Pilveteenuste turvalisus ja andmekaitse

Pilveteenuse kaudu pakutakse ja kasutatakse servereid, operatsioonisüsteeme, tarkvara, varundust ja muid võimalusi. Kasutajad saavad valida just neile sobivad tarkvara- ja infolahendused. Mitme pilveteenuse sihtrühm on ettevõtted ja organisatsioonid, kuid pilveteenust saavad otse kasutada ka eraisikud eelkõige internetipõhiste aplikatsioonide, e-kirjade ning failide salvestamise ja jagamise kaudu. Lõpptarbijana ei pruugi kasutaja teada, et tegemist on pilveteenusega või kus tema andmeid parasjagu hoitakse.

Miks on pilveteenus oluline? Eurostati 2014. aasta uuringust selgus, et iga viies ettevõte Euroopas kasutab pilveteenust ja IDC Research leidis 2013. aastal, et kasutajate arv on lausa 63%. Vahe võis tulla sellest, et Eurostat jättis välja finantssektori, mis IDC andemeil on pilveteenuse kasutajate pingereas teisel kohal. Pilveteenust kasutatakse kõige rohkem e-kirjade puhul, andmete varundamiseks ja vahetamiseks, andmekogude majutamiseks ning erinevate CRM-lahenduste tarbeks.

Pilveteenuse kasutamise põhjused

Kulude kokkuhoid

Neli ettevõtjat viiest vähendasid Euroopa Komisjoni andmetel pilveteenuse kasutuselevõtmisega kulusid 10–20%.

Kiirus ja paindlikkus

Pilveteenus annab kiiruse ja paindlikkuse. Ettevõtted ei pea kaua planeerima ega etteulatuvalt investeerima suuri summasid. Pilveteenuse osutajad võimaldavad kasutajal kiiresti suurendada või vähendada IT-lahenduste kasutamist vastavalt vajadusele. Seetõttu on pilveteenus ideaalne lahendus just väike- ja keskettevõtetele: kõrgtasemel teenust osutatakse ettevõtte enda eelneva investeeringuta.

Ligipääsetavus

Tänapäevases piiriüleses mitmekultuurilises maailmas on ka tähtis, et pilveteenuse kaudu pääseb teenusele ja oma andmetele juurde ükskõik millisest maailma punktist.

Pilveteenuse ohud

Andmete liikumine

Pilveteenuse positiivsete külgede juures on kõige enam murelikke arutelusid põhjustanud andmekaitse ja turvalisus. Tundlike andmete puhul tahab andmete omanik olla kindel ja kontrollida seda, kus andmed liiguvad ja kus neid hoitakse

Usalduse tagamine

Laadides oma andmed pilve, kaotab ettevõte otsese kontrolli andmete üle ja peab usaldama pilveteenuse osutajat. Pilves võidakse andmeid pidevalt liigutada eri riikide vahel, mis tähendab ka andmete liikumist erinevate õigusruumide vahel. Lõpptarbija ei pruugi teada, mis riigis tema andmed parasjagu on või mis riikide vahel liiguvad.

Tehnilised ohud

Kuidas olla kindel, et pahatahtlikud isikud ei saa juurdepääsu tundlikele andmetele, kui ettevõte isegi ei tea, kus need andmed parasjagu varundatud on? Eksperdid vaidlevad siinkohal küll vastu. Pilveteenuse osutaja ongi niisuguse teenuse osutamisele keskendunud, mis võimaldab ka palgal hoida parimaid turvaeksperte. Kui nemad ei suuda andmete turvalisust tagada, siis ei suudaks seda ka üksik väike- või keskettevõtja, kes varundab oma andmeid ise. Amazon näiteks rakendab parimaid taristuinsenere maailmas ja kui nemad ei suuda tagada turvalisust, siis ilmselt ei suuda seda keegi, leitakse 2016. aasta kohta Gartneri analüüsis.

Teenuseosutaja taust

Seega on pilveteenust kasutama asudes oluline uurida teenuse osutaja tausta ja võimekust. Vähem tähtsad pole ka teenuse osutamise juriidilised tingimused.

Nelja suure pilveteenuse osutaja tüüptingimusi võrreldes selgus, et teenuse osutajad väldivad vastutuse võtmist selle eest, et teenus on kättesaadav ja töötab tõrgeteta, ning kaitsevad ennast igasuguse nõude vastu, mis kasutaja võiks pilveteenuse kasutamise tõttu talle põhjustatud kahju korvamiseks esitada. Samal ajal jätsid pilveteenuse osutajad endale ulatusliku kaalutlusõiguse teenuse sisu ja kasutuse üle, õiguse muuta kasutustingimusi eelneva teavituseta ning õiguse peatada või lõpetada teenuse osutamine igal ajal.

Suurimad teenuse osutajad mõistavad privaatsuse, kasutaja nõusoleku, läbipaistvuse ja turvalisuse tähtsust. Microsoft näiteks on hakanud oma pilveteenust nende põhimõtete alusel korraldama, tuues turule „andmete usaldusisiku“ mudeli, mis pakub kasutajatele valikuvõimalust, kuidas ja kus nende andmeid hoitakse.

Isikuandmete kaitse üldmäärus

Pilveteenuse kasutamisel on positiivne, et 2018. aasta mais rakendub isikuandmete kaitse üldmäärus (GDPR). Siiani käsitleti pilveteenuse pakkujat kui andmetöötlejat (ingl data processor) kuid uue määruse kohaselt pilveteenuse osutaja staatus muutub ja talle langeb ka vastutus andmete töötlemisel (ingl data controller). Selline jagatud vastutus paneb paljud pilveteenuse osutajad oma teenuseid ja kasutustingimusi üle vaatama.

Samal ajal peaks see võimaldama kasutajale suuremat kontrolli ja läbipaistvust andmete töötlemise ja salvestamise kohta. Pilveteenuse osutajaid kohustatakse teavitama asjaomaseid asutusi, kui on toimunud andmeleke või muu rikkumine. See peaks tagama kiire reageerimise ja rikkumise võimalikult varajase avastamise, et hoida kahju võimalikult väike.

GDPR on kasulik ka seetõttu, et Euroopa andmekaitse kord rakendub nüüd ka andmepõhiselt, varem rakendus see ainult Euroopa Liidu riikide territooriumil. See tähendab, et ükskõik kus EL'i andmesubjekti andmeid hoitakse, tuleb nendega ümberkäimiseks ja nende privaatsuse ning turvalisuse tagamiseks juhinduda GDPR-ist. Seega, kui pilveteenuse osutaja hoiab andmeid kolmanda riigi jurisdiktsiooni all, kehtivad andmetega ümberkäimisele samad reeglid nagu siis, kui andmeid hoitakse Euroopa Liidu territooriumil.

Pilveteenuse kasutaja vastutus

Jagatud vastutus aga ei vabasta vastutusest pilveteenuse kasutajat. Oma kliendibaasi ja kliendi andmete eest vastutab siiski ettevõtja ise ja rikkumise korral on võimalik, et rakendatakse sanktsioone. Seega tasub olla hoolas andmetega ümberkäimisel ja pilveteenuse osutaja valikul. Tähelepanu võiks pöörata eelkõige allpool nimetatud asjaoludele.

Ole teadlik, kus pilveteenuse osutaja töötleb ja hoiab sinu andmeid.

Sellele aitab kaasa eeltöö enne pilveteenuse osutaja valikut. Teada tasub, et harva on teenuse osutaja juriidiline asukoht seal, kus ta andmeid töötleb ja hoiab ning andmed võivad olla pidevas piiriüleses liikumises.

Rakenda piisavaid turvameetmeid, et kaitsta isikuandmeid kaotsimineku, muutmise ja lubamatu töötlemise eest.

Ole teadlik, millised teenused ja lahendused on vajaliku turvastandardi kohased ja kasuta ainult neid. Vajadusel võta appi Netskope’i Cloude Confidence Index (https://resources.netskope.com/h/i/40484891-netskope-cloud-confidence-index), mis võib anda esialgse suuna.

Kui avastad, et pilveteenuse osutaja ei järgi GDPRi, turva- või muid nõudeid, siis lõpeta teenuse kasutamine.Salvesta ainult neid andmeid, mida otseselt on vaja, ja piira delikaatsete isikuandmete töötlemist.

Veendu, et kogud ja salvestad täpselt nii palju andmeid, kui on vaja, ja nii vähe, kui on võimalik. Võimaluse korral ära töötle delikaatseid isikuandmeid, näiteks rass, rahvus, poliitilised tõekspidamised, religioon jne.

Ära luba pilveteenuse osutajal kasutada andmeid muuks otstarbeks kui on konkreetselt määratud.

Veendu lepingut sõlmides ja pilveteenuse osutaja tausta uurides, et teenuse osutaja deklareerib oma kasutajatingimustes ning lepingus selgelt ja üheselt, et teenuse kasutaja on ja jääb andmete omanikuks ning pilveteenuse osutaja ei jaga andmeid kolmandate osalistega.

Veendu, et pilveteenuse osutaja kustutab kõik andmed, kui loobud teenuse kasutamisest.

Ole kindel, et pilveteenuse kasutamise leping ja tingimused võimaldavad andmeid alla laadida ja seejärel täielikult kustutada, kui lõpetatakse pilveteenuse kasutamine. Võimaluse korral tee kindlaks, kui kaua kustutamine aega võtab.

Artikli autor Laura Saks esineb 8. veebruaril toimuval seminaril  

Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks

Info ja registreerimine SIIN

IT JUHTIMISE KÄSIRAAMAT

Artikkel ilmus Äripäeva IT juhtimise käsiraamatus.

Käsiraamatus jagame head nõu, kuidas IT-rakenduste ja investeeringute abil suurendada konkurentsivõimet ning paremini rakendada tehnilisi oskusi ja võimalusi ettevõtte eesmärkide teenistusse.

Selles leiate süsteemse ülevaate infotehnoloogia võimalustest ja otstarbeka rakendamise põhimõtetest. Tippjuht, kes vastutab ettevõtte strateegia ja investeeringute eest, saab hea arusaama IT-valdkonna praktilisest poolest ning on seega võimeline tegema paremaid juhtimisotsuseid.

Käsiraamat valmib koostöös juhtiva ärinõustamisfirmaga KPMG Baltics OÜ ja peatoimetaja on IT nõustamisteenuste juht Teet Raidma.

Vaadake näidiskäsiraamatut!

Mida saate aastalitsentsi eest?

Ligipääsu igal kuul uuenevale e-käsiraamatuleVõimaluse kasutada e-nõuandekeskustPaberväljaandePaberväljaande täiendusi iga kolme kuu järelE-uudiskirja Õigusuudised 10 korda aastas

Autor: Laura Saks, KPMG Advokaadibüroo infotehnoloogia- ja intellektuaalomandiõiguse vanemjurist