...
...
1. Henkilötietojen kansainvälinen siirto
Suurin riski SaaS-palveluissa tulee datan käsittelyssä etenkin, jos yritys toimii EU-/ETA-alueen ulkopuolella. Silloin yritys ei pysty noudattamaan GDPR:n 28 artiklan mukaista henkilötietojen käsittelysopimusta. Jos palvelun tarjoaja toimii EU-/ETA-alueen ulkopuolella on välttämätöntä arvioida palvelun tarpeellisuus. Metropolian tietosuoja ja tietoturva-asiantuntijat suosittelevat käyttämään eurooppalaisia palveluntarjoajia.
GDPR:n mukaan henkilötietoja voidaan lähtökohtaisesti siirtää EU-jäsenvaltioiden ja/tai ETA-alueen ulkopuolelle (eli kolmanteen maahan, jossa GDPR ei vallitse) vain jos kyseinen kolmas maa varmistaa näiden tietojen osalta riittävän tietosuojan tason.
2. Ota ainakin nämä riskit huomioon Saas-palvelun käyttöönotossa
- Tietojen luovutus kolmannelle osapuolelle on riskialtista. Kuka tietoja käsittelee ja mitä palveluntarjoaja tekee tiedoilla? Säilytetäänkö tiedot EU-/ETA-alueen ulkopuolella?
- Jos SaaS-palvelun liiketoiminta ei ole tuottavaa, voi se johtaa palvelun turvallisuuden heikentymiseen. Riskinä on palveluiden hintojen muutos tai pahimmassa tapauksessa tietojen vuotaminen heikon tietoturvan vuoksi.
- Palveluntarjoajaan kohdistuu tietoturvariskejä aivan kuten mihin tahansa muuhunkin yritykseen. Pahimmillaan se voi aiheuttaa palvelussa olevien Metropolian tietojen vuotamisen, tuhoutumisen tai muuttumisen.
- SaaS-palvelun käytön loputtua Metropolian tiedot voivat jäädä palveluntarjoajan palvelimille.
- SaaS-palveluntarjoajan antamat lupauksen eivät toteudu sovitusti tai palvelu ei vastaa odotuksia.
3. Näin onnistut SaaS-palvelun käyttöönotossa
4. Hyödyllistä lisätietoa SaaS-palveluista löytyy alla olevista linkeistä.
- SaaS-ohjelmiston edut pähkinänkuoressa
- Ohjelmiston hankinta SaaS (Software-as-a-Service) palveluna
- Kun uutta digitaalista työvälinettä ollaan ottamassa käyttöön - mitä on otettava huomioon?
- 10 SaaS Security Risks And Concerns Every User Has
- Risks You Need to Consider When Using SaaS Providers
Metropolian lakipalveluiden alaisuudessa toimivalta tietosuojatiimiltä (tietosuojavastaava@metropolia.fi) saa tarvittaessa lisätietoja.
Tietoturvaan liittyvissä asioissa laita sähköpostia osoitteeseen (tietoturva@metropolia.fi).What is SaaS-service and what risks the services have?