Eurooppalaisten arvojen mukaista datataloutta

Riippumattomaan päätäntävaltaan viittaava käsite suvereniteetti on itsenäisen kansanvallan edellytys ja demokraattisen yhteiskunnan peruspilari. Eurooppalaisten arvojen ytimessä on jokaisen oikeus hallita omia henkilötietojaan ja päättää niiden luovuttamisesta ulkopuoliselle taholle.

Digitaalinen aikakausi on kuitenkin tehnyt datasta kansainvälistä kauppatavaraa ja henkilötietosuojan turvaamisesta entistä haastavampaa. Euroopan Unionin vuonna 2016 asettama henkilötietosuojalaki GDPR kansalaisten itsemääräämisoikeuden turvaamiseksi on osoittautunut globaaleilla markkinoilla riittämättömäksi, eikä perustuslaillisten ihmisoikeusarvojen toteutuminen ole nykyisellään kokonaan eurooppalaisten käsissä.

– Euroopassa halutaan turvata kansalaisten henkilötietojen kunnioittava käsittely niin, ettei dataa voi käyttää liiketoiminnallisena hyödykkeenä ilman yksilön kontrollia. Yleisesti käytetyissä digitaalisissa kauppapaikoissa ja sosiaalisen median alustoissa tilanne on toinen. Trumpin aikakaudella säädetty CLOUD Act jopa velvoittaa yhdysvaltalaiset teknologiayhtiöt tietyin reunaehdoin luovuttamaan pilviympäristöstä tietoja niitä pyydettäessä. Tämä koskee myös suomalaisten dataa, jos se on yhdysvaltalaisyhtiön pilvessä, Ronnie Rajalin Tietoevryltä avaa datatalouteen liittyvää problematiikkaa.

Pohjoismaiden johtavana pilviteknologiayhtiönä tunnettu Tietoevry näkee velvollisuutenaan eurooppalaisen teknologiaosaamisen vahvistamisen ja vastuullisen teknologian kehittämisen, jotta datan oikeudet säilyvät omistajillaan nyt ja tulevaisuudessa.

Digivallan keskittymiseen liittyy monenlaisia uhkia

Vallitseva tilanne on eurooppalaisten kannalta ongelmallinen, sillä digitaalista valtaa pitävät käsissään Euroopan ulkopuoliset suuryritykset, joiden toiminta on täällä asetettujen säädösten ulottumattomissa. Pilvipalvelujen keskittyminen isoille palveluntarjoajille tekee monesta pienestä ja keskisuuresta organisaatioista näistä datajäteistä riippuvaisia, mikä haastaa eurooppalaisten itsemääräämisoikeuden. Euroopan unionin lait eivät päde amerikkalaisyhtiöissä, jolloin suomalaisten valta omasta datastaan siirtyy kolmannen osapuolen haltuun.

– Paikallisen teknologian sijaan eurooppalaiset investoivat suuria summia yhdysvaltalaisyhtiöiden palveluihin kustannustehokkuuden ja tuoreimman teknologian perässä. Isoilla pelureilla on teknologiamarkkinoilla etulyöntiasema, sillä uuden teknologian kehittäminen kysyy valtavia investointeja. Eurooppa on jäänyt teknologian kehityksessä jälkeen, ja jopa 92 prosenttia datasta käsitellään nykyisin EU:n ulkopuolella, Rajalin kertoo.

Uusin teknologia tulee Pohjoismaihin viiveellä, mutta datan luonteesta riippuen pilvipalvelujen toimittajaa valitessa tulee puntaroida, mikä painaa vaakakupissa eniten.

– Uusien teknologioiden testaaminen markkinoiden etunenässä voi tulla kalliiksi, jos se tehdään turvallisuuden kustannuksella, Rajalin muistuttaa.

Viime vuosien tapahtumat ovat osoittaneet, ettei Euroopassa voida enää sinisilmäisesti luottaa sen ulkopuolisten toimijoiden markkinointilupauksiin. Kysymys siitä, voiko kaikkea dataa enää laittaa julkiseen pilveen on ajankohtaisempi kuin koskaan.

– Voimasuhteet ovat kääntyneet niin päin, että monet organisaatiot ovat suurten pilvitarjoajien armoilla, sillä niiden resurssit eivät riitä vastustamiseen tai ymmärrys oikeuksien ajamiseen. Tämän vuoksi datatalouteen tarvitaan sääntelyä, jolla turvataan yksilön etua. Samoista syistä esimerkiksi kuluttajasuojakin on olemassa, Rajalin kuvailee.

92% datamassasta käsitellään EU:n ulkopuolella.

Päämääränä digitaalinen suvereniteetti

Pohjoismaiden johtavana pilviteknologiayhtiönä Tietoevry näkee velvollisuutenaan eurooppalaisen teknologiaosaamisen vahvistamisen ja vastuullisen teknologian kehittämisen, jotta datan oikeudet säilyvät omistajillaan nyt ja tulevaisuudessa. Tietoevry hakee ratkaisua tietoturvahaasteisiin ja yksityisyyden turvaamiseen suvereenista pilvestä, jossa salassa pidettävää dataa hallitaan kokonaisuudessaan Suomen tai Euroopan rajojen sisäpuolella.

– Oikein toteutettuna Suomessa sijaitsevan palvelinkeskuksen datan käsittelyssä pätee Suomen lainsäädäntö, eivätkä ulkomaiset toimijat pääse siihen käsiksi edes verkon kautta. Suvereeni pilvi sijaitsee siis suvereenilla maaperällä ja sitä hallitaan kokonaan omana saarekkeenaan, jossa avoimen netin voi tarvittaessa ohittaa, Rajalin esittelee.

Suvereenin pilven avulla voidaan käsitellä luotettavasti salassa pidettävää tietoa yhden lainsäädännön alla olosuhteista riippumatta.

– Digitaalinen suvereniteetti kuitenkin edellyttää, että myös operatiivinen data ja metadata sijaitsevat suvereenilla maaperällä. Esimerkiksi ulkomaalaisilla palveluntarjoajilla voi olla palvelinkeskus Suomessa, mutta metadataa hallitaan siitä huolimatta etänä Suomen rajojen ulkopuolelta. Jos yhteydet Suomeen katkaistaan, on olemassa vaara, ettei tietoihin päästä enää käsiksi, Rajalin sanoo.

Suvereeni pilvi on käsitteenä suhteellisen tuore ja monelle vielä tuntematon, mutta ilmiöön käsitteen taustalla havahduttiin jo kymmenen vuotta sitten Yhdysvaltain turvallisuuspalvelun salaisten asiakirjojen vuodettua tiedotusvälineille niin kutsuttujen Snowden-paljastusten yhteydessä. Poikkeuksellinen maailmantilanne on nostanut taas pinnalle digitaalisen suvereniteetin merkityksen ja tarvittavien toimenpiteiden kriittisyyden itsemääräämisoikeuden ja tietoturvan edistämiseksi.

– Suomalaisten data ja yhteydet on voitava turvata silloinkin, jos esimerkiksi vihamielinen taho katkaisee kaapelit Itämerellä. Kohtalo ja tulevaisuus on otettava omiin käsiin, Rajalin herättelee.

Sääntely tuo suojaa

 Euroopan unioni reagoi vallitsevaan tilanteeseen kiristämällä regulaatiota ja vahvistamalla paikallista teknologista osaamista. Vuonna 2020 käynnistetty Gaia-X-hanke innovoi Eurooppaan ekosysteemiä, jossa yhteinen arvopohja määrittelee datan jakamisen standardit ja infrastruktuurin.

- Kuluvan vuosikymmenen tavoitteena on vahvistaa IT-alan osaamista ja EU:n itsenäistä asemaa tulevaisuuden datataloudessa. Samalla digitaalisen vuosikymmenen strateginen ohjelma kehittää uutta sääntelyä datan käyttöön perimmäisenä tavoitteenaan vahvistaa eurooppalaisten hyvinvointia, kestävyyttä ja kilpailukykyä, Rajalin kertoo tulevista edistysaskelista.

Sääntelyn tavoitteiden toteutuminen edellyttää organisaatioilta sitoutumista ja riittävää ymmärrystä tieto- ja kyberturvasta. Moniulotteisen regulaatioviidakon noudattaminen ei ole yksiselitteistä ja osaamisen puutteesta johtuvat laiminlyönnit voivat tulla kalliiksi.

– Kaikilla varmaan on vielä tuoreessa muistissa terapiapalveluita tarjoavan yrityksen asiakastietojen vuotaminen julkisuuteen, kun tietoturva-asiat oli hoidettu vähän sinne päin. Tietoturvallisuusriskit ovat uhka koko organisaation olemassaololle, joten niiltä kannattaa suojautua vahingon mittasuhteiden edellyttämällä vakavuudella, Rajalin suosittelee.

Kotimaista konsultointia

Vastuuta ei voi ulkoistaa, mutta asiantuntevissa käsissä datan käsittelyyn ja jakamiseen liittyvät riskit ovat minimoitavissa. Tulevaisuuden kiristyvän sääntelyn implementointi syö resursseja ja jatkuvasti elävän lainsäädännön mukana pysyminen lisää työkuormaa. Tietoevry keventää taakkaa ja vastaa asiakkaidensa muuttuviin tarpeisiin proaktiivisesti ja ratkaisee organisaatioiden vaativatkin pilvitarpeet.

– Pitkäaikaisena kumppanina tehtävänämme on löytää räätälöidysti asiakastarpeisiin sopiva kohde ja ympäristö datalle tekemämme dataluokituksen perusteella. Suvereenin pilven lisäksi yleistyvä käsite monimutkaistuvassa ympäristössä on monipilvi eli useamman pilvipalvelun yhdistelmä. Tärkeintä on, että pilvipalvelu on datan turvallisuuden ja kustannusten kannalta tarkoituksenmukaisimmassa sijainnissa, Rajalin päättää.

Pilvipalveluita eurooppalaisten arvojen pohjalta toteuttavan Tietoevryn juuret ovat Pohjoismaiden vahvojen muotoiluperinteiden mukaiset suomalaiset ratkaisut.

Tutustu Tietoevryn pilvipalveluihin!

- - -

Artikkeli on alunperin julkaistu Helsingin Sanomien Data-liitteessä 9.6.2022. Kirjoittaja Mari Korhonen.