Digitaalisten palveluiden jatkuvuus, tiedon suojaaminen ja tietoturva

Digitaaliset palvelut ovat osa yhteiskunnan ja talouden perusrakenteita. Julkisella sektorilla kyse on palveluiden saavutettavuudesta, tehokkuudesta, kansalaisten luottamuksesta ja toiminnan jatkuvuudesta. Säännellyillä toimialoilla – kuten finanssialalla, terveydenhuollossa ja energia-alalla – painottuvat lisäksi vaatimustenmukaisuus, auditointivalmius ja riskienhallinta. Yleisesti korostuvat tuottavuus ja kilpailukyky. 

Samalla tekoäly kiihdyttää muutosta: kilpailukykymme nojaa yhä enemmän kykyyn hyödyntää tekoälyä arjessa ja päätöksenteossa. Se avaa merkittäviä tuottavuusmahdollisuuksia – ja samalla se kasvattaa palveluiden, datan ja kyberturvan painoarvoa. 

Polarisoituvassa keskustelussa luottamus rakentuu parhaiten avoimuudella ja yhteistyöllä – ei iskulauseilla. Ajankohtaista keskustelua voidaan jäsentää kolmeen kysymyksen ympärille – jatkuvuus, tiedon suojaaminen ja tietoturva – ja keskittyä siihen, mitä voi todentaa julkisten lähteiden avulla. 

1. Jatkuvuus: pysyvätkö palvelut toiminnassa poikkeusoloissa?

Jatkuvuus on yhdistelmä sopimuksia, hallintorakenteita ja varautumista. 

Microsoft julkaisi huhtikuussa 2025 digitaaliset sitoumukset Eurooppaan. Mikäli Microsoftia vaadittaisiin keskeyttämään tai lopettamaan pilvipalveluiden toimittaminen Euroopassa, olemme sitoutuneet riitauttamaan tällaiset määräykset oikeudellisin keinoin, mukaan lukien oikeudenkäynnit. 

Sitoumusta ei kuvata vain periaatetasolla. Julkisissa kuvauksissa tuomme esiin myös Eurooppaan ankkuroidut hallintorakenteet sekä varautumisjärjestelyt eurooppalaisten kumppaneidemme kanssa. Äärimmäisessä skenaariossa näillä kumppaneilla on oikeus ja tekninen kyvykkyys jatkaa palveluidemme tarjoamista eurooppalaisille asiakkaillemme. 

Jatkuvuudessa oleellista on, että: 

• on olemassa julkisesti kuvattu sopimusperusteinen sitoumus palvelun keskeytysmääräysten riitauttamiseen 

• on kuvattu hallinnollinen ankkurointi Eurooppaan 

• on kuvattu varautumisjärjestely äärimmäisten tilanteiden varalta 

Nämä eivät poista tarvetta organisaatioiden omalle varautumiselle (arkkitehtuuri, jatkuvuussuunnitelmat, harjoittelu), mutta ne ovat arvioitavia osa-alueita kokonaisuuden hahmottamisessa. 

2. Tiedon suojaaminen: missä data sijaitsee – ja kuka päättää pääsystä? 

Tietosuojakeskustelussa sekoittuu usein kolme eri asiaa: 

1. Datan sijainti ja käsittely (residency & processing) 
2. Pääsynhallinta (data access) 
3. Viranomaispyynnöt ja läpinäkyvyys (legal process & reporting) 

Datan sijainti ja käsittely: EU Data Boundary 

Saimme vuoden 2025 alkupuolella valmiiksi Microsoft Cloudin EU Data Boundary ‑ratkaisun. Se tarkoittaa, että asiakkaan valinnan mukaan pilvipalveluihin tallennettu data – esimerkiksi Microsoft 365:ssä luodut tiedostot tai Dynamics 365 ‑tietokantojen data – tallennetaan ja käsitellään EU/EFTA‑alueella. 

EU Data Boundary kattaa asiakasdatan lisäksi myös palvelun käytöstä syntyvät pseudonymisoidut henkilötiedot: järjestelmän tuottamaa dataa, josta yksittäistä henkilöä ei voi suoraan tunnistaa, mutta jonka suojaaminen on silti olennaista. Lisäksi myös teknisen tuen yhteydessä syntyvä ja asiakkaalta saatu professional services data (kuten lokit ja tukitapausmerkinnät) tallennetaan EU/EFTA‑alueelle. 

Kokonaisuutena EU Data Boundary tarjoaa vahvan, sijaintiin perustuvan suojan (data residency), jota monet kriittisten toimialojen organisaatiot edellyttävät. 

Pääsynhallinta: Customer Lockbox 

Datan sijainti ei yksin ratkaise kuka pääsee käsiksi dataan. Siksi on olennaista millaisia kontrollipisteitä pääsynhallinnassa on. 

 Customer Lockbox ‑mekanismin perusidea on, että silloin kun palvelun tukitoimissa tarvitaan pääsyä asiakkaan sisältöön ongelman selvittämiseksi, pääsy edellyttää asiakkaan nimenomaista hyväksyntää.  

Tämä siirtää keskustelun abstraktista “pääseekö joku käsiksi” ‑kysymyksestä siihen, missä kohdassa asiakkaalla on päätösvalta ja jäljitettävyys. 

Viranomaispyynnöt ja läpinäkyvyys 

Kolmas osa-alue on viranomaispyynnöt. Microsoftin tietosuojasopimukseen (www.aka.ms/DPA) on kirjattu Defending Your Data sitoutuminen: Microsoft sitoutuu haastamaan viranomaisvaatimuksia, kun siihen on laillinen peruste. 

Julkaisemme kahdesti vuodessa Government Requests for Customer Data raportin tietopyyntöjen määristä ja kuvaamme samalla periaatteita, joilla pyyntöjen laillisuutta arvioidaan. Kenelläkään ulkopuolisella toimijalla ei ole suoraa pääsyä asiakasdataan, eikä Microsoft luovuta salausavaimia tai murra salausta. 

Miksi tämä jäsennys on tärkeä? 

Datan sijainti, pääsy dataan ja viranomaispyynnöt ovat eri riskiluokkia. Kun ne erottaa, voidaan käydä aitoa riskikeskustelua: mikä riski on relevantti kullekin organisaatiolle – ja millaisilla kontrolleilla siihen voidaan vaikuttaa. 

3. Tietoturva: paraneeko puolustuskyky – vai heikkeneekö se sirpaloitumalla? 

Kyberturvallisuus on yhtä aikaa tekninen ja strateginen kysymys. Uhat ovat globaaleja ja puolustuskyky rakentuu havainnoinnista, reagoinnista sekä yhteistyöstä. Tämä korostuu Euroopassa, jossa sääntely (esimerkiksi NIS2, DORA ja CRA) ohjaa kohti vastuullista, läpinäkyvää riskienhallintaa. 

Uhkat eivät noudata valtioiden rajoja. Microsoftin Digital Defense Report 2025 kuvaa uhkakentän kehittymistä ja hyökkäysten jatkuvasti kasvavaa volyymia. Käsittelemme tällä hetkellä päivittäin yli 100 biljoonaa turvallisuussignaalia ja torjumme 4,5 miljoonaa uutta haittaohjelmaa. Varmistaaksemme asiakkaidemme turvallisuuden, investoimme vuosittain yli 4 miljardia dollaria tietoturvan kehittämiseen ja 34 000 insinööriä työskentelee täysipäiväisesti aiheen parissa. 

European Security Program (ESP) syventää Microsoftin yhteistyötä Euroopan viranomaisten kanssa tarjoamalla entistä laajempaa ja tarkempaa uhkatietoa, säännölliset kyberturvallisuusraportit ja vuoropuhelun Microsoftin turvallisuustiimien kanssa. 

Sama koskee myös kvanttiajan riskienhallintaa: siirtymä post‑quantum‑kryptografiaan on monivuotinen muutos, joka edellyttää suunnittelua ja “crypto‑agilityä” (kykyä päivittää algoritmeja hallitusti). Microsoftin Quantum Safe Program ‑strategiassa tavoitteena on mahdollistaa kvanttiturvallisten kyvykkyyksien käyttöönotto vuoteen 2029 mennessä ja viedä siirtymä valmiiksi vuoteen 2033 mennessä. 

4. Yhteenveto: miten keskustelua kannattaa viedä eteenpäin 

Nopeasti muuttuvassa ympäristössä tarvitsemme ennen kaikkea avointa, todennettavaan tietoon nojaavaa ja jatkuvaa yhteistyötä. Näin voimme yhdessä varmistaa digitaalisen yhteiskunnan kriisinkestävyyden ja toimintakyvyn kaikissa tilanteissa. 

Keskeisiä elementtejä tässä dialogissa ovat: 

• Jatkuvuus: sopimusperusteiset sitoumukset + hallintomalli + varautuminen 

• Tietosuoja ja hallinta: EU Data Boundary + pääsynhallinnan kontrollit + oikeusprosessit + läpinäkyvyys 

• Tietoturva: uskottava digitaalinen puolustuskyky, joka rakentuu yhteistyöstä, jatkuvasta kehittymisestä, laajasta tilannekuvasta ja kumppanuuksista 

Keskustelu kannattaa ankkuroida kunkin organisaation omaan riskiarvioon siten, että mahdollistamme innovaation ja kilpailukyvyn kehittymisen turvallisesti myös tulevaisuudessa. 

5. Lisätietoja 

• Microsoftin European Digital Commitments: Microsoft announces new European digital commitments – Microsoft On the Issues 

• EU Data Boundary: Microsoft EU Data Boundary Overview | Microsoft Trust Center 

• Customer Lockbox (Microsoft Learn): Customer Lockbox requests | Microsoft Learn 

• Government Requests for Customer Data: Government Requests for Customer Data Report | Microsoft CSR 

• Microsoft Digital Defense Report 2025: Microsoft Digital Defense Report 2025 | Microsoft 

• European Security Program: Microsoft launches new European Security Program – Microsoft On the Issues 

• Microsoft Quantum Safe Program Strategy: Quantum-safe security: Progress towards next-generation cryptography | Microsoft Security Blog 

• AI Diffusion Report (Oct 2025): Global AI Adoption in 2025 – AI Economy Institute | Microsoft