pilvipalvelut ja henkilotiedot - titta penttilä - tietoturvatapahtuma 2014 - sonera
TRANSCRIPT
Pilvipalvelut ja
henkilötiedot
Titta Penttilä
Senior information security manager Group Security, TeliaSonera
Muuttuva toimintaympäristö
Tietosuoja Tiedon määrän ja käsittelyn valtava
kasvu
Tiedon arvon ja laadun
korostuminen
Alihankinta, pilvipalvelut
Yleisen tietoisuuden ja kiinnostuksen lisääntyminen
Lainsäädännön vaatimusten
tiukkeneminen ja sanktiot
Riskit ja uhat
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 2
Uhat ja toimintaympäristön haasteet
Säänte
ly ja
sanktio
t
Lainsäädäntö on teknologianeutraalia
• Pilvipalveluita koskevat samat säännöt kuin muutakin henkilötietojen käsittelyä
• Pilvipalveluiden haasteita tietosuojan kannalta
– Pilvet ylittävät rajat – henkilötietojen käsittelystä on tullut maailmanlaajuista, mutta lait ovat kansallisia
– Kontrollin ja avoimuuden puute
– Monimutkaiset ja dynaamiset alihankintaketjut
– Käsitellään erittäin suuria määriä tietoa
– Vakiosopimusehdot
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 3
Käsitteet ja roolit
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 4
Pilvipalveluntarjoaja Asiakas
Henkilötietojen
siirto
Rekisterinpitäjä (controller) • Oikeus määrätä tietojen
käytöstä (”omistaja”)
• Vastaa lainsäädännön
noudattamisesta
• Sovellettava laki
Käsittelijä (processor) • Käsittelee henkilötietoja
rekisterinpitäjän lukuun ja
tämän ohjeiden mukaan
• Tekniset ja organisatoriset
toimenpiteet henkilötietojen
suojaamiseksi
Henkilötieto • Tieto, joka voidaan
tunnistaa tiettyä
henkilöä/hänen perhettä
koskevaksi.
Henkilötietojen siirron juridiset edellytykset
Henkilötietojen käsittelyn laillisuus (Henkilötietolaki)
• Huolellisuus
• Suunnittelu
• Käyttötarkoitussidonnaisuus
• Laillisuus
• Tarpeellisuus
• Virheettömyys
• Avoimuus
• Suojaaminen (Tietoturva)
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 5
EU/ETA ja Komission hyväksymät maat
• “Data transfer agreement”
• Henkilötietolaki: “annettava asianmukaiset selvitykset ja sitoumukset”
Muut maat
• Tarvitaan erityisiä takeita tietosuojan tasosta
• Esim. Komission vakiosopimuslausekkeet
Erityislakien vaatimukset (esim. Sähköisen viestinnän tietosuojalaki)
Suunnittelu ja riskianalyysi
• Mitä henkilötietoja ollaan siirtämässä?
• Missä tiedot tulevat sijaitsemaan ?
• Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy?
• Mikä on kyseisten tietojen merkitys yhtiön kannalta?
• Uhat ja riskit?
• ”Business case”?
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 6
Pilvipalveluntarjoajan arviointi
• Asianmukainen tietoturvantaso
– Tekniset ja organisatoriset toimet
• Todentaminen – Sertifikaatit esim. ISO 27001
– Auditointi
• Kyvykkyys vastata vaatimuksiin
– Oikeudelliset sanktiot ja vahingonkorvaukset
• Mahdollisuus vaikuttaa tarjottavaan palveluun ja sopimusehtoihin
– Alihankkijat, tietojen sijainti
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 7
Sopimus henkilötietojen näkökulmasta
• Oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan
• Noudatettava soveltuvaa lainsäädäntöä
• Varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi
• Avustettava rekisterinpitäjää lakisääteisten velvollisuuksien hoitamisessa
• Tietojen sijainti
– Siirto EU/ETA:n ulkopuolelle ?
– Komission vakiosopimuslausekkeet
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 8
Sopimus henkilötietojen näkökulmasta
• Osapuolten roolit, vastuut ja velvollisuudet
• Salassapitolauseke
• Alihankkijat ja velvollisuus sisällyttää samat velvoitteet alihankintasopimuksiin
• Rikkomuksista ja uhista ilmoittaminen
• Auditointi- ja tiedonsaantioikeus
• Sanktiot
• Sopimuksen päättymisen seuraukset
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 9
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 10
• Samat pelisäännöt kuin ”normaaleissa” alihankintatilanteissa
• Erityiset pilvipalveluiden luonteesta johtuvat riskit huomioitava
• Osana yrityksen hankintaprosessia ja alihankkijoiden hallintaa
• Sopimus ja auditoinnit
• Tekemisen voi ulkoistaa, mutta ei vastuuta
• Pilvi ei välttämättä sovi kaikelle tiedolle
Yhteenveto
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 11
Titta Penttilä OTK, CIPP/E
Senior information security manager,
TeliaSonera
fi.linkedin.com/in/tpenttila
Kysymyksiä?
Kommentteja?
Kokemuksia?
Ajatuksia?
KIITOS!
Lukuvinkkejä • ENISA: Cloud Computing, Benefits, risks and
recommendations for information security, November 2009
• WP 29 (Article 29 Data Protection Working Party): Opinion 05/2012 on Cloud Computing, WP 196, July 2012
• International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and Data Protection Issues ”Sopot Memorandum”, April 2012
• Council of Europe: Handbook on European data protection law (2014)
• Lisätietoa valmisteilla olevasta EU:n tietosuoja-asetuksesta: EU Commission EU data protection reform http://ec.europa.eu/justice/data-protection/
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 12
sonera_security
twitter.com/sonera_security