1.1 Tutkimuksen tavoitteet ja tutkimusongelma
Yhä useammat henkilöt pelkäävät, että heidän henkilötietojaan käytetään tarkoituksiin, joista he eivät itse ole tietoisia (Stahl 2007). Kuluttajat ovat lisäksi huolissaan siitä, miten ja missä heidän henkilötietoja käsitellään. Tästä huolimatta henkilötietoja luovutetaan yhä enenevissä määrin organisaatioille paremman palvelun toivossa; tätä kutsutaan yksityisyys paradoksiksi (Pavlou 2011).
Digitalisaatio ja teknologian kehitys tarjoavat organisaatioille aivan uudenlaisen tavan hyödyntää kuluttajista kerättyä tietoa. Henkilötiedoista on muodostunut hyödyke, jota organisaatiot ympäri maailmaa hyödyntävät esimerkiksi rahaetuuksia ja alennuksia vastaan (Dinev 2014). Verkkopalvelut keräävät käyttäjistään tietoa, jotta ne voivat tarjota heille kohdennetumpaa markkinointia. Useat suuret sekä arvostetut yritykset jakavat asiakkaidensa tietoja sadoille eri sidosryhmille. (Smith, Dinev, Xu 2011) Informaatioteknologia (IT) on tehnyt tiedon hankkimisesta edullista ja samalla lisännyt tiedosta saatavia kaupallisia etuja (ICAEW 2008;
Gillion, Branz, Culnan, Dhillon, Hodgkinson, MacWillson 2011). Tästä johtuen, organisaatiot ja hallitukset kasvattavat jatkuvasti tietotekniikan ja henkilötietojen käyttöä toiminnassaan (Gillion et al. 2011).
Organisaatioissa jokainen työntekijä voidaan nähdä mahdollisena riskinä tietosuojapolitiikan noudattamisen kannalta. Työntekijöiden tulee toimia yhdenmukaisesti organisaatioiden tietosuojapolitiikan sekä eroavien kansallisten lainsäädäntöjen kanssa. (Warkentin, Johnston, Shropshire 2011; Siponen 2001;
Furnell, Gennatou, Dowland 2002; Warkentin & Willison 2009; Gerber & von Solms 2008). Teknologia ja erilaiset standardit, kuten ISO 27001 auttavat organisaatioita toimimaan tietosuojaohjeiden mukaisesti. Teknologian lisäksi organisaatioiden tulee panostaa työntekijöiden koulutukseen ja ohjeistamiseen (Bulgurcu, Cavusoglu, Benbasat 2010). Teknologian hyödyntäminen ja henkilöstön kouluttaminen jäävät kuitenkin organisaatioiden omalle vastuulle. Jotta
tietosuoja varmasti huomioitaisiin organisaatioissa valtiot ovat muodostaneet lakeja suojaamaan muun muassa kuluttajien, työntekijöiden, potilaiden sekä kansalaisten yksityisyyttä sanktion uhalla. (Gillion, et al. 2011; Mercuri 2004; Robinson 2005;
Radcliff 2007) Tällaisen yhtenäisen kansainvälisen lainsäädännön muodostaminen on tosin hankalaa. Esimerkiksi Euroopan Unionin (EU:n) jäsenvaltioiden turvallisuuden taso ja käsitys yksityisyydestä vaihtelevat merkittävästi. Lisäksi tulee määrittää, miten kansalaiset voivat vaatia oikeuksiaan ja keneltä? Prosessi oikeuksien toteuttamiselle tulee olla mahdollisimman helppo kaikki kansalaiset huomioiden. (Wright, Gutwirth, Friedewald, De Hert, Langheinrich, Moscibroda 2009) Tätä varten Euroopan Unioni on laatinut tietosuoja-asetuksen.
Tietosuoja-asetus tulee merkittävästi muuttamaan sitä, miten organisaatiot käsittelevät henkilötietoja ja, mitä turvatoimenpiteitä organisaatioilla tulee olla.
Tietosuoja-asetusta aletaan soveltaa 25.5.2018 ja se koskee kaikkia rekisterinpitäjiä sekä henkilötietojen käsittelijöitä, jotka toimivat EU-alueella. Tietosuoja-asetus tuo rekisteröidyille uusia oikeuksia sekä lisää rekisterinpitäjään kohdistuvia velvollisuuksia. Lisäksi sanktiot ovat merkittävät: ne voivat olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta kokonaisliikevaihdosta. Vaatimukset sekä sanktiot ovat merkittävä huolenaihe organisaatioille ja siksi tietosuoja-asetus tulee aiheuttamaan paljon työtä.
Diplomiyössä kuvataan, mitkä ovat rekisteröidyn oikeudet sekä rekisterinpitäjän velvollisuudet ja, miten nämä vaikuttavat organisaation toimintaan.
Digitalisaation ja pilvipalveluiden kysynnän kasvusta johtuen tieto liikkuu entistä helpommin ja nopeammin. Pilvipalvelut ovat monelle hyvin epämääräinen käsite.
Erityisesti henkilötietojen ja datan sijainti on usein epävarmaa. Pilvipalveluiden määrä organisaatioissa on viime vuosina kasvanut. Tästä syystä tässä tutkimuksessa selvitetään, millaisia ratkaisuja ne voivat organisaatioille tarjota. Tavoitteena on antaa selkeitä ohjeita organisaatioille, miten hyödyntää Amazon Web Services – pilvipalvelualustan tuomia mahdollisuuksia. Tutkimuksessa on mainittu muutamia tuotteita ja palveluja, jotka helpottavat rekisteröityjen oikeuksien toteuttamista ja rekisterinpitäjän velvollisuuksien noudattamista.
Tutkimuksen tavoite on selkeyttää, millaisia vaikutuksia Euroopan Unionin tietosuoja-asetuksella on organisaatioiden toimintaan ja miten se vaikuttaa pilvipalveluiden käyttämiseen. Diplomityön tutkimuskysymykset ovat määritelty seuraavasti:
• Mitä vaikutuksia EU:n tietosuoja-asetuksella on organisaatioihin?
o Millaisia oikeuksia rekisteröidyllä on?
o Millaisia velvollisuuksia rekisterinpitäjällä on?
• Minkälaisia ratkaisuja Amazon Web Services voi tarjota tietosuoja-asetuksen tuomiin haasteisiin?
1.2 Tutkimuksen rajaus
Tutkimus on rajattu koskemaan teknisiä toimenpiteitä, joita organisaatioiden tulee tehdä tietosuoja-asetusta sovellettaessa. Oppaita siitä, miten tietosuoja-asetusta tulisi noudattaa hallinnollisesta näkökulmasta, löytyy jo tällä hetkellä runsaasti.
Tästä syystä työssä perehdytään niihin teknisiin toteutuksiin ja mahdollisuuksiin, joita pilvipalvelut voivat tarjota.
Työ on rajattu koskemaan Amazon Web Services (AWS) pilvipalvelualustaa sen kokonaisvaltaisen palvelutarjonnan johdosta. Rajauksella pyritään antamaan ohjeistusta siitä, millaisia ratkaisuja AWS tarjoaa tietosuoja-asetuksen tuomiin haasteisiin. Työssä on nostettu esiin muutamia AWS:n tuotteita, jotka edesauttavat tietosuoja-asetuksen noudattamista.
1.3 Teoreettinen viitekehys ja kirjallisuuskatsaus
Teoreettinen viitekehys sisältää katsauksen tietoturvaan, tietosuojaan ja pilvipalveluun. Viitekehyksen tarkoitus on helpottaa lukijaa tutkimuksen ymmärtämisessä. Tietoturva koostuu erilaisista tekijöistä, jotka avataan työssä myöhemmin. Tietosuoja ja tietoturva sekoitetaan usein keskenään ja työn kannalta on olennaista erottaa nämä tekijät toisistaan.
Pilvipalvelut ovat laaja käsite ja on tärkeä ymmärtää pilvipalveluista puhuttaessa sen mallit, tyypit ja ominaispiirteet. Pilvipalvelun periaate on sama, mutta kaksi pilvipalvelua voivat olla ominaisuuksiltaan täysin erilaisia. Amazon Web Services tarjoaa käyttäjilleen laajan kirjon erilaisia palveluja ja tuotteita. Tästä syystä erilaiset tyypit ja mallit on hyvä tunnistaa, jotta ymmärtää tuotteiden ja palveluiden luonteen.
1.4 Tutkimusmenetelmä
Työn teoriaosuuden tarkoitus on selventää tärkeät käsitteet tietosuoja-asetuksen sekä valitun pilvipalvelualustan kannalta. Tämän jälkeen työssä määritellään puolistrukturoitu haastattelu. Puolistrukturoidun haastattelun kysymykset koostuvat suurista aihealueista, joita voidaan täsmentää lisäkysymyksillä.
Tarkoituksena on löytää haasteellisiin ongelmiin kokonaisvaltainen vastaus.
Empiirisessä osuudessa määritellään tietosuoja-asetuksen sisältö sekä valittu pilvipalvelu-alusta Amazon Web Services (AWS). Tämän jälkeen puolistrukturoitua haastattelua hyödyntäen työssä on haastateltu kolmea asiantuntijaa, joilla on kattava kokemus pilvipalveluista ja tietoturvasta.
Haastatteluihin oli valmiiksi suunniteltu seitsemän aihealuetta, jotka olivat tietosuoja-asetuksen kannalta ongelmallisia. Kysymykset sekä tärkeimmät nostot haastatteluista on esitelty työn lopussa liitteinä.
1.5 Tutkimuksen rakenne
Tutkimuksen rakenne koostuu viidestä pääluvusta, jotka on esitelty alla olevassa taulukossa 1. Kyseinen taulukko on toteutettu input/output –kaaviona eli siinä on esitelty, millaisia lähtötietoja kappale tarvitsee, millaisia työvaiheita on toteutettu ja mitä tietoa kappale tuottaa lukijalle. Tämä helpottaa lukijaa ymmärtämään, miten tutkimuksessa edetään.
Taulukko 1. Tutkimuksen rakenne.
Input Työvaiheet Output
Luku 2: Tietoturva, laaditaan ja mitä tulee ottaa huomioon