Cloud IaaS Service Agreement Finland

Pilvipalvelusopimus Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen sopimus, jolla pilvipalveluntarjoaja tarjoaa asiakkaalle infrastruktuuri- tai alustapohjaista pilvipalvelua (IaaS, Infrastructure as a Service tai PaaS, Platform as a Service) tiettyä kuukausi- tai käyttöpohjaista maksua vastaan. Pilvipalvelusopimuksen oikeudellinen pohja Suomessa muodostuu oikeustoimilaista (228/1929), tietosuojalaista (1050/2018), yleisestä tietosuoja-asetuksesta (GDPR, EU 2016/679), EU:n datamarkkina-asetuksesta (Data Act, EU 2023/2854) ja laista sähköisen viestinnän palveluista (917/2014).

Pilvipalvelut jakautuvat kolmeen päämalliin. IaaS (Infrastructure as a Service) tarkoittaa, että Palveluntarjoaja tarjoaa virtualisoitua laskenta-, tallennus- ja verkkokapasiteettia; Asiakas vastaa käyttöjärjestelmästä, middleware-ohjelmistoista ja sovelluksista — esimerkiksi AWS EC2, Azure Virtual Machines, Google Compute Engine tai suomalainen Hetzner Cloud. PaaS (Platform as a Service) tarjoaa kehitys- ja suoritusympäristön, jossa Palveluntarjoaja hallinnoi käyttöjärjestelmää ja middleware-ohjelmistoja; Asiakas vastaa vain sovelluskoodistaan — esimerkiksi Heroku, Google App Engine tai Azure App Service. Private Cloud on dedikoitu pilviympäristö, jossa yrityksen infrastruktuuri on fyysisesti tai loogisesti eristetty muista asiakkaista; kalliimpi mutta parempi hallinta ja tietoturva.

SLA (Service Level Agreement) on pilvipalvelusopimuksen ydin. Pilvipalvelun SLA on yleensä vaativampi kuin webhotellin SLA: tyypillinen käytettävyyslupaus on 99,9 %–99,99 %. 99,99 % tarkoittaa enintään 4,38 minuuttia suunnittelematonta katkoa kuukaudessa — kriittisten tuotantosovellusten minimi. Lisäksi SLA:ssa sovitaan RTO:sta (Recovery Time Objective, tavoiteaika järjestelmän palauttamiseen häiriön jälkeen) ja RPO:sta (Recovery Point Objective, suurin sallittu datan menetys tunteja). IaaS-palveluissa SLA kattaa palvelinkapasiteetin saatavuuden; Asiakas vastaa sovellusten korkeasta käytettävyydestä (HA-arkkitehtuuri).

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018) koskevat pilvipalvelusopimuksia erityisen laajasti. Pilvipalveluntarjoaja on GDPR:n mukainen henkilötietojen käsittelijä (processor), koska Asiakkaan sovellukset prosessoivat loppukäyttäjien henkilötietoja Palveluntarjoajan infrastruktuurilla. GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) on pakollinen liite jokaiseen pilvipalvelusopimukseen. Datakeskuksen on sijaittava EU/ETA-alueella tai henkilötietoja siirrettäessä on käytettävä lainmukaisia siirtomekanismeja (GDPR 46 artikla, EU-mallisopimuslausekkeet SCC). Tietosuojavaltuutettu Suomessa valvoo GDPR:n noudattamista.

EU:n datamarkkina-asetus (Data Act, EU 2023/2854) toi merkittäviä muutoksia pilvipalvelusopimuksiin. Asetus tuli voimaan 12.9.2025. Pilvipalvelujen vaihtaminen: Palveluntarjoajat eivät saa periä kohtuuttomia siirtomaksuja asiakkaan siirtäessä palveluja toiselle tarjoajalle (23-31 artikla). Tekninen siirrettävyys: Palveluntarjoajan on tarjottava avoimia rajapintoja ja standardoituja dataformaatteja, jotka mahdollistavat siirtymisen kilpailijoille. Pilvivaihtamisprosessi: Palveluntarjoaja on velvollinen tukemaan asiakasta migraation aikana (migration assistance). Nämä velvoitteet ovat pakottavia; niistä ei voida sopia toisin sopimuksessa.

Tietoturvasertifikaatit ovat keskeisiä pilvipalvelua valittaessa. ISO 27001 on kansainvälinen tietoturvahallinnan standardi — sertifioidun pilvipalveluntarjoajan tietoturvakäytännöt on auditoitu ulkopuolisen tahon toimesta. SOC 2 Type II on yhdysvaltalainen pilvipalveluntarjoajille kehitetty auditointistandardi, joka arvioi turvallisuutta, käytettävyyttä, prosessin eheyttä, luottamuksellisuutta ja yksityisyyttä. CSA STAR (Cloud Security Alliance Security Trust Assurance and Risk) on pilvispesifinen sertifikaatti. Asiakkaan on varmistettava, että valittu Palveluntarjoaja täyttää nämä vaatimukset ennen sopimuksen allekirjoittamista.

Finanssialan ja julkishallinnon pilvipalveluille on erityisvaatimuksia. Finanssivalvonta (FIN-FSA) edellyttää pankkien ja vakuutusyhtiöiden ulkoistamissopimuksissa noudattavan EBA:n (European Banking Authority) ulkoistamisohjeita. Suomalaiset julkishallinnon pilvipalveluhankinnat noudattavat hankintalakia (1397/2016) ja Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suosituksia. JHS-järjestelmä (Julkisen hallinnon suositukset) antaa ohjeita pilvipalveluhankinnoista.

Pilvipalvelusopimus Suomessa tarvitaan aina, kun yritys tai organisaatio hankkii pilvi-infrastruktuuria tai -alustapalvelua kaupalliselta tarjoajalta. Seuraavat tilanteet edellyttävät kirjallisen pilvipalvelusopimuksen laadintaa.

Yrityksen IT-infrastruktuurin pilvimigraatio. Yritys siirtää omilta palvelimiltaan (on-premises) pilvipalveluntarjoajan infrastruktuurille. Sopimus kattaa kapasiteetin, siirron aikataulun, SLA:n ja GDPR-vaatimustenmukaisuuden.

Verkkopalvelun tai -sovelluksen skaalaava infrastruktuuri. Startup tai kasvava teknologiayritys hankkii skaalautuvan pilvi-infrastruktuurin sovelluksensa kasvavaa käyttäjämäärää varten. Sopimus kattaa automaattisen skaalautuvuuden (auto-scaling), käyttöpohjaisen hinnoittelun (pay-per-use) ja kapasiteetin laajentamisen ehdot.

Julkishallinnon pilvipalvelut. Kunta, sairaanhoitopiiri tai valtion virasto hankkii pilvipalvelun tietojärjestelmilleen. Hankintalaki (1397/2016) edellyttää kilpailutuksen. Sopimuksessa on huomioitava julkisten tietovarantojen luovuttamista koskeva tiedonhallintalaki (906/2019) ja terveysdatan osalta laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019).

Katastrofitoipuminen (Disaster Recovery). Yritys hankkii toisesta datakeskuksesta DR-ympäristön (Disaster Recovery site) tuotantojärjestelmiensä suojaksi. Sopimus kattaa RTO- ja RPO-tavoitteet, testaustiheyden ja aktivointimenettelyn.

Pilvi-infrastruktuuri teollisuusyritykselle (Industrial Cloud). Teollisuusyritys hankkii pilviympäristön IoT-datan keräämiseen, käsittelyyn ja analysointiin. EU:n datamarkkina-asetus (Data Act, 2025) soveltuu IoT-laitteiden tuottamaan dataan.

Private Cloud -palvelu finanssialan toimijalle. Pankki tai vakuutusyhtiö hankkii yksityisen pilven, joka täyttää Finanssivalvonnan (FIN-FSA) ja EBA:n ulkoistamisohjeiden vaatimukset. Sopimus kattaa datan sijainnin Suomessa, säännöllisen auditoinnin oikeuden ja vähintään ISO 27001 -sertifioinnin.

Hybridipilvi. Yritys kombinoi oman datakeskuksen ja julkisen pilvipalvelun hybridiratkaisuksi. Sopimus kattaa yksityisen ja julkisen pilven integraatiorajapinnat (API), datan liikkumisen osapuolten välillä ja GDPR-vaatimustenmukaisuuden.

Pilvipalvelusopimus Suomessa sisältää seuraavat oikeudelliset elementit, jotka varmistavat infrastruktuurin saatavuuden, tietoturvan, GDPR-vaatimusten täyttymisen ja EU Data Act -velvoitteiden noudattamisen.

Osapuolten yksilöinti. Palveluntarjoajan ja Asiakkaan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Nimenkirjoitusoikeudelliset edustajat osakeyhtiölain (624/2006) mukaan. IT-johtaja teknisille asioille ja tietosuojavastaaava GDPR-asioille.

Palvelumäärittely. Palvelutyyppi (IaaS/PaaS/Private Cloud), kapasiteetti (vCPU, RAM, tallennustila, kaistanleveys), tekniset spesifikaatiot (käyttöjärjestelmä, virtualisointialusta, tietokanta), hallintakonsoli (AWS Management Console, Azure Portal, OpenStack tai vastaava). Automaattisen skaalautuvuuden (auto-scaling) säännöt ja kapasiteetin laajentamismenettelyt.

SLA, RTO ja RPO. Käytettävyysprosentti (99,9 %–99,99 %), hyvitysportaikko, suunniteltu huoltoikkuna (vähintään 72 h ennakkoilmoitus), RTO (Recovery Time Objective, esimerkiksi 4 h) ja RPO (Recovery Point Objective, esimerkiksi 1 h). DR-testausvelvollisuus (vähintään kerran vuodessa) ja raportointivelvollisuus.

Tietoturva. ISO 27001 -sertifikaatti tai SOC 2 Type II -raportti. Fyysinen turvallisuus: pääsynhallinta datakeskukseen, valvontakamerat, turvatarkistukset. Looginen turvallisuus: RBAC, verkkojen segmentointi, kuljetuskerroksen salaus (TLS 1.3), tallennusajan salaus (AES-256), DDoS-suojaus, 24/7 tietoturvamonitorointi (SOC). Penetraatiotestaus vähintään kerran vuodessa; tulokset toimitetaan Asiakkaalle.

GDPR ja tietosuoja. DPA-liite GDPR 28 artiklan mukaisesti. Datakeskuksen sijainti EU/ETA-alueella; kielto siirtää dataa EU/ETA-alueen ulkopuolelle ilman SCC-lausekkeita (GDPR 46 artikla). Alihenkilötietojenkäsittelijöiden lista ja muutosmenettely. Tietoturvaloukkauksen ilmoitusvelvollisuus 24 h Asiakkaalle, 72 h tietosuojavaltuutetulle (GDPR 33 artikla).

EU Data Act -velvoitteet. Datan siirrettävyys toiselle palveluntarjoajalle ilman kohtuuttomia kustannuksia (23-31 artikla). Migraatiotuki 3 kuukauden ajan sopimuksen päättymisestä. Standardoitu dataformaatti (esimerkiksi OVF, S3, SQL-dump). Kielto asettaa teknisiä esteitä kilpailijoille siirtymiselle.

Hinnoittelu. Kiinteä kuukausimaksu tai käyttöpohjainen hinnoittelu ilman arvonlisäveroa; vakio-ALV 25,5 % arvonlisäverolain (1501/1993) mukaan. Laskutusjakso (kuukausittain jälkikäteen), maksuaika (14 päivää netto), viivästyskorko korkolain (633/1982) mukaan. Hinnanmuutosvaroitusaika 60 päivää. Forms-legal.com suosittelee kirjaamaan käyttöpohjaisen hinnoittelun sopimukseen enimmäislaskutusmäärän (billing cap) yllättävien kustannusten välttämiseksi.

Vastuunrajoitus. Palveluntarjoajan kokonaisvastuu enintään 12 kuukauden maksuihin; välilliset vahingot pois suljettuina. Asiakas vastaa sovellustason tietoturvasta ja oman koodinsa virheistä.

Pilvipalvelusopimus Suomessa laaditaan seuraavien vaiheiden mukaisesti, jotka varmistavat SLA-vaatimusten, GDPR-velvoitteiden ja EU Data Act -velvoitteiden täyttymisen.

Vaihe 1 — Arvioi palvelutyyppi. Selvitä ennen sopimuksen laadintaa: IaaS (virtuaalipalvelimet, tallennus, verkko), PaaS (kehitysalusta, hallittu tietokanta) vai Private Cloud; onko kyseessä public cloud (yhteisresurssit) vai private cloud (dedikoitu ympäristö); mitkä ovat korkein saatavuusvaatimus (RTO/RPO); tarvitseeko se toimialakohtaisia vaatimuksia (FINRA, PCI DSS, Finanssivalvonnan ohjeet). Nämä valinnat vaikuttavat sopimuksen rakenteeseen ja sisältöön merkittävästi.

Vaihe 2 — Yksilöi osapuolet. Kirjaa Palveluntarjoajan ja Asiakkaan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Nimeä IT-johtaja teknisille asioille ja tietosuojavastaava GDPR-asioille.

Vaihe 3 — Kuvaa pilvipalvelu täsmällisesti. Kirjaa kapasiteetti (vCPU, RAM, tallennustila, kaistanleveys), palvelutyyppi (IaaS/PaaS), tekniset spesifikaatiot ja hallintakonsoli. Dokumentoi automaattisen skaalautuvuuden säännöt ja kapasiteetin laajentamismenettelyt.

Vaihe 4 — Sovi SLA:sta, RTO:sta ja RPO:sta. Kirjaa käytettävyysprosentti (tuotantoympäristöön suositellaan vähintään 99,95 %), hyvitysportaikko, suunniteltu huoltoikkuna ja ennakkoilmoitusvelvollisuus (72 h). Sovi RTO:sta ja RPO:sta liiketoimintakritiikaalisuuden mukaan: RTO 4 h tarkoittaa, että järjestelmä on palautettava 4 tunnin sisällä häiriöstä; RPO 1 h tarkoittaa, että enintään 1 tunnin data voidaan menettää. Vaadi DR-testausvelvollisuutta (vähintään kerran vuodessa).

Vaihe 5 — Varmista tietoturvasertifikaatit. Pyydä Palveluntarjoajalta ISO 27001 -sertifikaatti tai SOC 2 Type II -raportti ennen sopimuksen allekirjoittamista. Varmista penetraatiotestausvelvollisuus (kerran vuodessa) ja tulosten toimittaminen Asiakkaalle.

Vaihe 6 — Laadi DPA-liite GDPR:n mukaisesti. Laadi GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) pakolliseksi liitteeksi. DPA:ssa on kuvattava käsittelyn tarkoitus, henkilötietotyypit, tekniset turvatoimet, alihenkilötietojenkäsittelijöiden lista (subprocessors) ja muutosmenettely, tietoturvaloukkauksen ilmoitusvelvollisuus sekä datan hävittäminen sopimuksen päättyessä. Varmista, että datakeskuksen sijainti on EU/ETA-alueella.

Vaihe 7 — Tarkista EU Data Act -velvoitteet. Varmista, että sopimuksessa on: datan siirrettävyys ilman kohtuuttomia kustannuksia; migraatiotuki 3 kuukauden ajan; standardoitu dataformaatti; kielto asettaa teknisiä esteitä kilpailijoille siirtymiselle. Nämä ovat pakottavia velvoitteita Data Actin (EU 2023/2854) 23-31 artiklojen nojalla.

Vaihe 8 — Sovi hinnoittelusta. Kirjaa hinnoittelumalli ilman arvonlisäveroa (ALV 25,5 % lisätään). Käyttöpohjaisessa hinnoittelussa sovi enimmäislaskutusmäärästä (billing cap). Sovi laskutusjaksosta (kuukausittain jälkikäteen), maksuajasta (14 päivää netto) ja viivästyskorosta.

Vaihe 9 — Allekirjoita sopimus. Molemmat osapuolet allekirjoittavat sopimuksen kahtena samansisältöisenä kappaleena. Sähköinen allekirjoitus on pätevä oikeustoimilain (228/1929) mukaan.

Pilvipalvelusopimus Suomessa kuuluu erityisen laajan lainsäädäntökehyksen piiriin.

Oikeustoimilaki (228/1929). Sopimusvapaus perustana; kohtuuttomat ehdot sovitellaan 36 §:n nojalla. Kuluttajansuojalaki (38/1978) soveltuu, jos Asiakas on kuluttaja.

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018). GDPR 28 artiklan mukainen DPA on pakollinen liite. GDPR 32 artiklan tekniset turvatoimet: TLS, AES-256, RBAC, pseudonymisointi. GDPR 33-34 artiklojen tietoturvaloukkausilmoitus 72 h tietosuojavaltuutetulle. GDPR 46 artiklan siirtomekanismi EU/ETA-alueen ulkopuolisiin siirtoihin (SCC). Tietosuojavaltuutetun toimisto Suomessa valvoo.

EU:n datamarkkina-asetus (Data Act, EU 2023/2854). Pilvipalveluiden vaihtamista helpottavat velvoitteet (23-31 artikla): palveluntarjoaja ei saa periä kohtuuttomia siirtomaksuja; datan on oltava siirrettävissä standardoidussa formaatissa; teknisiä esteitä vaihtamiselle ei saa asettaa; migraatiotuki on tarjottava. Julkishallinnon oikeus saada dataa hätätilanteissa (15-22 artikla).

Laki sähköisen viestinnän palveluista (917/2014). 316 § tietoturvavelvollisuus; 319 § tietoturvaloukkausilmoitus Traficomille. Pilvipalveluntarjoaja on sähköisen viestintäpalvelun tarjoaja, jonka Traficom valvoo.

Finanssialan erityissäännökset. EBA:n ulkoistamisohjeet (EBA/GL/2019/02): pankit ja vakuutusyhtiöt, jotka ulkoistavat kriittisiä toimintoja pilvipalveluun, noudattavat EBA:n ohjeita. DORA (Digital Operational Resilience Act, EU 2022/2554): finanssialan ICT-riskienhallintaasetus tuli voimaan 17.1.2025; edellyttää pilvipalvelusopimuksissa tiettyjä sopimuslausekkeita ICT-riskienhallinnasta.

Julkishallinnon erityissäännökset. Tiedonhallintalaki (906/2019): julkishallinnon tietovarantojen pilvivarastoinnille erityisehdot; suomalaisten viranomaistietojen siirto EU/ETA-alueen ulkopuolelle on rajoitettu. Hankintalaki (1397/2016): julkishallinnon pilvipalveluhankinnat on kilpailutettava.

Vahingonkorvauslaki (412/1974) ja sopimusrikkomus. Palveluntarjoajan vastuu SLA-alituksesta tai tietoturvaloukkauksen aiheuttamista vahingoista. GDPR 82 artikla antaa rekisteröidylle suoran oikeuden vahingonkorvaukseen tietosuojarikkomuksesta.

Pilvipalvelusopimus Suomessa epäonnistuu seuraavista yleisimmistä virheistä.

Virhe 1 — DPA-liitteen puuttuminen tai riittämättömyys. Pilvipalvelusopimukseen ei laadita GDPR 28 artiklan mukaista tietojenkäsittelysopimusta (DPA) tai DPA on niin yleisluonteinen, ettei se täytä GDPR:n vaatimuksia. Tietosuojavaltuutettu voi määrätä merkittävän seuraamusmaksun. Suositus: vaadi ennen sopimuksen allekirjoittamista GDPR-yhteensopiva DPA ja varmista, että siinä on kaikki GDPR 28 artiklan pakolliset lausekkeet.

Virhe 2 — Datakeskuksen sijainnin huomiotta jättäminen. Pilvipalvelu käyttää datakeskuksia EU/ETA-alueen ulkopuolella (esimerkiksi USA, Singapore tai Australia) ilman lainmukaista siirtomekanismia. Suositus: varmista datakeskuksen sijainti EU/ETA-alueella tai EU-mallisopimuslausekkeiden (SCC) käyttö.

Virhe 3 — Riittämättömät SLA-vaatimukset kriittisille järjestelmille. Tuotantoympäristölle sovitaan vain 99,9 % SLA, vaikka liiketoimintakriittinen sovellus vaatii 99,99 %. Katkosta aiheutuva liiketoimintavahinko ylittää SLA-hyvityksen moninkertaisesti. Suositus: arvioi RTO- ja RPO-vaatimukset liiketoimintavaikutusanalyysin (BIA) pohjalta ennen SLA-neuvotteluja.

Virhe 4 — EU Data Act -velvoitteiden huomiotta jättäminen. Sopimuksessa ei huomioida EU:n datamarkkina-asetuksen (Data Act, 2025) datan siirrettävyysvelvoitteita. Palveluntarjoaja perii kohtuuttomia siirtomaksuja tai asettaa teknisiä esteitä siirtymiselle toiselle tarjoajalle. Suositus: kirjaa sopimukseen nimenomaisesti Data Act 23-31 artiklojen mukaiset velvoitteet.

Virhe 5 — Käyttöpohjaisen hinnoittelun enimmäismäärän puuttuminen. Sovelluksessa on virhe tai hyökkäys, joka generoi eksponentiaalisen määrän pilviresursseja; lasku nousee odottamattomasti kymmeniin tuhansiin euroihin kuukaudessa. Suositus: kirjaa sopimukseen enimmäislaskutusmäärä (billing cap) ja automaattinen ilmoitusvelvollisuus, kun 80 % kuukausibudjetista on käytetty.

Virhe 6 — Migraatioehdoista sopimatta jättäminen. Sopimuksessa ei sovita datan siirtämisestä toiselle tarjoajalle tai migraatiotuesta. Palveluntarjoaja hinnoittelee migraatiotuen erikseen tai asettaa teknisiä esteitä kilpailijoille siirtymiselle. Suositus: kirjaa migraatiotuen laajuus (3 kuukautta), standardoitu dataformaatti ja kielto asettaa teknisiä esteitä Data Act -velvoitteiden mukaisesti.

Virhe 7 — DORA-velvoitteiden laiminlyönti finanssialan toimijoilla. Pankki tai vakuutusyhtiö ei huomioi DORA:n (EU 2022/2554) vaatimuksia pilvipalvelusopimuksessa; sopimuksesta puuttuvat ICT-riskienhallintaan liittyvät pakolliset lausekkeet. Suositus: finanssialan toimijoiden on käytettävä DORA-yhteensopivaa sopimusta, jossa on EBA:n ulkoistamisohjeissa edellytetyt lausekkeet.