EUn ja suomalaisten pilvipalveluissa olevat tiedostot vaarassa

US CLOUD Act vastaan GDPR – ratkaisematon ristiriita

Erityisen kriittinen: Yhdysvaltalaisena yrityksenä Microsoftiin sovelletaan CLOUD-lakia, joka myöntää Yhdysvaltain viranomaisille laajat käyttöoikeudet tallennettuihin tietoihin

– RIIPPUMATTA SIITÄ, MISSÄ PALVELIMET SIJAITSEVAT FYYSISESTI.

Tämä on suoraan ristiriidassa Euroopan yleisen tietosuoja-asetuksen (GDPR) kanssa.

Tällä hetkellä voimassa olevan transatlanttisen tiedon tietosuojakehyksen (TADPF) tarkoituksena oli lieventää tätä ristiriitaa, mutta se on oikeudellisesti epävarmaa - eikä vähiten Yhdysvaltojen poliittisen kehityksen vuoksi. Asiantuntijat olettavat tällä hetkellä, että tämä sopimus – kuten edeltäjänsä "Safe Harbor" ja "Privacy Shield" – voi epäonnistua Euroopan yhteisöjen tuomioistuimen edessä.

Microsoft lopettaa Windows 10:n tuen alkaen 14. lokakuuta 2025, mutta sen lisäksi paljon muutakin. Löydät Microsoftin oman listauksen lopetettavista tuotteista esim. internetin hakukonehaulla: "Tuotteet, joiden tuki päättyy 14. lokakuuta 2025"

Microsoft lopettaa 14.10.2025 alkaen myös Exchange Server 2016:n ja 2019 -tuen. Tämä tarkoittaa tietoturvapäivitysten, vikakorjausten ja teknisen tuen päättymistä näille laajalti käytetyille sähköpostipalvelinratkaisuille, mikä johtaa sähköpostin estämiseen lukuisille yrityksille. Tämä kehitys on osa Microsoftin pitkän aikavälin strategiaa asiakkaiden siirtämiseksi pilveen. Monille yrityksille tämä tarkoittaa kriittistä päätöstä erilaisten muutosvaihtoehtojen välillä – ja mahdollisesti jopa heidän tietokantojensa suvereniteettia vastaan.

Microsoft Exchange on ollut liiketoimintaviestinnän selkäranka maailmanlaajuisesti 1990-luvulta lähtien. Sähköpostin, kalenterin ja yhteistyön keskusalustana se on mahdollistanut viestinnän hallinnan eri laitteilla. Microsoft Exchange Server on klassinen, paikallisesti (on-premises) asennettu ohjelmisto, jota käytetään omassa IT-infrastruktuurissa. Exchange Serveriä käyttävät yritykset hallitsevat itse laitteistoa, päivityksiä ja tietoturvaa.

Microsoftin strategia on muuttunut perusteellisesti: painopiste on nykyään pilvipohjaisessa Exchange Online -versiossa osana Microsoft 365:tä ja tilausliiketoimintamallia. Vuonna 2025 julkaistu Exchange Server -tilausversio toimii välivaiheena yrityksille, jotka eivät vielä halua täysin siirtyä pilveen. Tämä kehitys on osa Microsoftin suurempaa suuntausta tarjota kaikille palveluille Software-as-a-Service (ohjelmisto palveluna) tuote – se on haaste yrityksille, joilla on erityisiä vaatimuksia datan tietoturvaan ja -suojaan. Koska jenkkilässä siis todennäköisesti sovelletaan heidän 'CLOUD Ac' lakiaan, kuten yllä jo todettiin – riippumatta siitä, missä palvelimet sijaitsevat fyysisesti!

Luottaako myös sinun yrityksesi Yhdysvaltalaisiin sähköpostipalveluihin? Google, Microsoft ja Co. hallitsevat markkinoita – mutta tämä riippuvuus aiheuttaa merkittäviä riskejä erityisesti eurooppalaisille yrityksille. Herkät kaupalliset tiedot, luottamuksellinen asiakasviestintä ja sisäiset strategiapaperit virtaavat näiden kanavien kautta päivittäin. Jos ne yhtäkkiä eivät ole saatavilla, monet yritykset kohtaavat täydellisen järjestelmävian.
Mutta meillä on hyvä uutinen - eurooppalaiset sähköpostivaihtoehdot ovat jo todistaneet itsensä hyviksi korvaajiksi, eivät vain teknisesti, vaan myös korkeimmilla tietosuojastandardeilla ja europpalaisten lakien noudattamisella.

Mitkä ovat lakisääteiset sudenkuopat amerikkalaisten palveluntarjoajien kanssa?
Yhdysvaltain CLOUD-lain oikeuttamana Yhdysvaltain viranomaiset voivat käyttää tietojasi laajasti – jopa eurooppalaisilla palvelimilla – ollen ristiriidassa EU:n tietosuojaperiaatteiden kanssa. Privacy Shield -järjestelyn kaatumisen ja ECJ:n (Schrems II) asettamat vakiosopimuslausekkeita koskevat rajoitukset eivät ole oikeudellisesti suojattua perustaa transatlanttisille tiedonsiirroille. Yritysten on siksi navigoitava jatkuvassa tasapainoilussa käytännön välttämättömyyden ja lakien noudattamisen välillä, mitä vaarantaa mahdollisuus GDPR-sakkoihin ja samalla se menettää kontrollin arkaluontoisista tiedoistaan.

Toinen riski on niin sanottu toimittajan lukitus – riippuvuus yhdestä teknologiatoimittajasta, jossa toiseen ratkaisuun siirtyminen merkitsisi merkittäviä kustannuksia, teknisiä esteitä tai tietojen menetystä.

Entäs kun palvelu epäonnistuu, mitkä ovat liiketoimintariskit?
Tästä riskialttiista riippuvuudesta on lukemattomia esimerkkejä: Huhtikuussa 2022 Google Cloud epäonnistui kaikkialla Euroopassa, kun sähkökatkon jälkeiset jäähdytysongelmat pysäyttivät lukuisat palvelut yli kahdeksaksi tunniksi. Tämä vaikutti paitsi sähköpostijärjestelmiin myös Google Cloudin isännöimiin liiketoimintakriittisiin sovelluksiin. Microsoftin Exchange Online kaatui yli viideksi tunniksi tammikuussa 2023. Sähköpostiviestit pysähtyivät täysin tuhansissa yrityksissä.
Viimeisin esimerkki on Kansainvälisen rikostuomioistuimen (ICC) työn häiriintyminen sen jälkeen, kun Microsoft esti pääsyyttäjä Karim Khanin sähköpostitilin Yhdysvaltain presidentin Donald Trumpin asettamien pakotteiden takia. Tällä kertaa syy ei siis ollut tekninen epäonnistuminen, vaan USAn poliittisten päätösten seuraus.
Nämä esimerkit eivät osoita vain niiden kustannuksia asianomaisille yrityksille ja instituutioille, vaan ennen kaikkea hajautetun IT-strategian dramaattisen merkityksen ja kiireellisen siirtymisen tärkeyttä eurooppalaisiin vaihtoehtoihin.

No, jos digitaalisten tuotteiden eurooppalaiset vaihtoehdot alkaa kiinnostaa niin esim. nettihaulla: "European alternatives for digital products" löytyy web-sivu missä on listattu joitain erilaisia sähköpostista pilvipalveluihin.
Valitettavan vähän on kylläkin suomalaisia vaihtoehtoja listattu, olisko ne kaikki rakennettu jenkki-softan ja -infran varaan?

Eurooppalaisena firmoina noudattanevat eurooppalaisia lakeja. WEB-sivulla kerrotaan: "Autamme sinua löytämään eurooppalaisia vaihtoehtoja digitaaliselle palvelulle ja tuotteille, kuten pilvipalveluille ja SaaS-tuotteille."