Tietosuoja Accountorin moderneissa pilvipalveluissa
Moni pohtii nyt yrityksien palveluissa käytettävien kansainvälisesti toimivien julkipilvipalveluiden tietosuojaa; noudattavatko palveluntarjoajat EU:n tietosuoja-asetusta (GDPR) ja ovatko henkilötiedot varmasti turvassa?
Accountorin pilvipohjaisia ratkaisuja käyttämällä yrityksesi voi hyödyntää uusinta teknologiaa ja kasvaa muuttuvan maailman tarpeiden mukana. Samalla varmistut siitä, että käytössäsi ovat parhaan mahdollisen tietosuojatason palvelut, luotettava ja tehokas toimintaympäristö sekä joustavasti laajennettava ja tietoturvallinen ratkaisu.
Lue lisää modernien pilvipalveluidemme tietosuojasta, tietoturvan tasosta ja nykytilanteesta.
Julkipilvipalvelut lyhyesti
Julkipilvellä (public cloud services) tarkoitetaan tietotekniikkapalveluita verkossa tarjoavia palvelumalleja. Julkipilvipalvelussa esimerkiksi organisaation omat tietojärjestelmät, sovellukset ja palvelut sijaitsevat omien laitteiden sijaan tietoliikenneverkossa.
Julkipilvessä palveluita voidaan hyödyntää ja kasvattaa ketterästi, ilman tarvetta investoida omaan fyysiseen infrastruktuuriin. Palvelut ja ominaisuudet ovat helposti saatavilla, nopeita ottaa käyttöön ja ne tarjoavat mahdollisuuden toimia erittäin suojatussa it-infrastruktuurissa.
Suomessa valtiovarainministeriö kannustaa Cloud 1st -strategiallaan myös julkisen sektorin organisaatioita hyödyntämään ensisijaisesti pilvipalveluita tietojärjestelmissään ja palveluissaan.
Miten Accountor varmistaa tietosuojamääräysten noudattamisen julkipilvipalveluissaan?
Me Accountorilla seuraamme tietosuojakeskustelua tiiviisti ja toimimme aina viranomaisvaatimusten ja parhaiden mahdollisten käytänteiden mukaisesti.
Lähtökohtanamme on, että Accountorin järjestelmissä olevat tiedot salataan aina – riippumatta siitä, tarvitseeko tietoa siirtää EU:n ulkopuolelle vai ei. Salatut tiedot ovat avattavissa vain salausavaimilla, joita hallinnoidaan joko meidän tai luotetun kumppanimme toimesta. Julkipilvipalvelun tarjoajalle avaimia ei luovuteta.
Joulukuussa 2023 taloushallinto-ohjelmistoliiketoiminnallemme myönnettiin ISO27001-sertifikaatti. Sertifikaatti on osoitus siitä, että noudatamme ulkopuolisen auditoijan toteamana parhaita kansainvälisiä käytänteitä ja tietoturvastandardeja.
Vaadimme kumppaneiltamme ja pilvipalveluntarjoajilta korkean tason tietosuojakäytänteiden noudattamista. Seuraamme aktiivisesti kansainvälisiä säädöksiä, eri maiden toimintaa sekä säädösten ja viranomaisvaatimusten noudattamista ja päivitämme omia toimintatapojamme tarvittaessa niiden mukaisesti.
Esimerkiksi Microsoftin kanssa tekemiemme sopimusten mukaan pilvipalvelujen tiedot sijaitsevat Euroopassa. Olemme varautuneet mahdollisiin poikkeustilanteisiin Microsoftin kanssa sopimuksellisesti käyttäen Euroopan komission vakiosopimuslausekkeita, jotka mahdollistavat henkilötietojen siirron EU:n tietosuoja-asetuksen tasoa noudattaen.
Accountorin asiakkaana voit hyödyntää uusinta teknologiaa, skaalata organisaatiosi toimintaa ketterästi ja ottaa käyttöön viimeisimpiä julkisen pilven parannuksia ja ominaisuuksia kärkijoukoissa. Samalla varmistut siitä, että käsittelemme tietojasi ja asiakkaidesi tietoja parhaiden mahdollisten käytäntöjen ja EU:n tietosuoja-asetuksen mukaisesti.
Tiedonsiirto ja GDPR – Mistä on kysymys?
EU:n tietosuoja-asetus GDPR (General Data Protection Regulation) asettaa tiukat vaatimukset henkilötietojen käsittelylle ja suojaamiselle. Organisaatioiden tulee käsitellä ja säilyttää henkilötietoja GDPR:n mukaisesti – käsiteltiin tietoja sitten julkipilvessä tai yrityksen omassa konesalissa, Euroopan Unionin maiden sisällä tai niiden ulkopuolella.
Lainsäädännön erot globaalisti aiheuttavat ymmärrettävästi toisinaan huolta siitä, kuinka tietosuoja-asetuksen vaatimuksista voidaan huolehtia julkipilvipalveluita käytettäessä. Esimerkiksi Accountorin hyödyntämän Azuren tiedot sijaitsevat Euroopassa. Microsoftin emoyhtiö kuuluu kuitenkin Yhdysvaltojen oikeusjärjestelmän piiriin, jonka tietosuojan taso lähtökohtaisesti poikkeaa EU:n vaatimuksista. Onko palvelun käyttö siis varmasti turvallista ja GDPR-säädösten mukaista?
Tietosuojakehys ja riittävyyspäätös
Yhdysvalloissa toteutettiin vuonna 2023 toimenpiteitä, joilla pyritään turvaamaan EU:n tietosuoja-asetuksen vaatima taso. Käyttöön otettiin esimerkiksi mekanismeja, joiden avulla omien henkilötietojen asianmukainen käsittely voidaan varmistaa ja viranomaisten oikeuksia päästä käsiksi henkilötietoihin on tiukennettu.
Uusien mekanismien myötä Euroopan komissio on päättänyt, että Yhdysvaltojen toimet ovat tietosuojan tason kannalta riittäviä. Sen mukaan yhtiöt, jotka ovat sertifioituneet tietosuojakehykseksi kutsuttuun järjestelyyn (Data Privacy Framework), kykenevät tarjoamaan EU:n tietosuoja-asetuksen mukaisesti riittävän tietosuojatason.
Tietosuojakehyksen piiriin kuuluvat yritykset, esimerkiksi Microsoft, ovat siis Euroopan komission määritelmien mukaisesti turvallisia kumppaneita. Valitsemme kumppanimme vain tällaisten turvalliseksi määriteltyjen kumppanien joukosta.
