu on omalta osaltaan jo pakottanut pilvitoimittajat muuttamaan vakioehtojaan asiakkaalle myönteisempään suuntaan henkilötietojen käsittelyn osalta.
Riskit vastaan hyödyt
Nykyisessä geopoliittisessa ilmastossa nähtäväksi jää sekin, miten palveluntarjoajan ulkomaisissa konesaleissa pyöriviä sovelluksia voidaan käyttää, mikäli tilanne kiristyy ja datayhteydet ulkomaille lakkaavat toimimasta. Palveluntarjoajan vakioehdoissa tällaiset tilanteet määritellään tavallisesti force majeure ‑tilanteiksi, jolloin toimittajan tarjoamat ratkaisuvaihtoehdot voivat olla rajalliset. Tällöin asiakkaalla ei välttämättä ole muuta vaihtoehtoa kuin jäädä tarkkailemaan tilanteen kehittymistä. Mitä teet, kun seuraat maailmanpoliittisen kriisin käänteitä Teksti-TV:stä (joka toimii myös kriisiaikoina!) samalla, kun liiketoiminta seisoo datayhteyksien ollessa poikki?
Asiakkaan tarpeet palvelun eri vaiheissa ja sen käytön päättyessä tulisi huomioida jo pilvipalvelun hankintavaiheessa. Monet riskit kytkeytyvät ennen kaikkea siihen, kuinka kriittistä pilvessä käsiteltävä aineisto liiketoiminnan kannalta on. Kuinka suuren riskin olet valmis ottamaan ja missä määrin palveluntarjoajan riski on myös asiakkaan riski? Jokaisen pilvipalvelua koskevan hankintapäätöksen pitäisi perustua harkittuun riskiarvioon eikä ainoastaan palvelun käytön helppouteen tai edullisuuteen. Kymmenienkin tuhansien eurojen säästöt on äkkiä menetetty, kun säästöhuumassa hankitun sähköpostipilven palvelinyhteydet eivät toimi, sähköposti on alhaalla ja liiketoiminta seisoo. Pilvipalvelussa toimittaja määrää tahdin. Asiakkaan vastuulla on huolehtia, ettei putoa kyydistä kesken matkan. Pilviä ei ehkä voi tavoittaa, mutta mustat pilvet voi oppia tunnistamaan.
Erään suomalaisen pörssiyhtiön toimitusjohtaja totesi kerran, että heidän on otettava pilvipalvelut käyttöön, vaikka ne kannibalisoivat heidän omaa liiketoimintaansa. Tällöin syynä pilvipalveluiden käyttöön ottamiselle oli yhtiön imago. Toivotaan, että muissa yhtiössä palveluiden valinta tapahtuu rationaalisemmilla perusteilla. Usein myös pilvipalvelun käytölle on löydettävissä rationaaliset perusteet, kun sopimusehdot ovat kohtuulliset.
Uusimmat uutiset
Julkaistu 19.5.2025 – Data ja teknologia
NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit
Julkaistu 24.2.2025 – Data ja teknologia
NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Julkaistu 15.11.2024 – Data ja teknologia
Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Julkaistu 10.10.2024 – Data ja teknologia
Uusi kaksikäyttötuotelaki astui voimaan syyskuun puolivälissä – Mitä muuttuneesta sääntelystä tulee tietää?
Eija Warma-Lehtinen, Hilma Laamanen & Janne Koivisto
Eija Warma-Lehtinen & Janne Koivisto
Topi Lusenius
Kim Parviainen, Lauri Laatunen & Joakim Jaulimo
Uusimmat referenssit
Liikennevakuutuskeskus – Potilastietojen käsittelyä koskeva ennakkopäätös ja seuraamusmaksun kumoaminen
Korkein hallinto-oikeus antoi merkittävän ennakkopäätöksen (KHO:2025:23) asiassa, jossa se katsoi, että Liikennevakuutuskeskus (LVK) käsitteli potilastietoja kohtuullisuutta, tietojen minimointia sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevien vaatimusten mukaisesti korvausasioita ratkaistaessa. Edustimme LVK:ta tässä asiassa, jossa KHO pysytti voimassa hallinto-oikeuden päätöksen kumota Tietosuojavaltuutetun toimiston (TSV) seuraamuskollegion LVK:lle asettama 52 000 euron seuraamusmaksu. KHO vahvisti myös hallinto-oikeuden, tiettävästi Suomessa ensimmäisenä annetun, päätöksen, jossa TSV määrättiin korvaamaan asiakkaamme oikeudenkäyntikuluja. Päätös on erittäin merkittävä koko vakuutustoimialalle. Asiassa oli kyse siitä, että LVK pyytää liikennevakuutuslain nojalla välttämättömiä potilastietoja käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten. Tietyissä tapauksissa laajat potilastiedot voivat olla tarpeellisia ratkaisun tekemisessä. TSV katsoi, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä tietosuoja-asetuksen 5 ja 25 artiklan vastaisesti, ja että tiedot olisi tullut toimittaa lääkärin laatiman erillisen lausunnon muodossa. Hallinto-oikeus kumosi TSV:n päätöksen ja katsoi, että käyntimerkinnät ovat lähtökohtaisesti välttämättömiä syy-yhteyden selvittämiseksi korvaustilanteessa, ja korvausasian harkintaan liittyvät tehtävät ovat nimenomaan vakuutusyhtiön ydintehtäviä, ei potilastietojen rekisterinpitäjän tehtäviä. Hallinto-oikeus ei myöskään löytänyt näyttöä siitä, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä. ”Cassun kanssa yhteistyö oli jälleen saumatonta koko pitkän prosessin ajan ja pystyimme luottamaan siihen, että asiamme on asiantuntevissa käsissä”, sanoo Vakuutuskeskus-ryhmän lakiasiainjohtaja Visa Kronbäck. Lue päätös kokonaisuudessaan KHO:n sivuilta: KHO:2025:23
Julkaistu 18.6.2025
llkka Paanasen säätiö – Oikeudellinen arvio generatiivista tekoälyä hyödyntävästä chatbot-järjestelmästä
Avustimme Ilkka Paanasen säätiö sr:tä oikeudellisen arvion laatimisessa generatiivista tekoälyä hyödyntävästä chatbot-järjestelmästä, jonka tavoitteena on vahvistaa nuorten mielen hyvinvointia ja tarjota tukea mielenterveyden haasteissa ja erilaisissa elämänkriiseissä. Arvio sisälsi oikeudellista neuvontaa etenkin kehittynyttä tekoälyä sääntelevän tekoälysäädöksen että yleisemmin tietosuojalainsäädännön ja muun keskeisen lainsäädännön näkökulmasta.
Julkaistu 16.6.2025
Pihlajalinna – Erityisasumispalveluiden liiketoiminnan myynti
Neuvoimme Pihlajalinna Oyj:tä järjestelyssä, jossa Pihlajalinna Terveys Oy ja Ikipihlaja Setälänpiha Oy myivät erityisasumispalveluiden liiketoimintansa Esperi Care Oy:lle. Kaupan kohteena olivat kolme Pihlajalinna Uniikki -yksikköä Hämeenlinnassa, Lohjalla ja Riihimäellä sekä Ikipihlaja Oiva Raisiossa. Järjestelyn seurauksena yhteensä yli 100 työntekijää siirtyi Esperille. Pihlajalinna on yksi Suomen johtavista yksityisistä sosiaali- ja terveydenhuoltopalveluiden tuottajista. Pihlajalinnalla on yli 160 toimipistettä ympäri Suomea ja laaja palveluvalikoima sekä yksityisen että julkisen sektorin asiakkaille.
Julkaistu 2.6.2025
PwC – Kelan Eepos-hankinnan kilpailutus
Toimimme PwC:n oikeudellisena neuvonantajana Kelan etuusjärjestelmien uudistushankkeen kilpailutuksessa, jonka PwC voitti. Kyseessä on merkittävä Suomen sosiaaliturvainfrastruktuurin modernisointia koskeva hanke. Kela on valinnut PwC:n strategiseksi kumppanikseen toteuttamaan etuusjärjestelmiensä laajan uudistuksen, joka käsittää etuuskäsittelyn tietojärjestelmien, digitaalisen asioinnin, asiakkuudenhallinnan ja tiedonvälityksen alustat. Hankkeen tavoitteena on vastata tulevaisuuden digitaalisen toimintaympäristön ja asiakkaiden vaatimuksiin. Teknologiaksi on valittu Salesforce. Uusien järjestelmien odotetaan sujuvoittavan etuuskäsittelyä ja parantavan asiakkaiden, työntekijöiden ja muiden sidosryhmien käyttäjäkokemusta. Lisäksi niiden avulla pystytään varautumaan aiempaa paremmin lainsäädäntömuutoksiin. Castrén & Snellman toimi PwC:n strategisena oikeudellisena neuvonantajana tarjouskilpailun alusta loppuun saakka. Kilpailutus toteutettiin kilpailullisena neuvottelumenettelynä. Onnittelemme lämpimästi PwC:tä tarjouskilpailun voittamisesta ja jäämme mielenkiinnolla seuraamaan, millaisia positiivisia vaikutuksia hankkeella on Suomen sosiaaliturvajärjestelmään.
Julkaistu 24.4.2025