Yleisen tietosuoja-asetuksen noudattaminen pilvipalveluissa

Abstract

Tämä tutkielma analysoi Euroopan unionin yleisen tietosuoja-asetuksen (engl. General Data Protection Regulation, GDPR) vaikutuksia asiakasdatan hallintaan organisaatioissa, erityisesti asiakasdatan ulkoistamisen yhteydessä pilvipalveluihin. Yleinen tietosuoja-asetus on mullistanut henkilötietojen käsittelyä koskevat käytännöt, asettaen organisaatioille velvoitteita sekä sisäisten tietojärjestelmien kehittämisessä että ulkoisten ratkaisujen, kuten pilvipohjaisten tietovarastojen ja asiakkuudenhallintajärjestelmien hyödyntämisessä. Pilvipalvelut tarjoavat organisaatioille kustannustehokkaita ja skaalautuvia ratkaisuja, mutta niiden käyttö tuo mukanaan haasteita tietosuojan ja kyberturvallisuuden näkökulmasta, mikä puolestaan luo ongelmia yleisen tietosuoja-asetuksen noudattamiseen. Tutkielmassa tarkastellaan erityisesti pilvipalveluiden ja yleisen tietosuoja-asetuksen vaatimusten välisiä ristiriitoja, sisältäen asiakasdatan käsittelyn haasteita ja tietoturvaongelmia. Lisäksi organisaation oman tietojärjestelmän kehittämistä vertaillaan pilvipalveluiden käyttöön tietoturvan ja resurssien hallinnan näkökulmasta. Tutkimus hyödyntää yleisen tietosuoja-asetuksen artikloja ja teknologisen riskienhallinnan viitekehyksiä, kuten NIST-standardia (engl. National Institute of Standards and Technology), arvioidakseen pilvipalveluiden tietoturvakäytäntöjen tehokkuutta. Tutkielmassa hyödynnetyt tutkimukset osoittavat, että organisaatioiden on tasapainoteltava kustannustehokkuuden, tietosuoja-asetuksen noudattamisen ja tietoturvariskien hallinnan välillä. Oikeaa ratkaisua järjestelmävalintaan ei ole, minkä myötä organisaation on itse päätettävä omat prioriteetit, harkiten hyötyjen ja haittojen painoarvoa.