KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Pilvipalvelujen potentiaali käyttöön Euroopassa

(ETA:n kannalta merkityksellinen teksti)

1.           Johdanto

’Pilvipalveluilla’, joita kutsutaan myös ’etäresurssipalveluiksi’, tarkoitetaan yksinkertaisesti sanottuna datan säilyttämistä, prosessointia ja käyttöä etätietokoneilla, joihin ollaan yhteydessä internetin välityksellä. Tämä merkitsee, että käyttäjät pystyvät hyödyntämään tarpeidensa mukaan lähes rajatonta laskentatehoa ilman mittavia pääomainvestointeja, ja että heillä on pääsy dataansa mistä tahansa internet-yhteyden kautta. Pilvipalvelujen avulla on mahdollista leikata roimasti käyttäjien tietotekniikkamenoja ja kehittää monenlaisia uusia palveluja. Pilvipalveluja käyttämällä pienimmätkin yritykset tavoittavat yhä suurempia markkinoita ja hallinnot voivat parantaa ja tehostaa palvelujaan suitsimalla samalla kustannuksiaan.

WWW:n ansiosta tieto on nyt kaikkien saatavilla paikasta riippumatta; pilvipalvelut taas tuovat laskentatehon kaikkien ulottuville missä tahansa. Kuten WWW:kin, pilvipalvelut edustavat teknologian kehityssuuntausta, joka on vallinnut jo jonkin aikaa ja tulee edelleen kehittymään. Mutta toisin kuin WWW, pilvipalvelut ovat vielä verrattain varhaisella kehitysasteella, joten Euroopalla on tilaisuus varmistaa asemansa sen jatkokehityksen kärjessä ja saada hyötyjä niin kysyntä- kuin tarjontapuolellakin, kun pilvipalvelujen tarjonta ja käyttö laajenee.

Komissio pyrkiikin edistämistoimin mahdollistamaan pilvipalvelujen nopeamman käyttöönoton kaikilla sellaisilla talouden aloilla, joilla tieto- ja viestintätekniikkakuluja voidaan leikata ja joilla pilvipalvelut voivat uusiin digitaalisiin toimintamalleihin yhdistettyinä tukea tuottavuutta, kasvua ja työpaikkoja[1]. Yleistä politiikkaa, sääntely-ympäristöä ja teknistä ympäristöä koskeva analyysi siitä, mitä kyseisen tavoitteen saavuttamiseksi on tehtävä, sekä laaja sidosryhmäkuuleminen on ollut perustana tälle asiakirjalle, jossa esitetään tärkeimmät ja kiireellisimmät lisätoimet. Se muodostaa yhden sähköisestä kaupankäynnistä ja verkkopalveluista annetussa tiedonannossa[2] kaavailluista keskeisistä toimista, edustaa komission poliittista sitoumusta ja toimii vetoomuksena sidosryhmille osallistua kyseisten toimien toteuttamiseen, mikä voisi merkitä 45 miljardin euron suoria lisämenoja pilvipalveluihin EU:ssa vuonna 2020, sekä 957 miljardin euron kumulatiivista kokonaisvaikutusta BKT:hen ja 3,8 miljoonaa työpaikkaa vuoteen 2020 mennessä[3].

Useat esitetyistä toimenpiteistä liittyvät pilvipalvelujen monien potentiaalisten käyttäjien käsitykseen siitä, että tämän teknologian käyttöön saattaa liittyä lisäriskejä[4]. Toimenpiteillä pyritään puuttumaan tähän selventämällä sovellettavan oikeudellisen kehyksen tulkintoja ja lisäämällä toimijoiden tietoa siitä, helpottamalla oikeudellisen kehyksen noudattamisen osoittamista ja tarkastamista (esim. standardien ja sertifiointien avulla) ja kehittämällä kehystä edelleen (esim. tulevalla verkkoturvallisuutta koskevalla lainsäädäntöaloitteella).

Pilvipalvelujen erityishaasteisiin puuttuminen nopeuttaisi ja yhdenmukaistaisi teknologian käyttöönottoa eurooppalaisissa yrityksissä, organisaatioissa ja julkishallinnoissa, mikä johtaisi kysyntäpuolella nopeampaan tuottavuuden parantumiseen ja kilpailukyvyn lisääntymiseen koko taloudessa sekä tarjontapuolella suurempiin markkinoihin, joilla Euroopasta tulisi keskeinen maailmanluokan toimija. Euroopan tieto- ja viestintätekniikka-alalla on tässä tilaisuus hyötyä merkittävistä uusista mahdollisuuksista: kun luodaan oikeat puitteet, Euroopan perinteisiä vahvuuksia teleteknisten laitteiden, verkkojen ja palvelujen alalla voitaisiin tuloksellisesti hyödyntää myös pilvipalveluinfrastruktuurien alalla. Tämän lisäksi niin suuret kuin pienetkin eurooppalaiset sovelluskehittäjät voisivat hyötyä kasvavasta kysynnästä.

2.           Pilvipalvelujen luonne ja edut

Pilvipalveluilla on monenlaisia ominaispiirteitä (joiden vuoksi yleisen määritelmän antaminen on vaikeaa[5]):

· laitteiston (tietokoneet, tallennusvälineet) omistaa pilvipalvelun tarjoaja, ei sitä internetin välityksellä käyttävä käyttäjä

· laitteiston käyttö on optimoitu dynaamisesti tietokoneiden verkostossa niin, että datan tai prosessien tarkka sijainti ja tieto siitä, mikä laitteiston osa tarkkaan ottaen palvelee tiettyä käyttäjää tiettynä hetkenä, menettää käyttäjälle periaatteessa merkityksensä, vaikkakin näillä seikoilla voi olla merkittävä vaikutus sovellettavan oikeudellisen ympäristön valinnan kannalta

· pilvipalvelujen tarjoajat siirtelevät usein käyttäjiltä tulevia kuormituksia (esim. tietokoneiden tai datakeskusten välillä) optimoidakseen laitteiston käyttöä

· etälaitteisto säilyttää ja prosessoi dataa ja tuo sen saataville esim. sovellusten avulla (niin, että yritys voi käyttää pilvilaskentaresurssejaan samalla tavoin kuin kuluttajat jo nyt voivat käyttää selainsähköpostitilejään)

· organisaatiot ja yksityishenkilöt pääsevät käyttämään sisältöjään ja ohjelmistojaan tarpeidensa mukaan ajasta ja paikasta riippumatta esim. pöytäkoneella, kannettavalla, taulutietokoneella tai älypuhelimella

· pilvipalvelu rakentuu kerroksista: laitteisto, välitysohjelmisto/-laitteisto tai alusta sekä sovellusohjelmistot; standardointi on tärkeää erityisesti välitystasolla, koska sen ansiosta kehittäjät voivat suunnata tuotteensa monenlaisille potentiaalisille asiakkaille ja käyttäjille voidaan luoda enemmän valinnanvaraa

· käyttäjät maksavat yleensä todellisen käytön mukaan, jolloin vältytään suurilta alkukustannuksilta ja kiinteiltä kustannuksilta, joita liittyy kehittyneen tietoteknisen laitteiston kokoamiseen ja käyttöön

· samalla käyttäjät voivat hyvin helposti muunnella käyttämänsä laitteiston kokoa (esim. saada sekunneissa muutamalla hiiren napsautuksella käyttöönsä lisää tallennuskapasiteettia).

Kuluttajat voivat käyttää pilvipalveluja tiedon (esim. kuvien ja sähköpostien) tallentamiseen tai käyttää ohjelmistoja (esim. sosiaalinen media, suoratoistovideo- ja -musiikkipalvelut ja pelit). Organisaatiot, myös julkishallinnot, voivat korvata pilvipalveluilla asteittain sisäiset datakeskukset ja tieto- ja viestintätekniikkaosastot. Yritykset voivat pilvipalvelujen avulla nopeasti testata ja skaalata ylöspäin kuluttajille tarjoamiaan palveluja, koska tämä ei edellytä investointeja fyysiseen infrastruktuuriin. Kokonaisuudessaan pilvipalvelut edustavat laskentatehon tarjonnassa uudenlaista teollistumista (standardoinnin, ylöspäin skaalautuvuuden ja laajan saatavuuden muodossa) yleishyödykkeeksi samoin kuin sähkölaitokset teollistivat sähkön tarjonnan. Standardoitujen rajapintojen (joita voidaan verrata sähköverkkojen sähköpistokkeisiin) ansiosta käyttäjät voivat jättää yksityiskohdat (siitä, miten datakeskuksia rakennetaan, sähköistetään, ylläpidetään ja varmennetaan) asiantuntijoille, jotka taas pääsevät paljon parempiin mittakaavaetuihin (palvelemalla monia käyttäjiä) kuin mikä olisi mahdollista yksittäisille käyttäjille. Pilvipalvelut tarjoavat myös hyvin suuria mittakaavaetuja, joten kansallisen tason erillispyrkimyksillä tuskin päästään optimaaliseen kustannustehokkuuteen. Pilvipalvelujen hyödyt käyvät ilmi komission vuonna 2011 teettämästä selvityksestä, jonka mukaan 80 prosentissa organisaatioista, joissa on siirrytty pilvipalveluihin, kustannukset ovat pienentyneet 10–20 prosenttia. Muita hyötyjä ovat mobiilityöskentelyn (46 prosenttia), tuottavuuden (41 prosenttia) ja standardoinnin (35 prosenttia) paraneminen sekä uudet liiketoimintamahdollisuudet (33 prosenttia) ja markkinamahdollisuudet (32 prosenttia)[6]. Kaikissa käytettävissä olevissa taloudellisissa tutkimuksissa vahvistetaan niissäkin pilvipalvelujen merkitys, jonka odotetaan kasvavan nopeasti koko maailmassa[7].

Datavirtojen ja tiedonkäsittelyn ennennäkemätön lisääntyminen internetissä aiheuttaa energian- ja vedenkulutuksena ja kasvihuonekaasupäästöinä huomattavia ympäristövaikutuksia. Pilvipalveluilla näitä ongelmia voitaisiin lieventää käyttämällä laitteistoja tehokkaammin ja erityisesti rakentamalla datakeskuksia, jotka hyödyntävät matalaenergiapalvelimia ja ympäristöystävällisempää energiaa[8]. Joidenkin arvioiden mukaan esimerkiksi yhdysvaltalaiset suuryritykset voisivat säästää pilvipalveluihin siirtymällä energiakuluissaan vuosittain 12,3 miljardia dollaria[9].

Näin ollen merkittävää tehostumista voidaan odottaa koko talouden alalla, jos yritykset ja muut organisaatiot, erityisesti pk-yritykset, ottavat pilvipalvelut käyttöön. Pilvipalvelut voisivat olla erityisen tärkeitä pienyrityksille vaikeuksissa olevissa talouksissa tai syrjäisillä alueilla tai maaseudulla, kun ne pyrkivät vauraampien alueiden markkinoille. Pitkien välimatkojen aiheuttama haitta voitaisiin osittain poistaa laajakaistainfrastruktuurien avulla niin, että kaikenlaiset toimijat uusista huipputeknologiayrityksistä pieniin tavarantoimittajiin tai käsityöläisiin voisivat päästä pilvipalvelujen kautta etäisemmille markkinoille. Tämä avaa uudenlaisia taloudellisen kehityksen mahdollisuuksia kaikille alueille, joilla on ideoita, lahjakkuutta ja nopeita laajakaistainfrastruktuureja. Pilvipalvelut voivat myös luoda työpaikkoja tietotekniikkaosaajille sen sijaan että heidän pitäisi lähteä kotiseudultaan työnhakuun muualle. Näin saataisiin työpaikkoja ja ostovoimaa heikommassa asemassa oleville alueille. Monet näennäisesti paikalliset tuotteet ja palvelut voisivat päästä maailmanmarkkinoille, lisätä näkyvyyttään verkossa (ja hakukoneiden hakutuloksissa) ja – varsinkin pienyritysten ryhmittäytyessä yhteen – saavuttaa kriittisen massan, jotta ne voivat neuvotella suotuisista sopimusehdoista keskeisten liiketoimintakumppaniensa kanssa (esim. jakelu/kuljetukset, matkailualan toimijat ja rahoitusyhtiöt). Myös viranomaiset voivat hyötyä merkittävästi pilvipalveluihin siirtymisestä sekä tehokkuussäästöjen että joustavampien ja paremmin kansalaisten ja yritysten tarpeisiin sovitettujen palvelujen muodossa. Välittömimmät säästöt näkyisivät alhaisempina tietotekniikkakustannuksina, kun pääoma- ja käyttökustannukset pienenevät ja laitteistojen käyttöaste paranee; nykyisellään julkisen sektorin infrastruktuurien käyttöaste voi olla vain 10 prosentin luokkaa[10]. Lisähyötyjä saataisiin prosessien uudistumisesta alhaisempina kustannuksina, tiheämpien päivitysten mahdollistumisena ja infrastruktuurien yhteiskäyttömahdollisuutena.

Pelkkien kustannussäästöjen lisäksi pilvipalvelut voivat auttaa siirtymisessä 2000-luvun julkisiin palveluihin, jotka ovat yhteentoimivia ja skaalautuvia ja vastaavat eurooppalaisia digitaalisia sisämarkkinoita hyödyntämään pyrkivien liikkuvien asiakkaiden ja yritysten tarpeita. Ensimmäisiä asteittaisia vaiheita olisivat palvelujen parempi suorituskyky, kuten parempi tietoturva, käyttäjäystävällisyyden parantuminen, kyky ottaa uusia palveluja käyttöön halvalla, nopeasti ja joustavasti, pilvipalvelujen suhteellinen helppous luotaessa uusia yhteiskunnallisen osallistumisen alustoja tai kampanjaluonteisia toimia sekä mahdollisuus seurata paremmin toiminnan tuloksia. Pidemmällä, kymmenen vuoden aikajänteellä pilvipalvelut voisivat auttaa toteutettaessa visiota jokaisen eurooppalaisen tuomisesta digitaaliaikakaudelle nauttimaan täysin sähköisistä julkisista palveluista paperibyrokratian sijaan. Pilvipalvelut voisivat auttaa julkisten kulujen leikkaamisessa, tuottaa enemmän yleistä hyötyä ja luoda laajemman perustan taloudelliselle toiminnalle, johon voi osallistua koko väestö.

3.           Tarvittavat toimet

Komission esitöissä nousivat esiin seuraavat toimenpiteitä kaipaavat keskeiset osa-alueet:

•           Digitaalisten sisämarkkinoiden hajanaisuus, joka johtuu erilaisista kansallisista oikeudellisista puitteista, sekä epätietoisuus sovellettavasta lainsäädännöstä ja digitaalisen sisällön ja datan sijainnista osoittautuivat pilvipalvelujen potentiaalisten käyttäjien ja tarjoajien suurimmiksi huolenaiheiksi. Tämä liittyy erityisesti siihen, miten monimutkaista on hallinnoida palveluja ja käyttötapoja, jotka ulottuvat useille lainkäyttöalueille sekä luottamukseen ja varmuuteen esimerkiksi tietosuojan, sopimusten ja kuluttajasuoja- tai rikoslainsäädännön alalla.

•           Sopimusongelmat liittyivät huoleen datan saatavuudesta ja siirrettävyydestä, muutoshallinnasta ja datan omistajuudesta. Epäilyjä liittyy muun muassa siihen, miten vastuu ja korvaukset jakaantuvat ongelmatapauksissa esimerkiksi palvelukatkoksissa ja datan häviämistapauksissa, käyttäjien oikeuksiin järjestelmäpäivityksissä, joista päättää yksipuolisesti palveluntarjoaja, pilvisovelluksissa luotavan datan omistajuuteen sekä riidanratkaisumenetelmiin.

•           Standardiviidakko aiheuttaa epätietoisuutta yhtäältä siksi, että eri standardeja on liikaa ja toisaalta siksi, ettei ole varmuutta siitä, mitkä standardit takaavat dataformaattien riittävän yhteentoimivuuden siirrettävyyden mahdollistamiseksi. Epätietoisuutta esiintyy myös siitä, millaisia takeita on sille, että henkilötiedot suojataan, ja ongelmana nähdään myös tietojen luvaton käyttö ja suojautuminen verkkohyökkäyksiltä.

Tässä strategiassa ei kaavailla perustettavaksi eurooppalaista ”superpilvipalvelua”, eli erityistä laitteistoinfrastruktuuria, jotka tarjoaisi yleisiä pilvipalveluja julkisen sektorin käyttäjille koko Euroopassa. Yhtenä tavoitteena on kuitenkin saada aikaan julkisesti saatavilla olevaa pilvitarjontaa (julkisia pilvipalveluja[11]), jotka täyttäisivät eurooppalaiset normit sääntelyllisestä näkökulmasta, mutta olisivat myös kilpailuehtoisia, avoimia ja turvallisia. Tämä ei estä viranomaisia luomasta erityisiä yksityisiä pilvipalveluja arkaluontoisen datan käsittelyä varten, mutta yleisesti ottaen myös julkisen sektorin käyttämien pilvipalvelujen olisi – mahdollisuuksien rajoissa – oltava markkinakilpailun alaisia, jotta voidaan varmistaa rahoille paras vastine noudattaen samalla sääntelyllisiä velvoitteita tai laajempia yhteiskuntapoliittisia tavoitteita, joissa kunnioitetaan keskeisiä toimintakriteerejä, kuten arkaluontoisen datan turvaaminen ja suojaaminen.

3.1.        Pilvipalvelut ja digitaalistrategia (digitaaliset sisämarkkinat)

Koska pilvipalvelut ovat lähtökohtaisesti vapaita sijaintirajoitteista, ne voisivat nostaa digitaaliset sisämarkkinat aivan uudelle tasolle. Näin käy kuitenkin vain jos sisämarkkinasäännöt saadaan tuloksellisesti vietyä käytäntöön. Hyötypotentiaali on valtava. Komission teettämässä esiselvityksessä arvioidaan, että pilvipalvelut voisivat niitä tukevan politiikan siivittäminä tuoda BKT:hen 250 miljardin euron lisän vuonna 2020 ja 88 miljardin lisän ilman eri toimenpiteitä. Kumulatiiviset vaikutukset vuosina 2015–2020 olisivat 600 miljardia euroa. Tämä vastaa 2,5 miljoonaa uutta työpaikkaa[12].

Monet tarvittavista toimista, joilla Euroopasta tehdään pilvipalveluille suotuisa toimintaympäristö, nostettiin esiin jo Euroopan digitaalistrategian sisämarkkinaosiossa sekä sisämarkkinoiden toimenpidepaketissa[13]. Useimmat näistä toimista ovat nyt lainsäätäjien käsiteltävinä ja ehdotusten nopea hyväksyminen ja täytäntöönpano edesauttaisi merkittävästi pilvipalvelujen taloudellisten hyötyjen realisoitumista.

Digitaalistrategian toimet sisällön käyttömahdollisuuksien avaamiseksi

Euroopan digitaalistrategiassa komissio otti tavoitteekseen yksinkertaistaa tekijänoikeuksien selvittämistä, hallinnointia ja rajat ylittävää lisensointia[14]. Näiden tavoitteiden saavuttamiseksi digitaalistrategiassa yksilöidyt avaintoimet etenevät suunnitellusti ja tulevat parantamaan Euroopan valmiuksia hyödyntää kiinnostavia uusia mahdollisuuksia, joita pilvipalvelut tarjoavat sekä digitaalisisällön tuottajille että sen kuluttajille.

Jotta pilvipalvelut toimisivat hyvin digitaalisten sisältöpalvelujen, myös mobiilipalvelujen, alustana, tarvitaan sisällön jakelumalleja, jotka helpottavat kaikenlaisen sisällön (musiikin, audiovisuaaliaineiston tai kirjojen) saatavuutta ja käyttöä erilaisilla laitteilla ja eri maantieteellisillä alueilla. Pilvipalvelujen tarjoajat ja oikeudenhaltijat voivat sopia kaupallisista lisensointiehdoista, jotka sallivat asiakkaiden käyttää henkilökohtaista tiliään useilta laitteilta ja miltä tahansa maantieteelliseltä alueelta käsin. Tällaisia joustavia lisensointisopimuksia on jo tehty markkinoilla, joskin joissain tapauksissa yhteisymmärrykseen pääsy on osoittautunut vaikeammaksi. Palveluntarjoajat kaipaavat helppoja tapoja hankkia lisenssejä tällaisia palveluja varten. Kuluttajien pitäisi voida laillisesti kuluttaa sisältöä poissa kotoa kaikkialla EU:ssa ilman, että he menettävät pääsyn palveluihin, joista he ovat maksaneet jossain toisessa jäsenvaltiossa. Oikeudenhaltijoiden kannalta tällaiset lisensointijärjestelyt edistäisivät palveluinnovaatioita ja loisivat tämän myötä uusia tulovirtoja. Tekijänoikeuksien kollektiivista hallinnointia koskevan komission direktiiviehdotuksen nopea hyväksyminen vastaa moniin rajat ylittäviin pilvipalvelusisältöjen lisensointitarpeisiin musiikin osalta. Komissio harkitsee myös audiovisuaalialan vihreän kirjan[15] pohjalta lisätoimia, joilla esimerkiksi edistettäisiin ja helpotettaisiin audiovisuaaliteosten lisensointia erityisesti rajat ylittävää verkkojakelua varten. Pilvipalvelu voi mahdollistaa myös sisällön tallentamisen pilveen. Kuluttaja voi käyttää pilvipalvelua digitaalisena tallennustilana sisällölle ja synkronointityökaluna sisällön käyttämiseksi erilaisista laitteista käsin. Tämän herättää kysymyksen mahdollisista yksityiskopiomaksuista, joita perittäisiin sisällön yksityisestä kopioimisesta pilvipalveluun, pilvipalvelusta tai pilvipalvelun sisällä.

Muun muassa näitä kysymyksiä tutkitaan parhaillaan Antonio Vitorinon vetämässä välitysprosessissa[16]. Tämän prosessin tulosten pohjalta komissio tulee muun muassa arvioimaan, onko tarpeen selventää yksityistä kopiointia koskevan poikkeuksen soveltamisalaa ja maksujen sovellettavuutta sekä erityisesti sitä, missä määrin pilvipalvelut, jotka mahdollistavat suorat korvaukset oikeudenhaltijoille, jätetään yksityiskopiomaksujärjestelmän ulkopuolelle.

Digitaalistrategian toimet verkossa ja rajojen yli suoritettavien transaktioiden sujuvoittamiseksi

Digitaalistrategian yhtenä toimena hiljattain suoritettu sähköisen kaupankäynnin direktiivin uudelleentarkastelu vahvisti sen aseman keskeisenä perustana digitaalipalvelujen kasvulle Euroopassa kun tietoyhteiskuntapalvelujen tarjoajat vapautettiin vastuusta niiden pitäessä palvelimillaan tai toimittaessa eteenpäin kolmannen osapuolen toimittamaa laitonta informaatiota. Monet tällaiset verkkopalvelut ovat nyt siirtymässä pilvipalveluinfrastruktuuriin, mikä helpottaa entistä integroidumpien palvelujen tarjontaa. Tämä johtaa nykyistä monimutkaisempiin arvoketjuihin, jotka usein ulottuvat useille lainkäyttöalueille. Tämä taas nostaa esiin kysymyksen sovellettavan lain määräytymisestä (esim. sijoittautumispaikka) ja (epäillysti) laitonta informaatiota ja toimintaa koskevien ilmoitusmenettelyjen soveltamisesta näissä kehittymässä olevissa palveluissa. Näitä kysymyksiä tarkastellaan ilmoitus- ja toimintamenettelyjä koskevassa komission aloitteessa,[17]joka on sähköisen kaupankäynnin ja verkkopalvelujen digitaalisia sisämarkkinoita koskevan tiedonannon jatkotoimi.

Myös internet-transaktioissa käytettävät turvalliset sähköisen tunnistamisen menetelmät ovat keskeisiä digitaalisten sisämarkkinoiden kehityksen kannalta. Monien pilvipalvelujen entistä monimutkaisemmat arvoketjut ja limittyneisyys aiheuttavat sen, että luotettava tunnistaminen on välttämätöntä sekä luottamuksen varmistamiseksi että palvelujen käytön sujuvoittamiseksi. Esimerkiksi kertakirjautumismenettelyjen avulla palvelukokonaisuuden käytöstä voidaan tehdä paljon sujuvampaa, mutta ne edellyttävät kehittyneempiä ja luotettavampia tunnistamiskeinoja kuin yksinkertaiset itse luodut salasanat, jotta luottamus kyseisiä palveluntarjoajia kohtaan lujittuisi. Yhteiset standardit, jotka sallisivat luotettavaa tunnistamista ja käyttöoikeustarkastamista edellyttävien palvelujen turvallisen mutta sujuvan käytön, edesauttaisivat merkittävästi pilvipalvelujen käyttöönottoa. Tällaisten ratkaisujen tarjonta helpottuu huomattavasti, kun sähköistä tunnistamista ja todentamista koskevat komission ehdotukset[18] hyväksytään.

Komissio tulee lähikuukausina tarkastelemaan yleisiä verkkoturvallisuushaasteita verkkoturvallisuutta koskevassa strategiassaan. Strategiassa käsitellään kaikkia tietoyhteiskuntapalvelujen tarjoajia, pilvipalvelujen tarjoajat mukaan luettuina. Siinä muun muassa nostetaan esiin tarvittavia teknisiä ja organisatorisia toimenpiteitä, joita tietoturvariskien hallinta edellyttää, ja käsitellään velvollisuuksia raportoida toimivaltaisille viranomaisille merkittävistä tietoturvapoikkeamista.

Digitaalistrategian toimet digitaalipalveluja kohtaan tunnetun luottamuksen lujittamiseksi

Tietosuoja nousi kuulemisessa ja komission teettämissä selvityksissä esiin keskeisenä huolenaiheena, joka voisi haitata pilvipalvelujen käyttöönottoa. Digitaalisten sisämarkkinoiden tasolla on hyvin vaikeaa tarjota kustannustehokasta pilvipalveluratkaisua, kun toimintaympäristö muodostuu 27 erilaisesta kansallisesta lainsäädäntökokonaisuudesta. Koska pilvipalvelut ovat lisäksi luonteeltaan maailmanlaajuisia, kaivattiin selkeyttä siihen, miten kansainvälisiä datasiirtoja säänneltäisiin. Näihin huolenaiheisiin on puututtu toteuttamalla toinen digitaalistrategiassa määritelty toimi, kun komissio antoi 25. tammikuuta 2012 ehdotuksen vankoista ja yhtenäisistä oikeudellisista puitteista, joilla luodaan oikeusvarmuutta tietosuojaan liittyvissä kysymyksissä. Ehdotetussa asetuksessa käsitellään pilvipalveluja koskevia erityiskysymyksiä. Keskeisenä tavoitteena on selventää tärkeää kysymystä sovellettavasta laista varmistamalla, että kaikissa 27 jäsenvaltiossa sovellettaisiin suoraan ja yhdenmukaisesti samaa säännöstöä. Tämä hyödyttää yrityksiä ja kansalaisia luomalla tasavertaiset toimintaolosuhteet ja vähentämällä hallinnollista rasitetta ja vaatimusten täyttämisestä yrityksille eri puolilla Eurooppaa aiheutuvia kustannuksia. Samalla taataan yksityishenkilöille korkeatasoinen suoja ja annetaan heille paremmat mahdollisuudet määrätä tietojensa käytöstä. Myös tietojen käsittelyn entistä parempi läpinäkyvyys auttaa lisäämään kuluttajien luottamusta. Ehdotuksella helpotetaan henkilötietojen siirtoa EU:n ja ETA:n ulkopuolisiin maihin, samalla kun sillä varmistetaan kyseisten yksityishenkilöiden suojelun jatkuminen. Uusi lainsäädäntökehys tarjoaa tarvittavat edellytykset pilvipalveluja koskevien käytännesääntöjen ja normien hyväksymiselle tapauksissa, joissa sidosryhmät näkevät tarvetta sertifiointijärjestelmille, joilla voidaan varmistaa, että tarjoaja on ottanut tietojen siirtämistä silmällä pitäen käyttöön tarvittavat tietoturvastandardit ja suojatoimet.

Koska tietosuojaan liittyvät huolenaiheet todettiin yhdeksi vakavimmista esteistä pilvipalvelujen käyttöönotolle, on sitäkin tärkeämpää, että neuvosto ja parlamentti pyrkivät pikaisesti hyväksymään ehdotetun asetuksen niin varhaisessa vaiheessa kuin mahdollista vuoden 2013 aikana.

Koska pilvipalvelut koostuvat ketjuuntuneista palveluntarjoajista ja muista toimijoista, kuten infrastruktuurin ja tiedonsiirtoyhteyksien tarjoajista, tarvitaan ohjeistusta siitä, miten EU:n tietosuojadirektiiviä sovelletaan ja varsinkin siitä, miten pilvipalvelujen tarjoajille ja muille pilvipalvelujen arvoketjun toimijoille määritellään ja jaetaan rekisterinpitäjien ja tietojen käsittelijöiden oikeudet ja velvollisuudet tietosuojaan liittyvissä kysymyksissä. Pilvipalvelujen erityisluonteen takia kysymyksiä on liittynyt myös sovellettavaan lainsäädäntöön silloin kun pilvipalvelujen tarjoajan sijoittautumispaikkaa voi olla vaikea määritellä, esimerkiksi kun EU:n ulkopuolinen käyttäjä käyttää EU:n ulkopuolisen tarjoajan Euroopassa sijaitsevaa laitteistoa. Tässä yhteydessä komissio pitää tervetulleena voimassaolevan EU:n tietosuojadirektiivin soveltamista koskevaa ohjeistusta, joka sisältyy tietosuojatyöryhmän, eli ns. artikla 29 ‑työryhmän pilvipalveluista 1. heinäkuuta 2012 antamaan lausuntoon[19]. Komissio katsoo, että artikla 29 -työryhmän lausunto muodostaa hyvän perustan siirryttäessä nykyisestä EU:n tietosuojadirektiivistä uuteen EU:n tietosuoja-asetukseen ja että sen tulisi ohjata kansallisten viranomaisten ja yritysten toimintaa, jolloin päästäisiin mahdollisimman selkeään toimintaympäristöön ja hyvään oikeusvarmuuteen voimassa olevien oikeudellisten puitteiden pohjalta.

Kun asetusehdotus on hyväksytty, komissio tulee hyödyntämään siihen sisältyviä uusia mekanismeja tarjotakseen tiiviissä yhteistyössä kansallisten tietosuojaviranomaisten kanssa tarvittavaa lisäohjeistusta eurooppalaisen tietosuojalainsäädännön soveltamisesta pilvipalveluihin.

Myös sopimusoikeuden alalla nostettiin esiin kysymyksiä, jotka heikentävät kuluttajien luottamusta digitaalipalveluja kohtaan. Kuluttajilla ei nähty olevan varmuutta oikeuksistaan ja heidän suojansa nähtiin puutteellisena. Yritykset kaipasivat puitteita, joissa niiden olisi helpompi tarjota tuotteitaan verkossa. Tähän liittyen komissio on jo ehdottanut asetusta yhteisestä eurooppalaisesta kauppalaista[20].

3.2.        Pilvipalveluja koskevat erityiset avaintoimet

Välttämätön ensiaskel luotaessa Eurooppaan pilvipalveluille suotuisaa toimintaympäristöä on digitaalisten sisämarkkinoiden täydentäminen hyväksymällä ja panemalla täytäntöön mahdollisimman nopeasti parhaillaan käsiteltävinä olevat digitaalistrategian ehdotukset. Asteittainen edistyminen pilvipalvelumyönteisyydessä edellyttää kuitenkin myös nykyistä parempaa varmuuden ja luottamuksen ilmapiiriä, joka kannustaisi Euroopassa toimijoita pilvipalvelujen käyttöönottoon.

Pilvipalveluratkaisuja kohtaan tunnetun luottamuksen luomiseksi tarvitaan tukitoimenpiteiden ketjua. Aluksi on yksilöitävä tarvittavat sertifioitavissa olevat standardit, joiden avulla yksityisiä ja julkisia hankintoja tekevät tahot voivat varmistua siitä, että niiden vaatimukset täytetään ja käyttöön saadaan tarpeita vastaava pilvipalvelu. Näihin standardeihin ja sertifiointeihin voidaan viitata sopimusehdoissa, jotta palveluntarjoajilla ja käyttäjillä on varmuus sopimuksen oikeudenmukaisuudesta. Edellä mainituissa esitöissä nostetaan esiin tarve luoda pilvipalveluja varten erityisesti puitteet sekä standardien ja sertifioinnin että sopimusehtojen osalta.

Viranomaisilla on oma roolinsa luotetun pilvipalveluympäristön luomisessa Eurooppaan. Niillä on mahdollisuus käyttää hankintavoimaansa edistämään pilvipalvelujen kehitystä ja käyttöönottoa Euroopassa avoimien teknologioiden ja turvallisten alustojen pohjalta. Luomalla selkeät ja suojaavat puitteet julkisen sektorin käyttöönottoja varten voidaan varmistaa, että tämä teknologia tarjoaa kansainvälisille käyttäjille luotettuja käyttömahdollisuuksia ja tekee Euroopasta pilvipalveluinnovoinnin johtavan alueen. Lisäksi luotettujen pilvipalveluratkaisujen käyttöönotto julkisella sektorilla voisi kannustaa myös pk-yrityksiä niiden hyödyntämiseen.

On myös epäilty, että pilvipalvelujen taloudellisten hyötyjen koko potentiaalia ei saada hyödynnettyä, ellei kyseistä teknologiaa oteta käyttöön sekä viranomaissektorilla että pk-yrityksissä. Molemmissa tapauksissa käyttö on vielä hyvin vähäistä, koska pilvipalveluratkaisujen riskejä on vaikea arvioida.

Näihin päämääriin pääsemiseksi Euroopan komissio käynnistää kolme nimenomaan pilvipalveluihin liittyvää toimenpidettä:

(1) Avaintoimi 1: Läpi standardiviidakon

(2) Avaintoimi 2: Turvalliset ja oikeudenmukaiset sopimusehdot

(3) Avaintoimi 3: Eurooppalainen pilvipalvelukumppanuus innovaatioiden ja kasvun edistämiseksi julkisen sektorin avulla.

3.3.        Avaintoimi 1 – Läpi standardiviidakon

Standardien käytön laajentaminen, pilvipalvelujen sertifiointi, millä osoitetaan että ne täyttävät kyseiset standardit, ja tällaisten sertifikaattien hyväksyntä sääntelyviranomaisten taholta osoituksena oikeudellisten velvollisuuksien noudattamisesta, edistää pilvipalvelujen käytön leviämistä.

Tällä hetkellä yksittäisillä järjestelmätoimittajilla on kannustimena pyrkiä hallitsevaan asemaan niin, että ne tekevät asiakkaista itsestään riippuvaisia, mikä haittaa standardointia ja toimialan laajuisten lähestymistapojen löytämistä. Huolimatta lukuisista standardointipyrkimyksistä, joita ovat johtaneet lähinnä palveluntarjoajat, pilvipalvelut voivat kehittyä tavalla, jossa ei ole yhteentoimivuutta, tietojen siirtomahdollisuutta ja palautettavuutta – tekijöitä, jotka ovat kaikki olennaisia riippuvuuden välttämisen kannalta.

Pilvipalvelujen standardit vaikuttavat sidosryhmiin muuallakin kuin tieto- ja viestintätekniikan alalla, erityisesti pk-yrityksiin, julkisen sektorin käyttäjiin ja kuluttajiin. Tällaiset käyttäjät voivat harvoin arvioida tarjoajien väitteitä standardien noudattamisesta, niiden pilvipalvelujen yhteentoimivuudesta tai siitä, miten helposti tietoa voidaan siirtää tarjoajalta toiselle. Tähän tarkoitukseen tarvitaan riippumatonta, luotettavaa sertifiointia.

Pilvipalvelujen standardointi ja sertifiointi on jo käynnissä. Standardeista ja tekniikasta vastaava Yhdysvaltain viranomainen (NIST) on julkaissut asiakirjoja, jotka sisältävät laajalti hyväksyttyjä määritelmiä. Euroopan telealan standardointilaitos (ETSI) on perustanut pilvipalvelutyöryhmän käsittelemään pilvipalvelujen standardointitarpeita ja yhteentoimivuutta koskevien standardien noudattamista. Tarvitaan selvästi lisää standardointialoitteita. Nyt on kuitenkin tärkeintä käyttää voimassa olevia standardeja luottamuksen lisäämiseksi pilvipalveluihin vertailukelpoisten palvelukokonaisuuksien ja yhteentoimivan ja vaihtelevan tarjonnan avulla. Standardien määrittelyn lisäksi niiden noudattaminen on sertifioitava.

Monet ja varmasti kaikki suuret organisaatiot vaativat tietotekniikkajärjestelmiltään sertifikaattia siitä, että ne täyttävät lainsäädännön ja tarkastusten vaatimukset ja että sovellukset ja järjestelmät ovat yhteensopivia. Komissio aikoo

· edistää luotettavaa pilvipalvelutarjontaa pyytämällä ETSIä toteuttamaan sidosryhmien kanssa avointa ja läpinäkyvää koordinointia, jotta tarvittavia standardeja koskeva yksityiskohtainen suunnitelma voidaan määritellä vuoden 2013 loppuun mennessä (muun muassa tietoturvan ja yhteentoimivuuden sekä tietojen siirrettävyyden ja palautettavuuden aloilla)

· lujittaa pilvipalveluja kohtaan tunnettua luottamusta tunnustamalla uuden eurooppalaista standardointia koskevan asetuksen[21] mukaisesti tieto- ja viestintäteknologian alalla EU-tasolla teknisiä eritelmiä, jotka koskevat henkilötietojen suojaa

· avustaa ENISAn ja muiden asiaan liittyvien elinten tuella EU:n laajuisten vapaaehtoisten sertifiointijärjestelmien kehittämisessä pilvipalvelujen alalla (myös tietosuojaan liittyen) ja laatii vuoteen 2014 mennessä luettelon tällaisista järjestelmistä

· pyrkii yhdessä alan toimijoiden kanssa vastaamaan pilvipalvelujen lisääntyvän käytön aiheuttamiin ympäristöhaasteisiin kehittämällä vuoteen 2014 mennessä yhdenmukaisia menetelmiä pilvipalvelujen energiankulutuksen, vedenkulutuksen ja hiilidioksidipäästöjen mittaamiseen[22].

3.4.        Avaintoimi 2: Turvalliset ja oikeudenmukaiset sopimusehdot

Perinteisesti tietotekniikan ulkoistusjärjestelyissä on yleensä etukäteen yksityiskohtaisesti neuvoteltu ja määritelty ulkoistuksen kohde, joka on yleensä liittynyt datan tallentamiseen, datan prosessointiin tai erilaisiin palveluihin. Pilvipalvelusopimuksissa taas periaatteessa luodaan puitteet, joiden mukaisesti käyttäjällä on käytettävissään tarpeidensa mukaan loputtomasti skaalautuvia ja joustavia tietoteknisiä valmiuksia. Tällä hetkellä pilvipalvelujen parempi joustavuus verrattuna perinteisiin ulkoistuksiin ei kuitenkaan pääse oikeuksiinsa, koska asiakkaat epäröivät, kun pilvipalvelujen tarjoajien ehdottamat sopimukset eivät ole riittävän yksityiskohtaisia ja tasapainoisia.

Pilvipalvelujen tarjoajia koskevan lainsäädäntökehyksen monimutkaisuus ja epävarmuus merkitsee sitä, että ne käyttävät usein monimutkaisia sopimuksia tai palvelutasosopimuksia[23], joissa on paljon vastuuvapauslausekkeita. Vakiomuotoisten “ota tai jätä” -sopimusten käyttö voi säästää tarjoajan kustannuksia, mutta ei useinkaan ole käyttäjien, loppukäyttäjät mukaan lukien, mieleen. Tällaisilla sopimuksilla voidaan myös määrätä sovellettava laki tai vapautua tietojen palautusvelvollisuudesta. Edes suurilla yrityksillä ei ole juurikaan neuvotteluvaltaa ja sopimuksissa ei usein määrätä vastuuta tietojen eheydestä, luottamuksellisuudesta tai palvelun jatkuvuudesta[24].

Ammattikäyttäjien näkökulmasta yksi tärkeimpiä kuulemisessa esiin nousseita kysymyksiä oli ammattikäyttäjille suunnattujen pilvipalvelujen palvelutasosopimusten mallilausekkeiden kehittäminen. Palvelutasosopimukset määrittelevät pilvipalveluntarjoajan ja ammattikäyttäjän välisen suhteen ja ne muodostavat näin viime kädessä perustan palvelun käyttäjän luottamukselle palveluntarjoajan palveluntarjontaa kohtaan.

Kuluttajien ja pienyritysten näkökulmasta komission ehdotuksessa yhteiseksi eurooppalaiseksi kauppalaiksi[25], jolla pyritään digitaalistrategian mukaisesti rakentamaan luottamusta digitaalipalveluja kohtaan, käsitellään monia esteitä, jotka johtuvat kansallisten kauppalakien erilaisista säännöksistä, säätämällä sopimuspuolille yhdenmukaisista säännöistä. Ehdotus sisältää digitaalisen sisällön tarjontaan sovitettuja sääntöjä, jotka kattavat joitakin pilvipalveluihin liittyvistä näkökohdista[26].

Yhteisen eurooppalaisen kauppalain taustalta löytyvien kysymysten osalta tarvitaan erityistä lisätyötä, jotta voidaan varmistaa, että myös muihin pilvipalvelujen kannalta merkityksellisiin sopimuskysymyksiin löydetään ratkaisu vastaavankaltaisella vapaaehtoiseen sääntelyvälineeseen perustuvalla lähestymistavalla. Tässä täydentävässä työssä olisi käsiteltävä esimerkiksi tietojen säilyttämistä sopimuksen päättymisen jälkeen, tietojen luovuttamista ja eheyttä, tietojen sijaintia ja siirtoja, suoria ja välillisiä vastuita, datan omistajuutta, pilvipalveluntarjoajien toteuttamia palveluvaihdoksia ja alihankintaa.

Vaikka voimassa oleva EU-lainsäädäntö suojaakin pilvipalvelujen käyttäjiä, kuluttajat ovat usein tietämättömiä oikeuksistaan muun muassa sovellettavan lain ja toimivaltakysymysten suhteen siviilioikeudellisissa ja kaupallisissa asioissa. Tämä koskee erityisesti sopimusoikeudellisia kysymyksiä[27]. Kuulemisessa[28] todettiin, että mallisopimusehtojen kehittäminen on toivottavaa kyseisten ongelmien ratkaisemiseksi. Teolliset käyttäjät ja tarjoajat ovat peräänkuuluttaneet itsesääntelysopimuksia tai standardointia. Kuluttajien ja pienten yritysten kanssa tehtäviä sopimuksia varten voidaan tarvita vapaaehtoiseen sopimusoikeudelliseen sääntelyvälineeseen perustuvia eurooppalaisia mallisopimusehtoja, jotta voidaan tehdä läpinäkyviä ja oikeudenmukaisia pilvipalvelusopimuksia.

Parhaiden käytäntöjen löytäminen ja levittäminen mallisopimusehtojen alalla nopeuttaa pilvipalvelujen käyttöönottoa lisäämällä mahdollisten asiakkaiden luottamusta.

Sopimusehtoihin liittyvillä asianmukaisilla toimilla voidaan helpottaa tilannetta myös keskeisellä tietosuojan alalla. Kuten edellä todetaan, ehdotettu asetus henkilötietojen suojasta takaa yksityishenkilöille korkean suojatason varmistamalla suojelun jatkuvuuden kun dataa siirretään EU:n ja ETA:n ulkopuolelle. Tähän päästään vakiomuotoisilla sopimuslausekkeilla, joilla säännellään kansainvälisiä datasiirtoja, sekä luomalla tarvittavat edellytykset pilvipalveluille suotuisien sitovien yhtiösäännöstöjen avulla. Näillä muutoksilla varmistetaan että EU:n tietosuojasäännöt vastaavat pilvipalvelujen maantieteellistä ja teknistä todellisuutta. Komissio aikoo vuoden 2013 loppuun mennessä

· laatia sidosryhmien kanssa pilvipalvelujen palvelutasosopimusten malliehtoja pilvipalveluntarjoajien ja pilvipalvelujen ammattikäyttäjien välisiä sopimuksia varten ottaen huomioon EU:n kehittyvän säännöstön tällä alalla

· ehdottaa yhteisestä eurooppalaisesta kauppalaista annetun tiedonannon[29] mukaisesti kuluttajille ja pienyrityksille suunnattuja eurooppalaisia mallisopimusehtoja kysymyksistä, jotka kuuluvat yhteistä eurooppalaista kauppalakia koskevan ehdotuksen piiriin; tavoitteena on standardoida keskeiset sopimusehdot niin, että pilvipalveluille saadaan parhaiden käytäntöjen mukaiset sopimusehdot digitaalisen sisällön tarjontaan liittyvissä kysymyksissä

· antaa tätä varten perustetulle asiantuntijaryhmälle, jossa ovat edustettuina myös alan yritykset, tehtäväksi laatia vuoden 2013 loppuun mennessä kuluttajille ja pienyrityksille turvalliset ja oikeudenmukaiset sopimusehdot ja vastaavaa vapaaehtoisen sääntelyvälineen lähestymistapaa noudattaen niitä pilvipalveluihin liittyviä kysymyksiä varten, jotka jäävät yhteisen eurooppalaisen kauppalain soveltamisalan ulkopuolelle

· helpottaa Euroopan osallistumista pilvipalvelujen maailmanlaajuiseen kasvuun tarkastelemalla uudelleen kolmansiin maihin suuntautuviin datasiirtoihin sovellettavia vakiosopimuslausekkeita ja mukauttamalla niitä tarpeen mukaan pilvipalveluihin sekä pyytämällä kansallisia tietosuojaviranomaisia hyväksymään sitova yhtiösäännöstö pilvipalvelujen tarjoajille[30]

· pyrkii alan toimijoiden kanssa sopimaan pilvipalvelujen tarjoajien käytännesäännöstöstä, joka tukisi tietosuojasääntöjen yhdenmukaista soveltamista; säännöstö voidaan toimittaa artikla 29 -työryhmän hyväksyttäväksi, jotta voidaan varmistaa oikeusvarmuus ja johdonmukaisuus käytännesäännöstön ja EU-oikeuden välillä.

3.5.        Avaintoimi 3 – Edistetään yhteistä julkisen sektorin johtajuutta eurooppalaisella pilvipalvelukumppanuudella

Julkinen sektori vaikuttaa voimakkaasti pilvipalvelumarkkinoiden muodostumiseen. EU:n suurimpana tietotekniikkapalvelujen ostajana se voi asettaa tiukkoja vaatimuksia ominaisuuksille, suorituskyvylle, tietoturvalle, yhteentoimivuudelle ja datan siirrettävyydelle sekä teknisten vaatimusten noudattamiselle. Se voi asettaa myös sertifiointia koskevia vaatimuksia. Useat jäsenvaltiot ovat käynnistäneet kansallisia aloitteita, kuten Andromede Ranskassa, G‑Cloud Yhdistyneessä kuningaskunnassa ja Trusted Cloud Saksassa[31]. Mutta koska julkisen sektorin markkinat ovat hajanaiset, sen vaatimuksilla ei ole juurikaan vaikutusta, palvelujen integroinnin taso on alhainen, eivätkä kansalaiset saa rahoilleen parasta mahdollista vastinetta. Julkisen sektorin vaatimusten yhdistäminen voisi lisätä tehokkuutta, ja yhteiset alakohtaiset vaatimukset (esimerkiksi sähköinen terveydenhuolto, sosiaalipalvelut, avustettu asuminen ja sähköiset viranomaispalvelut, kuten avoimeen dataan liittyvät palvelut[32]) voisivat alentaa kustannuksia ja mahdollistaa yhteentoimivuuden.

Myös yksityinen sektori hyötyisi laadukkaammista palveluista, kilpailun lisääntymisestä, nopeasta standardoinnista ja paremmasta yhteentoimivuudesta sekä huipputekniikka-alan pk-yritysten markkinamahdollisuuksista.

Tästä syystä komissio tulee tänä vuonna perustamaan eurooppalaisen pilvipalvelukumppanuuden (European Cloud Partnership, ECP), joka muodostaa katto-organisaation vastaaville jäsenvaltiotason aloitteille. ECP kokoaa yhteen alan asiantuntijoita ja julkista sektoria edustavia käyttäjiä laatimaan avoimella ja läpinäkyvällä tavalla pilvipalveluille yhteisiä hankintavaatimuksia. ECP:n tavoitteena ei ole luoda fyysistä pilvipalveluinfrastruktuuria. Pikemminkin sen tavoitteena on varmistaa, että kaupallinen tarjonta Euroopassa vastaa eurooppalaisia tarpeita. Tähän pyritään hankintavaatimuksilla, joiden käyttöä koko EU:ssa osallistuvat jäsenvaltiot ja viranomaiset pyrkivät edistämään. ECP tulee olemaan tärkeä tekijä myös vältettäessä hajanaisuutta ja varmistettaessa, että pilvipalvelujen käyttö julkisella sektorilla on yhteentoimivaa sekä turvallista, tietoturvattua ja entistä ympäristöystävällisempää sekä täysin linjassa eurooppalaisten sääntöjen kanssa esimerkiksi tietosuojan ja tietoturvan alalla. ECP tulee ohjausryhmän alaisuudessa saattamaan yhteen viranomaiset ja alan toimijat toteuttamaan esikaupallisia hankintatoimenpiteitä, joiden tavoitteena on

· yksilöidä julkisen sektorin pilvipalveluvaatimukset; kehittää eritelmiä tietotekniikkahankintoja varten ja hankkia vertailutoteutuksia vaatimustenmukaisuuden ja suorituskyvyn demonstroimiseksi[33]

· edetä kohti julkisten elinten yhteisiä pilvipalveluhankintoja kehittyvien yhteisten käyttäjävaatimusten pohjalta

· määritellä ja toteuttaa tässä asiakirjassa kuvattuja muita toimenpiteitä, jotka edellyttävät sidosryhmäkoordinointia.

4.           Poliittiset lisätoimet

Komissio tulee kolmen avaintoimen tueksi toteuttamaan myös joukon oheistoimenpiteitä. Samoin eräät toiset aloitteet esimerkiksi laajakaistayhteyksien saatavuuden, verkkovierailujen ja avoimen datan aloilla voivat nekin osaltaan tukea sellaisen toimintaympäristön kehittymistä, joka on omiaan nopeuttamaan pilvipalvelujen käyttöönottoa etenkin kuluttajien ja pk-yritysten keskuudessa.

4.1.        Stimulointitoimet

Komissio selvittää, miten voitaisiin parhaiten hyödyntää muita käytettävissä olevia välineitä. Erityisesti tarkastellaan Horisontti 2020 -ohjelman tutkimus- ja kehitystukea, joka liittyisi pilvipalveluille ominaisiin pitkän aikavälin haasteisiin sekä ratkaisuihin, joilla helpotetaan siirtymistä pilvipalvelupohjaisiin järjestelmiin. Tällaisia ratkaisuja ovat esimerkiksi ohjelmistot, joilla toteutetaan siirtymä perinteisistä järjestelmistä pilvipalveluihin, hybridipalvelujen (joissa yhdistetään pilvipalveluja ja muita palveluja) hallintaohjelmistot sekä ohjelmistot, joilla voidaan välttyä lukittuminen tiettyyn palveluntarjoajaan[34].

Komissio aikoo vuonna 2014 perustaa ehdotetun ”Verkkojen Eurooppa” -välineen[35] puitteissa digitaalisia palveluinfrastruktuureita kaikkialla käytettävissä olevina pilvipohjaisina julkisina palveluina esimerkiksi yritysten perustamiseksi verkossa, rajat ylittäviin hankintoihin, sähköisen terveydenhuollon palveluihin ja julkisen sektorin tietojen käytön mahdollistamiseksi. Se toteuttaa myös oman pilvipalvelusuunnitelmansa osana eCommission-strategiaa. Suunnitelmaan sisältyy toimintaohjelma muiden EU-ohjelmien puitteissa toteutettujen julkisten palvelujen siirtämiseksi pilvipalveluympäristöön.

Komissio toteuttaa myös toimia (muun muassa tutkimuksia, mentorointi- ja neuvontajärjestelmiä, tiedotustoimintaa) edistääkseen tietoteknisiä taitoja ja digitaalista yrittäjyyttä pilvipalvelujen alalla.

4.2.        Kansainvälinen vuoropuhelu

Koska ei ole olemassa teknisiä esteitä, jotka pysäyttäisivät pilvipalvelut maantieteellisillä rajoilla, meidän on pystyttävä hyödyntämään täysimääräisesti digitaalisten sisämarkkinoiden tarjoamat mahdollisuudet, mutta katsottava myös EU:ta laajemmin kansainvälistä tilannetta sekä oikeudellisten puitteiden (esim. sovellettava laki) ja käyttöönoton edistämistoimien kannalta.

Lähtökohtaisesti maailmanlaajuisina pilvipalvelut edellyttävät vahvempaa kansainvälistä vuoropuhelua turvallisesta ja saumattomasta rajat ylittävästä käytöstä. Esimerkiksi kauppaa, lainvalvontaa, turvallisuutta ja tietoverkkorikollisuutta koskevassa kansainvälisessä vuoropuhelussa on käsiteltävä perusteellisesti pilvipalvelujen tuomia uusia haasteita[36].

Yhä useammat kolmannet maat ovat tunnustamassa pilvipalvelujen merkityksen. Yhdysvallat, Japani, Kanada, Australia ja Kaakkois-Aasian valtiot, kuten Etelä-Korea, Malesia ja Singapore, ovat kehittäneet tai kehittämässä pilvipalvelustrategioita. Tärkeimpiä toimintalinjoja ovat kumppanuudet, joilla edistetään käyttöönottoa julkisissa elimissä, teknologian kehittämisen ja standardoinnin edistäminen sekä kansainvälinen vuoropuhelu ja koordinointi oikeudellisissa ja teknisissä asioissa. Siksi EU:n on syvennettävä jäsennettyä yhteistyötä kansainvälisten kumppanien kanssa ei ainoastaan kokemusten vaihtamiseksi ja yhteistä teknologian kehittämistä varten vaan myös sellaisten oikeudellisten mukautusten tekemiseksi, joilla edistetään pilvipalvelujen entistä laajempaa käyttöönottoa[37]. Vuoropuhelua käydään monenvälisillä foorumeilla, kuten WTO:ssa ja OECD:ssä, pyrkimyksenä edistää pilvipalveluihin liittyviä yhteisiä tavoitteita sekä sisällyttää pilvipalvelukysymykset vapaakauppaneuvotteluihin Intian, Singaporen jne. kanssa.

Komissio hyödyntää myös meneillään olevaa kansainvälistä vuoropuhelua Yhdysvaltojen, Intian, Japanin ja muiden maiden kanssa edellä käsitellyissä pilvipalveluihin liittyvissä avainkysymyksissä, kuten tietosuoja, lainvalvontaviranomaisten pääsy tietoihin ja keskinäisten oikeusapusopimusten käyttö niin, että yritykset eivät joutuisi pohtimaan keskenään ristiriidassa olevia viranomaisten tietopyyntöjä, tietoturvakoordinointi globaalilla tasolla, verkkoturvallisuus, välittäjinä toimivien palveluntarjoajien vastuut, standardit ja yhteentoimivuusvaatimukset erityisesti julkisissa palveluissa, verolainsäädännön soveltaminen pilvipalveluihin sekä yhteistyö tutkimuksen ja teknologian kehittämisen alalla.

5.           Päätelmät

Pilvipalvelut vaikuttavat monenlaisiin politiikan aloihin. Meneillään on poliittisia aloitteita, kuten tietosuojauudistus ja yhteinen eurooppalainen kauppalakihanke, jotka madaltavat pilvipalvelujen käyttöönoton esteitä EU:ssa, ja ne pitäisi hyväksyä nopeasti.

Näiden ohella komissio tulee vuonna 2013 viemään eteenpäin tässä tiedonannossa kuvattuja avaintoimia, eli pilvipalvelujen standardointia ja sertifiointia koskevia toimia, turvallisten ja oikeudenmukaisten sopimusehtojen kehittämistoimia sekä toimia eurooppalaisen pilvipalvelukumppanuuden perustamiseksi.

Komissio seuraa tarkkaan esiin nousevia kehityskulkuja, jotka todennäköisesti vaikuttavat pilvipalvelujen taloudelliseen ja yhteiskunnalliseen potentiaaliin, kuten verotus, julkiset hankinnat, rahoitusalan sääntely ja lainvalvonta, ja joiden kohdalla pilvipalvelujen rajat ylittävä ominaisluonne herättää vaatimustenmukaisuuteen ja raportointivelvollisuuksiin liittyviä kysymyksiä.

Komissio raportoi vuoden 2013 loppuun mennessä tämän strategian kaikkien toimien edistymisestä ja esittelee muita toimintapoliittisia ja lainsäädäntöehdotuksia tarpeen mukaan.

Tulevat kaksi vuotta, joiden aikana edellä hahmoteltuja toimenpiteitä kehitetään edelleen ja viedään käytäntöön, luovat perustaa, jolta Eurooppa voi ponnistaa pilvipalvelualan maailmanjohtajaksi. Oikeanlainen edistyminen tämän valmisteluvaiheen aikana luo pohjaa nopealle käyttöönottovaiheelle vuosina 2014–2020, jolloin julkisesti saatavilla olevien pilvipalvelujen tarjonnassa voitaisiin saavuttaa yhteenlaskettuna 38 prosentin vuosikasvu (noin kaksinkertainen kasvu verrattuna tilanteeseen, jossa määrätietoisia poliittisia toimia ei toteutettaisi).

Komissio kehottaa jäsenvaltioita tarttumaan pilvipalvelujen tarjoamiin mahdollisuuksiin. Jäsenvaltioiden olisi kehitettävä pilvipalvelujen käyttöä julkisella sektorilla sellaisten yhteisten lähestymistapojen pohjalta, jotka lisäävät suorituskykyä ja luottamusta samalla kun kustannuksia saadaan alennettua. Aktiivinen osallistuminen eurooppalaiseen pilvipalvelukumppanuuteen ja sen tulosten hyödyntäminen on ratkaisevan tärkeää.

Komissio kehottaa myös alan yrityksiä tekemään tiiviisti yhteistyötä yhteisten standardien ja yhteentoimivuutta parantavien toimien kehittämiseksi ja hyväksymiseksi.

[1]               Kretschmer, T. (2012), ”Information and Communication Technologies and Productivity Growth: A Survey of the Literature”, OECD Digital Economy Papers, No. 195, OECD Publishing. http://dx.doi.org/10.1787/5k9bh3jllgs7-en.

[2]               Tiedonanto johdonmukaisista puitteista luottamuksen vahvistamiseksi sähköisen kaupankäynnin ja verkkopalvelujen sisämarkkinoilla, KOM(2011) 942 lopullinen.

[3]               IDC (2012), ”Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up”. Ks. myös tiedonantoon liittyvä komission yksiköiden valmisteluasiakirja, kohta 3.1. Pilvipalvelujen merkitys työpaikkojen synnyn kannalta tunnustetaan myös komission tiedonannon ”Tavoitteena työllistävä elpyminen” (KOM(2012) 173) liitteessä ”Keskeiset työllisyystoimet tieto- ja viestintätekniikan alalla”.

[4]               Organisaatiot saattavat esimerkiksi olla huolissaan toimintansa jatkuvuudesta palvelukatkosten tapauksessa, kun taas yksityishenkilöillä on epäilyksiä henkilötietojensa käytön suhteen. Tällaiset epäilykset hidastavat pilvipalvelujen yleistymistä.

[5]               Monet tällaisista määritelmistä ovat hyvin abstrakteja: Yhden hyvin tunnetun määritelmän mukaan kyseessä on ”toimintamalli, joka mahdollistaa pääsyn vapaasti konfiguroitaviin ja skaalautuviin jaettuihin tietotekniikkaresursseihin, jotka voidaan ottaa käyttöön ja poistaa käytöstä helposti ja nopeasti ilman palveluntarjoajan vuorovaikutusta”, NIST (2009), standardeista ja tekniikasta vastaava Yhdysvaltojen kansallinen virasto.

[6]               IDC (2012), ”Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up”.

[7]               Esim. yhdessä tutkimuksessa pilvipalvelumarkkinoiden arvioidaan kolminkertaistuvan vuoteen 2014 mennessä. Toisessa ennakoidaan samalla aikavälillä 11 miljoonaa uutta työpaikkaa. Ks. komission yksiköiden valmisteluasiakirja, kohta 4.1.

[8]               Ks: Greenpeace (2012), ”How clean is your cloud?”

[9]               Ks: http://www.broadbandcommission.org/net/broadband/Documents/bbcomm-climate-full-report-embargo.pdf.

[10]             HM Government (2011): ”Government Cloud Strategy”, www.cabinetoffice.gov.uk.

[11]             Yksityiset pilvipalvelut taas ovat tietylle asiakkaalle omistettuja palveluja tai infrastruktuureja, jotka eivät ole muiden avoimesti käytettävissä.

[12]             Tutkimuksessa IDC (2012) ”Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up” arvioidaan, että politiikkavetoisessa skenaariossa pilvipalvelualan työntekijöiden määrä ylittäisi 3,8 miljoonaa, kun taas ”ei toimenpiteitä” -vaihtoehdossa noin 1,3 miljoonaa, eli politiikalla voitaisiin saada aikaan 2,5 miljoonaa lisätyöpaikkaa.

[13]             Komission tiedonanto ”Sisämarkkinoiden toimenpidepaketti”, KOM(2011) 206 lopullinen.

[14]             Tämä koostui ehdotuksesta direktiiviksi tekijänoikeuksien kollektiivisesta hallinnoinnista (COM(2012) 372 final), ehdotuksesta direktiiviksi orpoteoksista (KOM(2011) 289 lopullinen) sekä julkisen sektorin tiedon uudelleenkäyttöä koskevan direktiivin uudelleentarkastelusta (KOM(2011) 877 lopullinen). Nämä kaikki toimenpiteet on saatettu päätökseen.

[15]             Vihreä kirja audiovisuaaliteosten verkkojakelusta Euroopan unionissa: mahdollisuuksia ja haasteita siirryttäessä digitaalisiin sisämarkkinoihin, KOM(2011) 427.

[16]             Ks. komission tiedonanto ”Teollis- ja tekijänoikeuksien sisämarkkinat”, KOM(2011) 287, toimi 8, jolla käynnistettiin tämän välitysprosessi tavoitteena ”pyrkiä yhdenmukaistamaan maksujen kantamisessa käytettävät menetelmät” ja jossa todettiin, että ”kaikkien osapuolten yhteistoiminnalla nämä kysymykset voidaan ratkaista ja EU voi toteuttaa kattavia lainsäädännöllisiä toimia”. Tiedonannossa sähköisestä kaupankäynnistä, KOM(2011) 942 lopullinen, kaavaillaan lainsäädäntöaloitetta yksityisestä kopioinnista vuodelle 2013.

[17]             Tiedonanto sähköisestä kaupankäynnistä, KOM(2011) lopullinen, s. 15.

[18]             Ehdotus asetukseksi sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla, COM(2012) 238/2.

[19]             Ks. artikla 29 -tietosuojatyöryhmä, WP196 – lausunto 5/2012 tietotekniikan resurssipalveluista, 1. heinäkuuta 2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#h2-1.

[20]             KOM(2011) 635 lopullinen.

[21]             Hyväksyttiin komission ehdotuksen (KOM(2011) 315) pohjalta 11. syyskuuta 2012 ja tulee voimaan 1. tammikuuta 2013.

[22]             http://www.ict-footprint.eu.

[23]             Palvelutasosopimuksessa määritellään palvelun tuottamisen tekniset ehdot, esimerkiksi taatun käytettävyyden taso prosentteina.

[24]             Ks. artikla 29 -tietosuojatyöryhmän lausunto tietotekniikan resurssipalveluista http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#h2-1.

[25]             KOM(2011) 635 lopullinen.

[26]             Ehdotus asetukseksi yhteisestä eurooppalaisesta kauppalaista koskee joitakin digitaalisen sisällön toimittamista koskevia kuluttajasopimuksia eli se koskee ”digitaalisessa muodossa tuotettua ja toimitettua tietoa, riippumatta siitä onko se tuotettu ostajan vaatimusten mukaisesti, mukaan lukien video-, audio- tai kuvamuotoinen tai kirjallinen digitaalinen sisältö, digitaaliset pelit, ohjelmistot ja digitaalinen sisältö, jonka avulla on mahdollista personalisoida olemassa olevia laitteita tai ohjelmia” (digitaalinen sisältö), jonka käyttäjä voi tallentaa ja jota hän voi käsitellä ja käyttää uudelleen, mutta siitä suljetaan pois ”sähköiset viestintäpalvelut ja -verkot ja niihin liittyvät toiminnot ja palvelut” sekä ”uuden sisällön luominen tai olemassa olevan sisällön muuttaminen ”.

[27]             Ks. asetus (EY) N:o 593/2008 sopimusvelvoitteisiin sovellettavasta laista (Rooma I) (EUVL L 177, 4.7.2008) ja asetus (EY) N:o 44/2001 tuomioistuimen toimivallasta sekä tuomioiden tunnustamisesta ja täytäntöönpanosta siviili- ja kauppaoikeuden alalla (EYVL L 12, 16.1.2001).

[28]             http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf.

[29]             Komission tiedonanto ”Euroopan kuluttaja-asioiden toimintaohjelma – lisätään luottamusta ja kasvua”, COM(2012) 225 final.

[30]             Komission luonnoksen perustana käytetään asiaan liittyviä artikla 29 -työryhmän lausuntoja (ks. WP 195 ja WP 153). Sitovat yhtiösäännöstöt ovat yksi tapa mahdollistaa lailliset kansainväliset datasiirrot: niillä säännellään valvottavalla tavalla sitä, miten tietyn yhtiön eri osat maantieteellisestä sijainnistaan riippumatta käsittelevät henkilötietoja.

[31]             http://www.economie.gouv.fr/cloud-computing-investissements-d-avenir; http://www.cabinetoffice.gov.uk/sites/default/files/resources/government-cloud-strategy_0.pdf;http://www.trusted-cloud.de/documents/aktionsprogramm-cloud-computing.pdf.

[32]             Tiedonanto ”Avoin data: Innovoinnin, kasvun ja läpinäkyvän hallinnon moottori”, KOM(2011) 882 lopullinen.

[33]             Tämä toiminta rahoitetaan tutkimuksen seitsemännestä puiteohjelmasta vuonna 2013. Asiaa koskeva ehdotuspyyntö julkaistiin 9. heinäkuuta 2012.

[34]             Ks. Cloud Expert Groupin raportit ”The Future of cloud computing. Opportunities for European cloud computing beyond 2010” (http://cordis.europa.eu/fp7/ict/ssai/docs/cloud-report-final.pdf) ja ”Advances in Clouds” (http://cordis.europa.eu/fp7/ict/ssai/docs/future-cc-2may-finalreport-experts.pdf).

[35]             Ehdotus asetukseksi Verkkojen Eurooppa -välineestä, KOM(2011) 665.

[36]             Elintärkeiden tietoinfrastruktuureiden suojaamista koskevassa tiedonannossa KOM(2011) 163 luottamuksen lisääminen pilvipalveluja kohtaan mainitaan yhdeksi painopistealaksi ja siinä kehotetaan lisäämään ”keskustelua parhaista hallintotavoista”.

[37]             Tällainen vuoropuhelu on alkanut EU:n ja Yhdysvaltojen tietoyhteiskuntaa koskevan vuoropuhelun, European American Business Councilin sekä EU:n ja Japanin tietoyhteiskuntaa koskevan vuoropuhelun puitteissa. Pilvipalveluja voidaan käsitellä myös transatlanttisessa talousneuvostossa sekä EU:n ja Yhdysvaltojen pk-yrityksiä koskevassa yhteistyössä.