Blogikirjoitus:

Turvasatama (Safe Harbor) ei ollutkaan turvallinen

Kirjoittanut: Ville Laiho


Allekirjoittaneella on ollut etuoikeus päästä seuraamaan eurooppalaisen digitaalisisämarkkinan syntyä pääkallonpaikalta käsin. Tarkoitan tietenkin Cloud28+ yhteenliittymää. Viime viikolla meitä oli Brysselissä paikalla jo yli 300 eurooppalaista IT-vaikuttajaa, EU dataviranomaisia unohtamatta. Keväällä kokoustaessamme Frankfurtissa oli osallistuja noin 60 henkeä. Parissa kuukaudessa joukkomme on moninkertaistanut.

Seuraavalla kerralla tapaamme varmasti jossakin messukeskuksessa, hotellien tilat eivät enää riitä. Tervetuloa mukaan vain!

Paikalliset eurooppalaiset pilvet tulevat yhdistämään voimansa ja joulukuussa tulemme julkaisemaan ensimmäisen koko Euroopan kattavan pilvipalvelukatalogin. Ohjelmistoyhtiöt voivat myydä sovelluksiaan internetissä ja me paikalliset pilvipalveluoperaattorit tarjoamme kanavan ja teknologian jolla julkaista sovellukset yhteiseen katalogiin.

Sovellukset ja palvelut saavat näkyvyyden jokaisessa maassa, Portugalista Suomeen. Eurooppalainen digitaalisisämarkkina on siis todenteolla syntymässä, olemme ottamassa pian sen ensimmäisen konkreettisen harppauksen. Kohti tuotantoa!

Kun tässä toimessa tulemme onnistumaan niin olemme rakentaneet pilvien pilven jonka peittoalueella on yli 500 miljoonaa asukasta (=potentiaalista asiakasta!).

Tänään (6.10.2015) saatiin uutisia jotka tulevat varmasti kiihdyttämään kehitystä entisestään. Euroopan unionilla ja Yhdysvalloilla on keskinäinen ns. Turvasatama (Safe Harbor) sopimus, joka on mahdollistanut tietosuojamateriaalin, esimerkiksi käyttäjätietojen siirtämisen EU:sta Yhdysvaltoihin ja toisin päin.

Valitettavasti suunta on lähes aina ollut EU:sta Yhdysvaltoihin sillä internetissä palvelujaan myyvien suuryhtiöiden pääkonttori useimmiten on Yhdysvalloissa. Puhutaan sitten Facebookista, Microsoftista, Amazonista tai Googlesta.

Euroopan unionin tuomioistuin päätti tänään että Facebook ei saa siirtää käyttäjätietoja pois unionin alueelta. Yhdysvaltojen antamat takeet tietosuojan riittävyydestä eivät enää vastaa sovittua, koska esimerkiksi NSA:lla on vakoiluoikeus kaikkeen dataan jota säilötään Yhdysvaltalaisilla palvelimilla.

Luonteeltaan tämä on ennakkopäätös ja tarkoittaa koko Safe Harbor-sopimuksen kaatumista. Kyllä se NSA vakoilee ihan samalla lailla kaikkea dataa, riippumatta mistä yhdysvaltalaisesta yrityksestä puhutaan. NSA:n toiminta on linjassa Yhdysvaltojen lakien ja asetusten kanssa joten mistään laittomuudesta ei ole kysymys.

Facebook ei ole ”paha poika” tässä mielessä vaan sivuvahinko, ”collateral damage”, niinkuin jenkit itse sanovat. Tuomioistuin tosin vastuutti EU-jäsenvaltioita itse ottamaan vetovastuun omalla lainsäädännöllään. Päätös siis omalta osaltaan myös sekavoitti jo muutenkin sekavaa datalainsäädäntöä unionin eri maissa. EU vetoinen datadirektiivi tulee sitten taas vaikuttamaan toisinpäin, eli saamme yhteiset kattotason pelisäännöt.

Yhdysvaltalaisia pilvipalvelujättiläisiä on kohdannut myös toinen vastoinkäyminen, joka vaikuttaa voimakkaasti eurooppalaisen digitaalisisämarkkinan syntymiseen. Yhdysvaltojen viranomaisilla on oikeus vaatia mitä tahansa dataa haltuunsa, riippumatta siitä missä maassa dataa säilötään. Tämä koskee esimerkiksi suomalaisen yrityksen dataa, jota säilötään yhdysvaltalaisen yhtiön palvelinkeskuksessa Suomessa. Riittää että palveluntuottaja on yhdysvaltalainen.

Tätä voisi jo pitää jonkinasteina datakolonialismina mutta näin asia kuitenkin on. Microsoft on ryhtynyt vastatoimiin ja pyrkii suojaamaan asiakkaidensa dataa, mikäli se ei sijaitse yhtiön yhdysvaltalaisissa datakeskuksissa. Yhtiö on hävinnyt oikeudessa jo kerran mutta saanut kuitenkin valitusluvan. Yhdysvaltojen mielestä valtion edut kuitenkin ylittävät yksittäisen yhtiön mahdolliset liiketoimintatappiot.

Safe Harbor-sopimuksen kaatuminen on vain yksi osa laajempaa jenkkien julkisen pilven (’public cloud’) ja EU:n välistä rajanvetoa siitä miten ja missä ihmisten dataa saa ja voi käsitellä. EU tietysti vaatii että kaikkien yhtiöiden jotka tuottavat palveluja unionin asukkaille tulee täyttää ne tietosuojamääräykset jotka unionissa on päätetty. Oli tarjoaja sitten Suomesta, Etelä-Afrikasta tai Yhdysvalloista. Yhdysvallat taas käsittelee asiaa omista lähtökohdistaan, jotka ovat pahasti ristiriidassa eurooppalaisen yksityisyydensuojan kanssa.

Muutamia linkkejä kiinnostuneille:
http://cloud28plus.eu/
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
http://www.techweekeurope.co.uk/security/eu-court-safe-harbour-data-178288

http://www.usnews.com/news/business/articles/2015/09/06/federal-appeals-court-set-to-hear-microsoft-cloud-case