Useimmat GDPR-vaatimustenmukaisuutta koskevat keskustelut keskittyvät prosesseihin: tietojenkäsittelysopimukset, suostumuslomakkeet, tietosuojakäytännöt, tietomurtoja koskevat ilmoitusmenettelyt. Nämä kaikki ovat välttämättömiä, mutta ne ohittavat perustavammanlaatuisen kysymyksen: missä data oikeastaan sijaitsee, ja kuka hallitsee infrastruktuuria?
Tietojen sijainnin kysymys
GDPR:n mukaan EU-kansalaisten henkilötietoja voidaan teknisesti tallentaa EU:n ulkopuolelle — mutta vain tiukkojen ehtojen vallitessa. Esimerkiksi siirrot Yhdysvaltoihin vaativat joko vakiosopimuslausekkeita tai vastaavaa siirtomekanismia, ja näitä mekanismeja on haastettu oikeudellisesti toistuvasti. Schrems II -ratkaisu vuonna 2020 mitätöi Privacy Shield -kehyksen ja vaikeutti merkittävästi sen väittämistä, että yhdysvaltalaisessa pilvipalvelussa tallennettu data täyttää GDPR-vaatimukset käytännössä.
Datan tallentaminen EU:n sisälle välttää tämän ongelman kokonaan. Mutta pelkkä EU-jäsenyys ei riitä — merkitystä on myös sillä, kuka infrastruktuuria operoi ja minkä oikeudellisen kehyksen puitteissa. Yhdysvaltalainen yritys, jolla on konesaleja Irlannissa, on silti yhdysvaltalainen yritys, ja Yhdysvaltain laki voi edelleen pakottaa pääsyn yhdysvaltalaisten henkilöiden tai yhteisöjen missä tahansa pitämään dataan.
Selkein vaatimustenmukaisuusasema on data tallennettuna EU:hun, EU-yhteisöjen operoimalle infrastruktuurille, ilman oikeudellista polkua, jonka kautta ulkomaiset viranomaiset voisivat päästä siihen ilman EU:n oikeusprosesseja.
Miksi juuri Suomi
Suomi tarjoaa useita käytännön etuja eurooppalaisen pilvi-infrastruktuurin sijaintipaikkana:
Oikeudellinen vakaus. Suomi on EU:n jäsenvaltio, jolla on vahva oikeusvaltioperinne. Suomen tietosuojalainsäädäntö toteuttaa GDPR:n uskollisesti, ja tietosuojavaltuutettu on aktiivinen ja arvostettu valvontaviranomainen.
Ei epäselviä ulkomaisen lain altistuksia. Suomalaiset operaattorit ovat Suomen ja EU:n lainsäädännön alaisia. Ei ole olemassa Yhdysvaltain CLOUD Actin kaltaista lakia, joka voisi pakottaa suomalaisen operaattorin luovuttamaan dataa ulkomaiselle viranomaiselle ilman EU:n oikeusapusopimusprosessia.
Energiatehokkuus. Suomalaiset konesalit toimivat pääosin uusiutuvalla sähköllä ja käyttävät kylmää ilmastoa luonnolliseen jäähdytykseen. Tämä tekee Suomesta yhden Euroopan energiatehokkaimmista hosting-ympäristöistä — relevantti organisaatioille, joilla on kestävyyssitoumuksia.
Kehittynyt kolokaatioekosysteemi. Helsingin seudulla on merkittävä kolokaatiokapasiteetti useiden itsenäisten operaattorien kanssa, mukaan lukien Hetzner. Tämä tarkoittaa kilpailukykyistä hinnoittelua, fyysisiä redundanssivaihtoehtoja ja mahdollisuutta siirtyä tilasta toiseen tarvittaessa.
Läheisyys Saksaan. Saksalaisille yrityksille, joilla on asiakkaita tai tytäryhtiöitä Suomessa, tai suomalaisille yrityksille, jotka palvelevat Saksan markkinoita, Suomi on käytännöllinen toimintapaikka — riittävän lähellä satunnaisia henkilökohtaisia vierailuja varten, sama EU-aikavyöhykeklusteri.
Oma isännöinti vaatimustenmukaisuusstrategiana
Organisaatioille, joille tietojen sijainti on aito vaatimustenmukaisuusvaatimus — ei vain mieltymys — oma isännöinti tai kolokaatiohosting tarjoaa jotain, mitä SaaS ei pysty tarjoamaan: suoran operatiivisen hallinnan siitä, missä dataa tallennetaan ja käsitellään.
Kun pyörität Nextcloudia suomalaisen konesalin palvelimella oman hallinnollisen valvontasi (tai TechWisen puolestasi harjoittaman hallinnollisen valvonnan) alla, voit ilmoittaa selkeästi:
- Tämä data on tallennettu Suomeen
- Palvelinta operoi suomalainen yritys Suomen ja EU:n lainsäädännön mukaisesti
- Millään yhdysvaltalaisella oikeushenkilöllä ei ole hallinnollista pääsyä
- Pääsylokit ovat saatavilla tarkastusta varten
Tämä on vaatimustenmukaisuuslausunto, jota on vaikea tai mahdoton tehdä useimpien suurten pilvipalveluntarjoajien kanssa, joiden omistusrakenteet, hallinnolliset pääsymallit ja oikeudelliset velvoitteet ovat monimutkaisia ja muutoksille alttiita.
Miltä tämä näyttää käytännössä
TechWise operoi Nextcloud-asennuksia asiakkaille heidän omalla infrastruktuurillaan — palvelimilla, jotka he omistavat omissa tiloissaan, tai palvelimilla suomalaisissa kolokaatiolaitoksissa sopimuksilla suoraan asiakkaan ja konesalin välillä.
Hoidamme operatiivisen puolen: käyttöönotto, päivitykset, monitorointi, varmuuskopiointi ja tuki. Asiakkaamme saavat oman datan infrastruktuurin omistamisen vaatimustenmukaisuushyödyt ilman, että heidän tarvitsee rakentaa sisäistä asiantuntemusta Nextcloud-operaatioissa.
Saksalaisille yrityksille erityisesti suomalainen infrastruktuuri täyttää kaikki relevantit kriteerit: EU:n lainkäyttöalue, vahva tietosuojan valvonta, ei ulkomaisen lain altistusta ja dokumentoitu omistusketju siitä, missä data sijaitsee.
Jos tietojen sijainti on vaatimustenmukaisuusvaatimus organisaatiossasi, olemme mielellämme käymässä läpi, miten oma Nextcloud-käyttöönotto vastaisi teidän erityistilanteeseenne. Lue myös, miltä Nextcloud-migraatio käytännössä näyttää.