Tausta 

Liittyy vahvasti tikettiin https://jira.eduuni.fi/browse/CSCIDEAPANKKI-55

IaaS-alustoilta saatavien palveluiden avulla voidaan rakentaa erilaisia IT-palveluita monenlaisiin tarpeisiin. Alustoille rakennettavat palvelut vaihtelevat korkeakouluista toiseen. GDPR-vaatimustenmukaisuutta arvioidaan korkeakoulussa oletettavasti 1) kun IaaS-alusta otetaan ensimmäisen kerran käyttöön ja 2) kun sitä hyödyntäen rakennetaan tuotantoon vietävä palvelu.

IaaS+-puitekilpailutuksen myötä Euroopan NREN-yhteisössä tulee olemaan yhteinen hankintakanava IaaS-alustoille ja pitkälti samoin kriteerein arvioidut IaaS-alustojen toimittajat ja jälleenmyyjät käytettävissä, paikallisin nyanssein. CSC tulee toimimaan IaaS-alustojen ja niiltä saatavien palveluiden brokerina suomalaisille korkeakouluille yhteiseurooppalaisen IaaS+-puitekilpailutuksen valmistuessa vuodenvaihteen 2020-2021 aikoihin.

Tietosuojasta ei puitesopimusten eikä lähtökohtaisesti hankintasopimusten tasolla erikseen sovita. Alustojen tietosuojaehdot tulevat oletettavasti sellaisenaan hankintasopimusten osiksi.

Ehdotus

Tavoitteena on kartoittaa, onko CSC:n tuottamalle lisäarvopalvelulle tarvetta.

Ehdotuksena on tunnistaa ja tuottaa sellaiset tietosuojaan liittyvien prosessien, kuten arviointien, aikana käytettävät IaaS-alustoihin liittyvät puolivalmisteet ja muut materiaalit, joita kaikki puitesopimuksia ja IaaS-alustoja hyödyntävät instituutiot tarvitsevat sekä perustaa näille yhteinen hakemisto.

Ehdotuksen pohjana on tavoite rajat ylittävästä yhteistyöstä, joko GÉANTin (Eurooppa) tai NORDUnetin (pohjoismaat) puitteissa. Joissakin maissa nähdään, että paikallisella NREN:llä tulisi olla rooli tietosuojaan liittyvissä kysymyksissä tukemisessa, minkä seurauksena kansainvälisiä yhteistyömahdollisuuksia halutaan kartoittaa. Ehdotuksessa kuvattujen yhteisten materiaalien tuottaminen olisi lähtökohtaisesti NREN:ien tehtävä.

Suomalaisten korkeakoulujen näkemys aloitteen tarpeellisuudesta tulisi selvittää. Suomessa CSC:n roolia IaaS-alustojen brokerina ei tältä kannalta ole tarkkaan määritelty. Oletettavasti tietosuojaan liittyvät ehdot vyörytetään CSC:n ja korkeakoulujen välisiin sopimuksiin sellaisenaan. 

Kommentointiaiheita

1. Mitä tietosuojaan liittyviä toimenpiteitä ja prosesseja IaaS-alustojen käyttöön liittyy?
2. Minkälaisia puolivalmisteita ja muita materiaaleja toimenpiteiden ja prosessien aikana käytetään tai voitaisiin käyttää?
3. Kiinnostaako suomalaisia korkeakouluja kuvatun kaltainen yhteistyö, etenkin yhteisten materiaalien hyödyntäminen?
4. Minkälaisia muita mahdollisuuksia nähdään toimenpiteiden ja prosessien tukemiselle yhteisesti?

2020-11-19 Kokous

• Siirretään käsittelyyn 17.12.2020. Löydettävä sponsori (Aalto?)
  Emma muokkaa tekstin vastaamann paremmin "CSC:n tuottama lisäarvopalvelu"-teemaa